Titre : Guide d'Hygiène Informatique - Renforcer la sécurité de son système d'information en 42 mesures
Version : 2.0 - Septembre 2017
Agence : ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)
Téléchargement : https://messervices.cyber.gouv.fr/guides/guide-dhygiene-informatique
Licence : Ouverte/Open Licence (Etalab - V1)
- Sensibiliser et Former
- Connaître le Système d'Information
- Authentifier et Contrôler les Accès
- Sécuriser les Postes
- Sécuriser le Réseau
- Sécuriser l'Administration
- Gérer le Nomadisme
- Maintenir le Système d'Information à Jour
- Superviser, Auditer, Réagir
- Pour Aller Plus Loin
Niveau : Standard
Les équipes opérationnelles (administrateurs réseau, sécurité et système, chefs de projet, développeurs, RSSI) disposent d'accès privilégiés. Elles peuvent générer des vulnérabilités par inadvertance ou méconnaissance.
Les formations doivent couvrir :
- La législation en vigueur
- Les principaux risques et menaces
- Le maintien en condition de sécurité
- L'authentification et le contrôle d'accès
- Le paramétrage fin et le durcissement des systèmes
- Le cloisonnement réseau
- La journalisation
Les contenus doivent être adaptés selon le métier des collaborateurs. Des clauses spécifiques dans les contrats de prestation doivent garantir une formation régulière du personnel externe et des infogérants.
Niveau : Standard / Renforcé
Chaque utilisateur doit être informé dès son arrivée des enjeux de sécurité, des règles à respecter et des bons comportements à adopter.
Les actions de sensibilisation doivent être régulières, adaptées aux utilisateurs ciblés, et peuvent prendre différentes formes (mails, affichage, réunions, espace intranet dédié).
Sujets à couvrir minimalement :
- Les objectifs et enjeux en matière de sécurité
- Les informations sensibles
- Les réglementations et obligations légales
- Les règles et consignes de sécurité : respect de la politique de sécurité, non-connexion d'équipements personnels au réseau, non-divulgation de mots de passe, non-réutilisation de mots de passe professionnels dans la sphère privée, signalement d'événements suspects
- Les moyens disponibles pour la sécurité : verrouillage de session, outils de protection des mots de passe
Niveau Renforcé : Élaboration et signature d'une charte des moyens informatiques précisant les règles et consignes.
Niveau : Standard
Lors de l'externalisation du système d'information ou des données, une évaluation préalable des risques spécifiques est indispensable.
Actions à mener :
- Étudier attentivement les conditions des offres et les limites de responsabilité du prestataire
- Imposer une liste précise d'exigences : réversibilité du contrat, réalisation d'audits, sauvegarde et restitution des données en format ouvert normalisé, maintien à niveau de la sécurité
Formalisation : Le prestataire doit fournir un Plan d'Assurance Sécurité (PAS) décrivant les dispositions mises en œuvre pour garantir le respect des exigences de sécurité.
Le recours à des solutions non maîtrisées hébergées dans le nuage est déconseillé en cas de traitement d'informations sensibles.
Mesure 4 : Identifier les Informations et Serveurs les Plus Sensibles et Maintenir un Schéma du Réseau
Niveau : Standard
Chaque entité possède des données sensibles portant sur son activité propre ou ses clients/administrés. Ces données doivent être identifiées.
À partir de la liste des données sensibles, localiser sur quels composants du système d'information elles se trouvent (bases de données, partages de fichiers, postes de travail). Ces composants correspondent aux serveurs et postes critiques.
À mettre en place :
- Créer et maintenir à jour un schéma simplifié du réseau (cartographie) représentant les différentes zones IP et leur plan d'adressage
- Inclure les équipements de routage et de sécurité (pare-feu, relais applicatifs)
- Représenter les interconnexions avec l'extérieur (Internet, réseaux privés, partenaires)
- Localiser les serveurs détenteurs d'informations sensibles
Niveau : Standard
Les comptes bénéficiant de droits spécifiques sont des cibles privilégiées par les attaquants.
À documenter :
- Les utilisateurs ayant un compte administrateur ou des droits supérieurs à ceux d'un utilisateur standard
- Les utilisateurs disposant de droits pour accéder aux répertoires de travail des responsables ou de l'ensemble des utilisateurs
- Les utilisateurs utilisant un poste non administré par le service informatique
Actions :
- Effectuer une revue périodique de ces comptes
- S'assurer que les accès aux éléments sensibles soient maîtrisés
- Supprimer les accès devenus obsolètes
- Définir et utiliser une nomenclature simple et claire pour identifier les comptes de services et les comptes d'administration
Mesure 6 : Organiser les Procédures d'Arrivée, de Départ et de Changement de Fonction des Utilisateurs
Niveau : Standard / Renforcé
Les droits et accès au système d'information doivent être mis à jour en fonction des évolutions des effectifs.
Procédures à définir :
- Création et suppression des comptes informatiques et boîtes aux lettres associées
- Droits et accès à attribuer et retirer en cas de changement de fonction
- Gestion des accès physiques aux locaux (badges, clés)
- Affectation des équipements mobiles (ordinateurs portables, clés USB, disques durs, ordiphones)
- Gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe sur les systèmes existants)
Niveau Renforcé : Les procédures doivent être formalisées et mises à jour en fonction du contexte.
Niveau : Standard / Renforcé
L'entité doit maîtriser les équipements qui se connectent à son réseau, chacun constituant un point d'entrée potentiellement vulnérable.
Les équipements personnels (ordinateurs portables, tablettes, ordiphones) sont difficilement maîtrisables car ce sont les utilisateurs qui décident de leur niveau de sécurité.
Recommandation : Seule la connexion de terminaux maîtrisés par l'entité doit être autorisée sur ses réseaux d'accès, filaire ou sans fil.
Adaptations pragmatiques : Mise à disposition d'un réseau Wi-Fi avec SSID dédié pour les terminaux personnels ou visiteurs.
Niveau Renforcé : Authentification des postes sur le réseau (par exemple standard 802.1X ou équivalent).
Mesure 8 : Identifier Nommément Chaque Personne Accédant au Système et Distinguer les Rôles Utilisateur/Administrateur
Niveau : Standard / Renforcé
Les comptes d'accès doivent être nominatifs pour faciliter l'attribution d'une action en cas d'incident ou d'identifier les comptes compromis.
Principes :
- L'utilisation de comptes génériques (admin, user) doit être marginale et rattachée à un nombre limité de personnes physiques
- Les comptes de service rattachés à un processus informatique (apache, mysqld) peuvent être maintenus
- Les comptes génériques et de service doivent être gérés selon une politique au moins aussi stricte que celle des comptes nominatifs
Comptes d'administration :
- Un compte d'administration nominatif, distinct du compte utilisateur, doit être attribué à chaque administrateur
- Les identifiants et secrets d'authentification doivent être différents (ex : pmartin comme utilisateur, adm-pmartin comme administrateur)
- Ce compte doit être dédié exclusivement aux actions d'administration
- Il doit être utilisé sur des environnements dédiés à l'administration pour ne pas laisser de traces sur un environnement exposé
Niveau Renforcé : La journalisation liée aux comptes (connexions réussies/échouées) doit être activée dès que possible.
Niveau : Standard
Certaines ressources du système peuvent constituer une source d'information précieuse pour un attaquant (répertoires avec données sensibles, bases de données, boîtes aux lettres électroniques).
À mettre en place :
- Établir une liste précise des ressources sensibles
- Pour chacune, définir quelle population peut y avoir accès
- Contrôler strictement l'accès en s'assurant que les utilisateurs sont authentifiés et font partie de la population ciblée
- Éviter sa dispersion et sa duplication à des endroits non maîtrisés
Exemples : Répertoires des administrateurs, partages réseau contenant des exports de fichiers de configuration, documentation technique du système d'information, bases de données métier.
Action : Réaliser une revue régulière des droits d'accès pour identifier les accès non autorisés.
Niveau : Standard
Sensibiliser les utilisateurs aux risques liés au choix d'un mot de passe facile à deviner, et à la réutilisation de mots de passe d'une application à l'autre, notamment entre messageries personnelles et professionnelles.
Mesures de contrôle :
- Blocage des comptes à l'issue de plusieurs échecs de connexion
- Désactivation des options de connexion anonyme
- Utilisation d'un outil d'audit de la robustesse des mots de passe
Préalable : Un effort de communication visant à expliquer le sens de ces règles est fondamental.
Niveau : Standard
La complexité ou l'utilisation peu fréquente de certains mots de passe peuvent encourager leur stockage sur un support physique (mémo, post-it) ou numérique (fichiers, envoi par mail, boutons « Se souvenir du mot de passe »).
Les mots de passe sont une cible privilégiée par les attaquants désireux d'accéder au système.
Solutions recommandées :
- Utilisation d'un coffre-fort numérique
- Mécanismes de chiffrement
Principe : Le mot de passe pour ce coffre-fort doit respecter les règles de robustesse énoncées précédemment et être mémorisé par l'utilisateur (qui n'a plus que celui-ci à retenir).
Niveau : Standard / Renforcé
Les configurations par défaut des systèmes d'information sont systématiquement connues des attaquants. Ces configurations se révèlent souvent triviales et faciles à obtenir.
Impératif : Les éléments d'authentification par défaut des composants du système doivent être modifiés dès leur installation et, s'agissant de mots de passe, être conformes aux recommandations en matière de choix, dimensionnement et stockage.
Cas impossible : Si le changement d'un identifiant par défaut s'avère impossible (mot de passe ou certificat « en dur » dans un équipement), ce problème critique doit être signalé au distributeur du produit.
Niveau Renforcé : Après changement des éléments d'authentification par défaut, procéder à leur renouvellement régulier.
Niveau : Standard / Renforcé
Il est vivement recommandé de mettre en œuvre une authentification forte nécessitant l'utilisation de deux facteurs d'authentification différents parmi :
- Quelque chose que je sais (mot de passe, tracé de déverrouillage, signature)
- Quelque chose que je possède (carte à puce, jeton USB, carte magnétique, RFID, téléphone pour recevoir un code SMS)
- Quelque chose que je suis (empreinte biométrique)
Niveau Renforcé :
- Privilégier les cartes à puces ou, à défaut, les mécanismes de mots de passe à usage unique (One Time Password) avec jeton physique
- Les opérations cryptographiques offrent généralement de bonnes garanties de sécurité
- Les cartes à puce offrent l'avantage d'être réutilisables à plusieurs fins (chiffrement, authentification de messagerie, authentification sur le poste de travail)
Niveau : Standard / Renforcé
L'utilisateur est dans de très nombreux cas la première porte d'entrée des attaquants vers le système.
Mesures minimales sur l'ensemble du parc (postes utilisateurs, serveurs, imprimantes, téléphones, périphériques USB) :
- Limiter les applications installées et modules optionnels des navigateurs web aux seuls nécessaires
- Doter les postes utilisateurs d'un pare-feu local et d'un anti-virus (parfois inclus dans le système d'exploitation)
- Chiffrer les partitions où sont stockées les données des utilisateurs
- Désactiver les exécutions automatiques (autorun)
Dérogations : En cas de nécessité, les postes ne respectant pas les règles globales doivent être isolés du système.
Niveau Renforcé : Les données vitales au bon fonctionnement de l'entité doivent faire l'objet de sauvegardes régulières stockées sur des équipements déconnectés. La restauration doit être vérifiée périodiquement. Ceci s'impose en raison de la multiplication des attaques rendant les données indisponibles (rançongiciel).
Niveau : Standard / Renforcé
Les supports amovibles peuvent propager des virus, voler des informations sensibles ou compromettre le réseau.
Bonnes pratiques :
- Proscrire le branchement de clés USB inconnues
- Limiter au maximum celui de clés non maîtrisées sur le système d'information, sauf à faire inspecter leur contenu par l'antivirus du poste de travail
- Sensibiliser les utilisateurs aux risques
Niveau Renforcé :
- Utiliser des solutions interdisant l'exécution de programmes sur les périphériques amovibles (par exemple Applocker sous Windows ou options de montage noexec sous Unix)
- Implémenter une procédure de mise au rebut stricte des supports amovibles pouvant aller jusqu'à leur destruction sécurisée
Niveau : Standard
La sécurité du système d'information repose sur le maillon le plus faible. Homogénéiser la gestion des politiques de sécurité s'appliquant à l'ensemble du parc informatique est nécessaire.
L'application de ces politiques (gestion des mots de passe, restrictions de connexions sur certains postes sensibles, configuration des navigateurs Web) doit être simple et rapide pour les administrateurs.
Outils : L'entité peut se doter d'un outil de gestion centralisée (par exemple Active Directory en environnement Microsoft) auquel inclure le plus grand nombre d'équipements informatiques possible.
Bénéfices :
- Harmonisation des choix de matériels et de systèmes d'exploitation
- Facilité d'application des politiques de durcissement du système d'exploitation ou d'applications depuis un point central
- Réactivité en cas de reconfiguration nécessaire
Niveau : Standard / Renforcé
Après avoir pris le contrôle d'un poste de travail, un attaquant cherche souvent à étendre son intrusion aux autres postes et à accéder aux documents des utilisateurs.
Objectif : Rendre plus difficile ce déplacement latéral par activation du pare-feu local au moyen de logiciels intégrés (pare-feu local Windows) ou spécialisés.
Justification : Les flux de poste à poste sont très rares dans un réseau bureautique classique (fichiers stockés sur des serveurs de fichiers, applications sur des serveurs métier).
Niveau Renforcé :
- Bloquer l'accès aux ports d'administration par défaut excepté depuis les ressources explicitement identifiées (postes d'administration, postes d'assistance utilisateur, serveurs de gestion)
- Ports concernés : TCP 135, 445 et 3389 sous Windows ; TCP 22 sous Unix
- Mener une analyse des flux entrants utiles (administration, logiciels d'infrastructure, applications particulières)
- Privilégier le blocage de tous les flux par défaut et n'autoriser que les services nécessaires depuis les équipements correspondants (approche liste blanche)
- Configurer la journalisation des flux bloqués
Niveau : Standard
Internet est un réseau sur lequel il est quasi impossible d'obtenir des garanties sur le trajet que vont emprunter les données.
Risque : Un attaquant peut se trouver sur le trajet de données transitant entre deux correspondants.
Toutes les données envoyées par courriel ou transmises via des outils d'hébergement en ligne (Cloud) doivent être chiffrées systématiquement avant transmission ou hébergement.
Transmission du secret : Le secret (mot de passe, clé) permettant de déchiffrer les données doit être transmis via un canal de confiance ou un canal distinct du canal de transmission des données (remise en main propre, téléphone, plutôt que courriel).
Niveau : Standard
Lorsque le réseau est « à plat » sans cloisonnement, chaque machine peut accéder à n'importe quelle autre. La compromission de l'une met en péril l'ensemble.
Approche : Raisonner par segmentation en zones composées de systèmes ayant des besoins de sécurité homogènes (serveurs d'infrastructure, serveurs métiers, postes de travail utilisateurs, postes de travail administrateurs, postes de téléphonie sur IP).
Caractéristiques d'une zone :
- VLAN et sous-réseaux IP dédiés
- Infrastructure dédiée selon sa criticité
- Mesures de cloisonnement : filtrage IP à l'aide d'un pare-feu entre les différentes zones
Attention particulière : Cloisonner autant que possible les équipements et flux associés aux tâches d'administration.
Pour les réseaux existants : Intégrer cette démarche dans toute nouvelle extension du réseau ou à l'occasion d'un renouvellement d'équipements.
Niveau : Standard
L'usage du Wi-Fi en milieu professionnel présente des risques spécifiques : faibles garanties en matière de disponibilité, pas de maîtrise de la zone de couverture, configuration par défaut peu sécurisée.
Segmentation : La segmentation du réseau doit limiter les conséquences d'une intrusion par voie radio. Les flux en provenance des postes connectés au Wi-Fi doivent être filtrés et restreints aux seuls flux nécessaires.
Chiffrement et authentification :
- Recourir prioritairement à un chiffrement robuste (mode WPA2, algorithme AES CCMP)
- Authentification centralisée, si possible par certificats clients des machines
- Protection par mot de passe unique et partagé est déconseillée
- À défaut, le mot de passe doit être complexe, renouvelé, et non diffusé à des tiers
Gestion des points d'accès :
- Administrés de manière sécurisée (interface dédiée, modification du mot de passe administrateur par défaut)
Séparation des usages :
- Toute connexion Wi-Fi de terminaux personnels ou visiteurs doit être séparée des connexions Wi-Fi des terminaux de l'entité (SSID et VLAN distincts, accès Internet dédié)
Niveau : Standard
De nombreux protocoles réseaux ont dû évoluer pour intégrer la sécurité et répondre aux besoins de confidentialité et d'intégrité que l'échange de données impose.
Principes :
- Les protocoles réseaux sécurisés doivent être utilisés dès que possible
- Valable sur les réseaux publics (Internet) comme sur le réseau interne de l'entité
Protocoles courants :
- Reposent sur l'utilisation de TLS
- Souvent identifiables par l'ajout de la lettre « s » (pour secure) : https (navigation Web), IMAPS, SMTPS, POP3S (messagerie)
Protocoles conçus sécurisés dès la conception :
- SSH (Secure SHell) venu remplacer TELNET et RLOGIN
Niveau : Standard / Renforcé
Internet présente des risques importants : sites Web hébergeant du code malveillant, téléchargement de fichiers « toxiques », fuite de données sensibles.
Impératif : Les terminaux utilisateurs ne doivent pas avoir d'accès réseau direct à Internet.
Passerelle sécurisée comprenant minimalement :
- Un pare-feu au plus près de l'accès Internet pour filtrer les connexions
- Un serveur mandataire (proxy) embarquant différents mécanismes de sécurité : authentification des utilisateurs, journalisation des requêtes
Niveau Renforcé :
- Mécanismes complémentaires sur le serveur mandataire : analyse antivirus du contenu, filtrage par catégories d'URLs
- Maintien en condition de sécurité des équipements de la passerelle
- Redondance des équipements selon le nombre de collaborateurs et le besoin de disponibilité
- Résolutions DNS en direct de noms de domaines publics désactivées par défaut (déléguées au serveur mandataire)
- Pour les postes nomades : établir au préalable une connexion sécurisée au système d'information pour naviguer sécurisé à travers la passerelle
Niveau : Standard
Une entité peut choisir d'héberger en interne des services visibles sur Internet (site web, serveur de messagerie). Cela requiert un haut niveau de protection.
Prérequis :
- Administrateurs compétents, formés de manière continue, disponibles
- Sinon, privilégier l'hébergement externalisé auprès de professionnels
Infrastructure :
- Cloisonnement physique des infrastructures d'hébergement Internet de toutes les infrastructures du système d'information n'ayant pas vocation à être visibles
- Infrastructure d'interconnexion de ces services avec Internet permettant de filtrer les flux de manière distincte
- Imposer le passage des flux entrants par un serveur mandataire inverse (reverse proxy) embarquant différents mécanismes de sécurité
Niveau : Standard / Renforcé
La messagerie est le principal vecteur d'infection du poste de travail : ouverture de pièces jointes contenant du code malveillant, clic sur des liens redirigeant vers des sites malveillants.
Sensibilisation des utilisateurs :
- L'expéditeur est-il connu ?
- Une information de sa part est-elle attendue ?
- Le lien proposé est-il cohérent avec le sujet évoqué ?
- En cas de doute, vérifier l'authenticité du message par un autre canal
Mesures organisationnelles :
- Appliquer strictement des procédures contre les escroqueries (demandes de virement frauduleux)
Accès à distance :
- La redirection de messages professionnels vers une messagerie personnelle est à proscrire (fuite irrémédiable)
- Fournir des moyens maîtrisés et sécurisés pour l'accès distant
- À défaut, accès à une infrastructure virtualisée distante pour la bureautique est envisageable
Système de messagerie :
- S'assurer de disposer d'un système d'analyse antivirus en amont des boîtes aux lettres
- Activer le chiffrement TLS des échanges entre serveurs de messagerie
- Activer le chiffrement TLS entre les postes utilisateur et les serveurs hébergeant les boîtes aux lettres
Niveau Renforcé :
- Ne pas exposer directement les serveurs de boîte aux lettres sur Internet
- Mettre en place un serveur relai dédié à l'envoi et à la réception en coupure d'Internet
- Déployer un service anti-spam pour éliminer cette source de risques
- Mettre en place les mécanismes de vérification d'authenticité et de bonne configuration des enregistrements DNS publics (MX, SPF, DKIM, DMARC)
Niveau : Standard / Renforcé
Pour des besoins opérationnels, une entité peut établir une interconnexion réseau dédiée avec un fournisseur ou un client (infogérance, échange de données informatisées, flux monétiques).
Transmission via Internet :
- Établir un tunnel site à site, de préférence IPsec
- Respecter les préconisations de l'ANSSI
Filtrage :
- Le partenaire est considéré par défaut comme non sûr
- Effectuer un filtrage IP à l'aide d'un pare-feu au plus près de l'entrée des flux
- La matrice des flux (entrants et sortants) doit être réduite au juste besoin opérationnel
- Maintenir cette matrice dans le temps et s'assurer de la conformité de la configuration des équipements
Niveau Renforcé :
- S'assurer que l'équipement de filtrage IP pour les connexions partenaires est dédié à cet usage
- Ajouter un équipement de détection d'intrusions
- Maintenir à jour un point de contact chez le partenaire pour réagir en cas d'incident de sécurité
Niveau : Standard
Les mécanismes de sécurité physique doivent faire partie intégrante de la sécurité des systèmes d'information et être à l'état de l'art.
Accès aux salles serveurs et locaux techniques :
- Contrôler à l'aide de serrures ou de mécanismes de contrôle d'accès par badge
- Proscrire les accès non accompagnés des prestataires extérieurs, sauf s'il est possible de tracer strictement les accès et de limiter ces derniers en fonction des plages horaires
- Réaliser une revue régulière des droits d'accès pour identifier les accès non autorisés
- Lors du départ d'un collaborateur ou d'un changement de prestataire, procéder au retrait des droits d'accès ou au changement des codes d'accès
Prises réseau :
- Les prises réseau se trouvant dans des zones ouvertes au public (salle de réunion, hall d'accueil, couloirs, placards) doivent être restreintes ou désactivées
Mesure 27 : Interdire l'Accès à Internet depuis les Postes ou Serveurs Utilisés pour l'Administration du Système d'Information
Niveau : Standard / Renforcé
Un poste de travail ou un serveur utilisé pour les actions d'administration ne doit en aucun cas avoir accès à Internet, en raison des risques que la navigation Web et la messagerie font peser sur son intégrité.
Pour les autres usages des administrateurs nécessitant Internet (consultation de documentation en ligne, messagerie) :
- Mettre à leur disposition un poste de travail distinct
- À défaut, accès à une infrastructure virtualisée distante pour la bureautique depuis un poste d'administration est envisageable
Déconseillé : Fournir un accès distant à une infrastructure d'administration depuis un poste bureautique (risque d'élévation de privilèges en cas de récupération des authentifiants).
Niveau Renforcé :
- Les mises à jour logicielles des équipements administrés doivent être récupérées depuis une source sûre (site de l'éditeur)
- Les contrôler puis les transférer sur le poste ou serveur utilisé pour l'administration
- Le transfert peut être réalisé sur un support amovible dédié
- Pour les entités automatisant certaines tâches, mettre en place une zone d'échanges
Niveau : Standard / Renforcé
Un réseau d'administration interconnecte les postes ou serveurs d'administration et les interfaces d'administration des équipements.
Nécessité : Cloisonner spécifiquement le réseau d'administration vis-à-vis du réseau bureautique des utilisateurs, pour se prémunir de toute compromission par rebond depuis un poste utilisateur.
Options selon les besoins de sécurité :
Priorité 1 - Cloisonnement physique (possible dès que possible) :
- Solution représentant des coûts et un temps de déploiement importants
Niveau Renforcé - Cloisonnement logique cryptographique :
- Mise en place de tunnels IPsec
- Assure l'intégrité et la confidentialité des informations véhiculées
Minimum - Cloisonnement logique par VLAN :
- Solution minimale
Mesure 29 : Limiter au Strict Besoin Opérationnel les Droits d'Administration sur les Postes de Travail
Niveau : Standard
De nombreux utilisateurs, y compris aux hauts niveaux hiérarchiques, demandent des privilèges plus importants sur leurs postes (installation de logiciels, configuration du système).
Recommandation : Par défaut, un utilisateur du SI ne doit pas disposer de privilèges d'administration sur son poste de travail, quelle que soit sa position hiérarchique.
Justification : Cette mesure vise à limiter les conséquences de l'exécution malencontreuse d'un code malveillant.
Solution : Mise à disposition d'un magasin étoffé d'applications validées par l'entité du point de vue de la sécurité répondra à la majorité des besoins.
Principes :
- Seuls les administrateurs chargés de l'administration des postes disposent de ces droits lors de leurs interventions
- Si une délégation de privilèges est réellement nécessaire pour un besoin ponctuel : doit être tracée, limitée dans le temps, et retirée à échéance
Niveau : Standard / Renforcé
Les terminaux nomades (ordinateurs portables, tablettes, ordiphones) sont exposés à la perte et au vol. Ils peuvent contenir des informations sensibles et constituer un point d'entrée vers le système d'information.
Sensibilisation des utilisateurs :
- Augmenter le niveau de vigilance lors des déplacements
- Conserver les équipements à portée de vue
- N'importe quelle entité peut être victime d'une attaque informatique
Banalisation des terminaux :
- Éviter toute mention explicite de l'entité d'appartenance (autocollants aux couleurs de l'entité)
Écran :
- Positionner un filtre de confidentialité sur chaque écran pour éviter les indiscrétions lors des déplacements (transports, lieux d'attente)
Niveau Renforcé :
- Utiliser un support externe complémentaire pour conserver des secrets de déchiffrement ou d'authentification (carte à puce ou jeton USB)
- Ce support doit être conservé à part pour rendre le poste inutilisable seul
Niveau : Standard
Les déplacements fréquents et la miniaturisation du matériel informatique conduisent souvent à la perte ou au vol dans l'espace public.
Impératif : Ne stocker que des données préalablement chiffrées sur l'ensemble des matériels nomades (ordinateurs portables, ordiphones, clés USB, disques durs externes).
Accès aux données : Seul un secret (mot de passe, carte à puce, code PIN) pourra permettre à celui qui le possède d'accéder aux données.
Types de chiffrement :
- Chiffrement de partition
- Chiffrement d'archives
- Chiffrement de fichier
Priorité : Commencer par un chiffrement complet du disque avant d'envisager le chiffrement d'archives ou de fichiers (risque de fichiers non chiffrés laissés sur le support).
Essentiel : S'assurer de l'unicité et de la robustesse du secret de déchiffrement utilisé.
Niveau : Standard / Renforcé
En situation de nomadisme, les utilisateurs ont souvent besoin de se connecter au système d'information de l'entité via Internet.
Recommandation : Établir un tunnel VPN IPsec entre le poste nomade et une passerelle VPN IPsec mise à disposition par l'entité.
Caractéristiques du tunnel :
- Automatiquement établi
- Non débrayable par l'utilisateur
- Aucun flux ne doit être transmis en dehors de ce tunnel
Portails captifs : L'entité peut autoriser une connexion à la demande ou maintenir la recommandation en encourageant l'utilisateur à utiliser un partage de connexion sur un téléphone mobile de confiance.
Note : Bien que les tunnels VPN SSL/TLS soient courants, IPsec est fortement recommandé.
Niveau Renforcé :
- Recourir à une authentification forte pour éviter la réutilisation d'authentifiants depuis un poste volé ou perdu
- Utiliser un mot de passe et un certificat stocké sur un support externe (carte à puce ou jeton USB)
- Ou utiliser un mécanisme de mot de passe à usage unique (One Time Password)
Niveau : Standard / Renforcé
Les ordiphones et tablettes font partie du quotidien personnel et/ou professionnel.
Première recommandation : Ne pas mutualiser les usages personnel et professionnel sur un seul et même terminal (ne pas synchroniser simultanément comptes professionnel et personnel de messagerie, réseaux sociaux, agendas).
Terminaux fournis par l'entité :
- Doivent faire l'objet d'une sécurisation à part entière dès lors qu'ils se connectent au système d'information ou qu'ils contiennent des informations professionnelles sensibles
- Utiliser une solution de gestion centralisée des équipements mobiles
- Configurer de manière homogène les politiques de sécurité : moyen de déverrouillage du terminal, limitation du magasin d'applications aux applications validées
Alternative : Configuration préalable avant remise de l'équipement et sensibilisation des utilisateurs
Niveau Renforcé :
- Les assistants vocaux intégrés augmentent sensiblement la surface d'attaque
- Cas d'attaque ont été démontrés
- Déconseillé de les utiliser
Niveau : Standard
De nouvelles failles sont régulièrement découvertes au cœur des systèmes et logiciels. Ces failles sont autant de portes d'accès pour un attaquant.
Impératif : S'informer de l'apparition de nouvelles vulnérabilités (CERT-FR) et appliquer les correctifs de sécurité dans le mois qui suit leur publication par l'éditeur.
Politique de mise à jour à formaliser avec procédures opérationnelles précisant :
- La manière dont l'inventaire des composants du système d'information est réalisé
- Les sources d'information relatives à la publication des mises à jour
- Les outils pour déployer les correctifs (exemple WSUS pour mises à jour Microsoft, outils gratuits ou payants pour tiers et autres systèmes d'exploitation)
- L'éventuelle qualification des correctifs et leur déploiement progressif
Composants obsolètes :
- Les composants qui ne sont plus supportés doivent être isolés du reste du système
- Filtrage strict des flux au niveau réseau
- Secrets d'authentification dédiés à ces systèmes
Mesure 35 : Anticiper la Fin de la Maintenance des Logiciels et Systèmes et Limiter les Adhérences Logicielles
Niveau : Standard
L'utilisation d'un système ou d'un logiciel obsolète augmente significativement les possibilités d'attaque. Les systèmes deviennent vulnérables dès que les correctifs ne sont plus proposés.
Précautions :
- Établir et tenir à jour un inventaire des systèmes et applications
- Choisir des solutions dont le support est assuré pour une durée correspondant à leur utilisation
- Assurer un suivi des mises à jour et des dates de fin de support
- Maintenir un parc logiciel homogène (coexistence de versions différentes multiplie les risques)
- Limiter les adhérences logicielles (dépendances de fonctionnement d'un logiciel par rapport à un autre, particulièrement en fin de support)
- Inclure dans les contrats des clauses garantissant le suivi des correctifs de sécurité et la gestion des obsolescences
- Identifier les délais et ressources nécessaires à la migration (tests de non-régression, sauvegarde, migration des données)
Niveau : Standard / Renforcé
Disposer de journaux pertinents est nécessaire pour détecter les dysfonctionnements et tentatives d'accès illicites.
Première étape : Déterminer quels sont les composants critiques (équipements réseau et sécurité, serveurs critiques, postes de travail d'utilisateurs sensibles).
Configuration à analyser :
- Format des journaux
- Fréquence de rotation des fichiers
- Taille maximale des fichiers journaux
- Catégories d'évènements enregistrés
Évènements critiques :
- Doivent être journalisés
- Gardés pendant au moins un an (ou plus selon obligations légales du secteur)
Éléments à journaliser (étude contextuelle du système) :
- Pare-feu : paquets bloqués
- Systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés
- Services : erreurs de protocoles (403, 404, 500 pour HTTP), traçabilité des flux applicatifs aux interconnexions (URLs sur relai HTTP, en-têtes sur relai SMTP)
Synchronisation : La source de synchronisation de temps (protocole NTP) doit être identique entre les différents composants pour corréler les événements.
Niveau Renforcé :
- Centraliser les journaux sur un dispositif dédié
- Facilite la recherche automatisée d'événements suspects
- Permet l'archivage sur longue durée
- Empêche un attaquant d'effacer les traces de son passage
Niveau : Standard / Renforcé
Suite à un incident d'exploitation ou en contexte de gestion d'une intrusion, la disponibilité de sauvegardes conservées en lieu sûr est indispensable à la poursuite de l'activité.
Politique de sauvegarde à formaliser et mettre à jour régulièrement.
Éléments à intégrer minimalement :
- Liste des données jugées vitales pour l'organisme et serveurs concernés
- Différents types de sauvegarde (mode hors ligne par exemple)
- Fréquence des sauvegardes
- Procédure d'administration et d'exécution des sauvegardes
- Informations de stockage et restrictions d'accès aux sauvegardes
- Procédures de test de restauration
- Destruction des supports ayant contenu les sauvegardes
Tests de restauration :
- Systématique : par un ordonnanceur de tâches pour les applications importantes
- Ponctuelle : en cas d'erreur sur les fichiers
- Générale : sauvegarde et restauration entières du système d'information
Niveau Renforcé :
- Planifier au moins une fois par an un exercice de restauration des données
- Conserver une trace technique des résultats
Mesure 38 : Procéder à des Contrôles et Audits de Sécurité Réguliers puis Appliquer les Actions Correctives Associées
Niveau : Renforcé
La réalisation d'audits réguliers (au moins une fois par an) du système d'information est essentielle.
Objectifs des audits :
- Évaluer concrètement l'efficacité des mesures mises en œuvre et leur maintien dans le temps
- Mesurer les écarts pouvant persister entre la règle et la pratique
Réalisation :
- Par des équipes d'audit internes ou des sociétés externes spécialisées
- Audits techniques et/ou organisationnels selon le périmètre à contrôler
Nécessité : Particulièrement importante si l'entité doit être conforme à des réglementations et obligations légales directes liées à ses activités.
Suite des audits :
- Identifier les actions correctives
- Planifier leur application
- Organiser des points de suivi à intervalles réguliers
- Intégrer des indicateurs sur l'avancement du plan d'action dans un tableau de bord pour la direction
Limite des audits :
- Ils ne constituent jamais une preuve de l'absence de vulnérabilités
- Ne dispensent pas d'autres mesures de contrôle
Prestataires PASSI : Prestataires d'audit de sécurité des systèmes d'information qualifiés par l'ANSSI, délivrant des prestations d'audit d'architecture, configuration, code source, tests d'intrusion, audit organisationnel et physique.
Mesure 39 : Désigner un Référent en Sécurité des Systèmes d'Information et le Faire Connaître auprès du Personnel
Niveau : Standard
Toute entité doit disposer d'un référent en sécurité des systèmes d'information soutenu par la direction ou par une instance décisionnelle spécialisée selon le niveau de maturité.
Visibilité : Ce référent doit être connu de tous les utilisateurs et sera le premier contact pour les questions relatives à la sécurité.
Fonctions :
- Définition des règles à appliquer selon le contexte
- Vérification de l'application des règles
- Sensibilisation des utilisateurs et définition d'un plan de formation des acteurs informatiques
- Centralisation et traitement des incidents de sécurité constatés ou remontés par les utilisateurs
Formation : Le référent doit être formé à la sécurité des systèmes d'information et à la gestion de crise.
Entités importantes : Ce correspondant peut être désigné pour devenir le relais du RSSI (Responsable de la Sécurité des Systèmes d'Information). Il peut signaler les doléances des utilisateurs et identifier les thématiques à aborder dans les sensibilisations.
Niveau : Standard
Le constat d'un comportement inhabituel (connexion impossible, activité importante, activités inhabituelles, services ouverts non autorisés, fichiers créés/modifiés/supprimés sans autorisation, multiples alertes antivirus) peut alerter sur une éventuelle intrusion.
Mauvaise réaction : Peut faire empirer la situation et empêcher de traiter correctement le problème.
Bon réflexe initial :
- Déconnecter la machine du réseau pour stopper l'attaque
- Maintenir le poste sous tension
- Ne pas redémarrer pour ne pas perdre d'informations utiles à l'analyse de l'attaque
Escalade :
- Prévenir la hiérarchie
- Contacter le référent en sécurité des systèmes d'information
Intervention spécialisée : Le référent peut prendre contact avec un prestataire de réponse aux incidents de sécurité (PRIS) pour :
- Opérations techniques : copie physique du disque, analyse de la mémoire, des journaux, analyse des codes malveillants
- Déterminer si d'autres éléments du système d'information ont été compromis
- Élaborer la réponse : suppression des codes malveillants, accès dont dispose l'attaquant
- Procéder au changement des mots de passe compromis
Documentation :
- Consigner tout incident dans un registre centralisé
- Possibilité de déposer une plainte auprès du service judiciaire compétent
Prestataires PRIS : Prestataires de réponse aux incidents interviennent lors d'une concordance de signaux suspecte d'activité informatique malveillante. L'ANSSI a élaboré un référentiel pour garantir compétence et confiance.
Niveau : Renforcé
Chaque entité évolue dans un environnement informationnel complexe qui lui est propre.
Principe : Toute prise de position ou plan d'action impliquant la sécurité doit être considéré à la lumière des risques pressentis par la direction.
Nécessité : Qu'il s'agisse de mesures organisationnelles ou techniques, leur mise en œuvre représente un coût qui nécessite de s'assurer qu'elles réduisent un risque identifié.
Cas sensibles : L'analyse de risque peut remettre en cause certains choix passés si la probabilité d'un événement et ses conséquences s'avèrent critiques et qu'aucune action préventive n'existe.
Démarche recommandée :
- Définir le contexte
- Apprécier les risques
- Traiter les risques
Évaluation des risques :
- Selon deux axes : probabilité d'apparition et gravité
- S'ensuit l'élaboration d'un plan de traitement à faire valider par une autorité désignée à plus haut niveau
Trois approches pour maîtriser les risques :
- Recours aux bonnes pratiques de sécurité informatique
- Analyse de risques systématique fondée sur les retours d'expérience
- Gestion structurée des risques formalisée par une méthodologie dédiée
Méthode EBIOS :
- Référencée par l'ANSSI
- Permet d'exprimer les besoins de sécurité
- Identifie les objectifs de sécurité
- Détermine les exigences de sécurité
- Complète pour la gestion des risques SSI
Niveau : Renforcé
La qualification prononcée par l'ANSSI offre des garanties de sécurité et de confiance aux acheteurs.
Catalogues : L'ANSSI publie des catalogues de produits et de prestataires de service qualifiés.
Recommandation générale : Au-delà des entités soumises à réglementation, l'ANSSI encourage l'ensemble des entreprises et administrations françaises à utiliser des produits qualifiés, seul gage d'une étude sérieuse et approfondie.
Prestataires qualifiés :
- Évalués sur des critères techniques et organisationnels
- Couvrent l'essentiel des métiers de la sécurité des systèmes d'information
- Selon les besoins et le maillage national, une entité peut faire appel à :
- PASSI : Prestataire d'audit de la sécurité des systèmes d'information
- PRIS : Prestataire de réponse aux incidents de sécurité
- PDIS : Prestataire de détection des incidents de sécurité
- SecNumCloud : Prestataire de service d'informatique en nuage
- Site Web de l'ANSSI : https://www.ssi.gouv.fr
- Catalogue qualifications : https://www.ssi.gouv.fr/qualifications/
- CERT-FR : https://www.cert.ssi.gouv.fr
- CNIL : https://www.cnil.fr
- Twitter ANSSI : @ANSSI_FR
- ANSSI - Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS)
- ANSSI - Guide de l'externalisation – Maîtriser les risques de l'infogérance
- ANSSI - Charte d'utilisation des moyens informatiques et des outils numériques
- ANSSI-CDSE - Passeport de conseils aux voyageurs
- ANSSI - Recommandations de sécurité relatives aux mots de passe
- ANSSI - Recommandations pour la définition d'une politique de filtrage réseau d'un pare-feu
- ANSSI - Recommandations de sécurité relatives aux réseaux Wi-Fi
- ANSSI - Recommandations de sécurité relatives à Active Directory
- ANSSI - Recommandations relatives à l'administration sécurisée des systèmes d'information
- ANSSI - Recommandations de sécurité relatives aux ordiphones
- ANSSI - Recommandations de sécurité relatives à IPsec
- ANSSI - Recommandations de configuration d'un système GNU/Linux
Les mesures essentielles pour tout système d'information.
-
M1 : Former les équipes opérationnelles aux risques de sécurité
- Cibles : administrateurs réseau/système, chefs de projet, développeurs
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 1
-
M2 : Sensibiliser les utilisateurs aux bonnes pratiques
- Interdire les appareils personnels sur le réseau
- Maintenir la confidentialité des identifiants
- Signaler les incidents
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 2
-
M7 : Authentifier les utilisateurs
- Utiliser un identifiant et mot de passe pour chaque utilisateur
- Enregistrer les accès
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 7
-
M8 : Contrôler les accès aux ressources
- Gérer les droits selon le principe du moindre privilège
- Documenter les accès
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 8
-
M13 : Déployer une solution de sauvegarde
- Sauvegardes régulières et testées
- Offsite pour les données critiques
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 13
-
M14 : Utiliser des antivirus/anti-malware
- Installation obligatoire sur tous les postes
- Mise à jour automatique
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 14
-
M15 : Appliquer les mises à jour de sécurité
- Patch critiques : immédiat
- Autres : régulièrement programmées
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 15
- M16 : Choisir des mots de passe robustes
- Longueur minimale : 12 caractères
- Complexité : majuscules, minuscules, chiffres, caractères spéciaux
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 16
Pour renforcer significativement la sécurité du système d'information.
-
M3 : Inventorier et documenter le SI
- Cartographie des matériels et logiciels
- Documentation des services
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 3
-
M4 : Adapter la gestion aux enjeux du SI
- Identifier les données sensibles
- Classer les ressources par criticité
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 4
-
M5 : Assurer la traçabilité des opérations
- Journaux d'accès et modifications
- Audit trail pour les opérations critiques
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 5
-
M9 : Mettre en place l'authentification multifacteur (AMF)
- Pour l'accès à distance
- Pour les comptes privilégiés
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 9
-
M10 : Gérer les comptes privilégiés
- Utilisation de comptes de service différenciés
- Enregistrement renforcé des accès
- Rotation régulière des accès
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 10
-
M17 : Sécuriser l'accès au réseau
- Isolation des réseaux sensibles
- Filtrage du trafic réseau
- Pare-feu périphérique configuré
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 17
-
M18 : Chiffrer les communications sensibles
- VPN pour l'accès à distance
- HTTPS/TLS pour les services web
- Chiffrement des échanges de données sensibles
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 18
-
M20 : Maintenir la disponibilité du réseau
- Redondance des éléments critiques
- Bande passante suffisante
- Tests réguliers de continuité
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 20
- M23 : Détecter et traiter les incidents de sécurité
- Procédures de signalement
- Investigation et documentation
- Correction des vulnérabilités exploitées
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 23
-
M24 : Évaluer les risques de sécurité
- Analyse de risque formelle
- Cartographie des menaces
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 24
-
M25 : Traiter les risques
- Plan de traitement des risques résiduels
- Acceptation formelle ou réduction
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 25
- M26 : Sécuriser les locaux
- Contrôle d'accès physique
- Vidéosurveillance des zones sensibles
- Destruction sécurisée des données
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 26
Pour les organisations avec des enjeux de sécurité très élevés.
-
M6 : Planifier la continuité du SI
- Plan de continuité formalisé
- Plan de reprise après sinistre (PRA)
- Tests réguliers (au moins annuels)
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 6
-
M11 : Cloisonner et filtrer le réseau
- Architecture en zones de confiance
- DMZ pour les services exposés
- Pare-feu applicatif (WAF)
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 11
-
M12 : Filtrer les flux à la sortie du réseau
- Contrôle des connexions sortantes
- Blocage des ports/protocoles non autorisés
- Monitoring des exfiltrations potentielles
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 12
- M19 : Chiffrer les données sensibles
- Chiffrement au repos (disques, bases de données)
- Chiffrement en transit (TLS, IPSec)
- Gestion des clés (stockage, rotation)
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 19
-
M27 : Gérer les versions et évolutions du SI
- Contrôle de version des configurations
- Processus de validation avant déploiement
- Rollback automatique en cas d'erreur
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 27
-
M28 : Sécuriser le développement logiciel
- Sécurité dès la conception (secure coding)
- Tests de sécurité (audit code, fuzzing)
- Gestion des dépendances et vulnérabilités
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 28
-
M29 : Tracer les échanges avec les tiers
- Chiffrement des échanges
- Intégrité des données
- Non-répudiation
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 29
-
M21 : Monitorer la sécurité du réseau
- IDS/IPS déployés
- Analyse du trafic réseau
- Alertes en temps réel
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 21
-
M22 : Monitorer les postes de travail
- EDR (Endpoint Detection & Response)
- Analyse comportementale
- Détection des anomalies
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 22
-
M30 : Analyser les fichiers suspects
- Bac à sable (sandbox) d'analyse
- Analyse statique et dynamique
- Partage de la détection avec la communauté
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 30
-
M31 : Assurer la sécurité du poste administrateur
- Isolement du poste administrateur
- Authentification forte
- Enregistrement intégral des sessions
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 31
-
M32 : Sécuriser l'administration à distance
- VPN obligatoire
- Authentification multifacteur
- Accès limité dans le temps
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 32
-
M33 : Éliminer les accès temporaires
- Suppression automatique des accès temporaires
- Audit de conformité
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 33
-
M34 : Sécuriser les serveurs DNS
- DNSSEC pour la validation
- Logs détaillés des requêtes
- Redondance géographique
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 34
-
M35 : Sécuriser les serveurs de temps (NTP)
- Synchronisation fiable de l'heure
- Authentification des sources NTP
- Détection de dérive temporelle
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 35
-
M36 : Sécuriser les serveurs d'applications critiques
- Durcissement renforcé (hardening)
- Isolation réseau stricte
- Monitoring proactif
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 36
-
M37 : Valider l'intégrité des données
- Signatures numériques
- Checksum et hash
- Détection de tampering
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 37
-
M38 : Valider l'intégrité des logiciels
- Vérification des signatures
- Provenance documentée
- Tests de non-malveillance
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 38
-
M39 : Sécuriser les infrastructures de clés publiques (PKI)
- Gestion stricte des certificats
- Audit de la PKI
- Archivage des certificats
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 39
-
M40 : Sécuriser l'accès au cloud
- Chiffrement de bout en bout
- Authentification renforcée
- Audit des accès cloud
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 40
-
M41 : Contrôler l'intégrité du matériel
- TPM (Trusted Platform Module)
- Secure Boot
- Attestation d'intégrité
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 41
-
M42 : Sécuriser les données archivées
- Chiffrement des archives
- Destruction planifiée
- Intégrité vérifiée régulièrement
- Référence ANSSI : Guide d'Hygiène Informatique, Mesure 42
| Catégorie | Nombre de Mesures | Objectif Principal |
|---|---|---|
| MINIMAL | 7 mesures | Fondamentaux obligatoires pour tout SI |
| MEDIUM | 16 mesures | Renforcement de la sécurité |
| MAXIMALE/POINTU | 19 mesures | Sécurité avancée et résilience |
Note : Ce classement réflète une progression logique des enjeux de sécurité. Le niveau MINIMAL correspond aux bonnes pratiques universelles, le MEDIUM aux recommandations pour une sécurité robuste, et le MAXIMALE/POINTU aux mesures pour les organisations avec des exigences très élevées ou un contexte critique.
Version du guide : 2.0 - Septembre 2017
Identifiant : 20170901-1756
Licence : Ouverte/Open Licence (Etalab - V1)
Agence responsable : ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Site officiel : https://www.ssi.gouv.fr
Courriel : communication@ssi.gouv.fr