Les règles de sécurité


Les règles de sécurité sont à la fois organisationnelles et techniques. Elles doivent, pour la plupart, être déjà appliquées par l’ensemble des opérateurs pour sécuriser efficacement leurs systèmes d’information d’importance vitale. Ces règles de sécurité s’appliquent notamment aux SIIV opérés par les sous-traitants.
Retrouvez ci-dessous une présentation synthétique et générique des règles de sécurité.

 

Politique de sécurité des systèmes d’information

Objectifs

  • Porter les enjeux SSI au plus haut niveau de l’entité.
  • Encourager l’opérateur à définir une stratégie SSI.

Elaboration et mise en œuvre d’une PSSI élaborée selon les critères définis par l’ANSSI, prévoyant notamment des plans de formation et de sensibilisation à la SSI.

Ressources : Guide d’élaboration de PSSI, norme ISO 27001, PSSIE

Homologation de sécurité

Objectifs

  • Identifier les risques portant sur les SIIV et les mesures adaptées pour les couvrir.
  • Accepter formellement les risques résiduels, au niveau de responsabilité suffisant.

Homologation obligatoire pour chaque SIIV, prononcée par l’opérateur, incluant un audit réalisé selon les critères définis par l’ANSSI.

Ressources :
Guide « L’homologation de sécurité en neuf étapes simples », référentiel PASSI

Cartographie

Objectifs

  • Pouvoir apprécier l’impact d’une compromission.
  • Faciliter le traitement des incidents de sécurité.
  • Pouvoir qualifier et attribuer des signalements remontés par des partenaires de l’ANSSI.

Tenue à disposition de l’ANSSI d’une cartographie de chaque SIIV.

Maintien en conditions de sécurité

Objectifs

  • S’assurer que les SIIV conservent un niveau de sécurité constant, adapté à l’évolution de la menace.

Suivi et prise en compte des correctifs de sécurité.

Gestion des mises à jour des SIIV.

Journalisation

Objectifs

  • Enregistrer les évènements permettant de détecter des incidents de sécurité.
  • Pouvoir réaliser des investigations a posteriori en cas d’incident.
  • Pouvoir réaliser des recherches de compromission.

Mise en place d’un système de journalisation pour chaque SIIV.

Ressources :
Note technique Prérequis à la mise en œuvre d’un système de journalisation

Détection

Objectifs

  • Détecter au plus tôt les tentatives d’attaque.
  • Pouvoir réagir rapidement en cas de compromission.

Mise en œuvre d’un système de corrélation et d’analyse des journaux, exploité en s’appuyant sur les exigences du référentiel PDIS.

Mise en œuvre de sondes de détection qualifiées opérées par l’ANSSI, d’autres services de l’Etat ou des prestataires qualifiés, positionnées de manière à pouvoir analyser les flux échangés entre les SIIV et les autres systèmes.

Ressources :
Référentiel PDIS

Traitement des incidents de sécurité

Objectifs

  • Assurer la gestion et la supervision des incidents.
  • Mettre en place les ressources adaptées à l’analyse et au traitement de ces incidents.

Mise en place d’une organisation de gestion des incidents de sécurité informatique.

Traitement des incidents de sécurité en s’appuyant sur les exigences du référentiel PRIS.

Ressources :
référentiel PRIS

Traitement des alertes

Objectifs

  • Informer au plus vite l’opérateur d’un risque de compromission sur ses SIIV.
  • Pouvoir activer rapidement des mesures de réaction en vue de limiter le périmètre de compromission et les impacts.

Communication à l’ANSSI d’un point de contact fonctionnel pouvant prendre connaissance à toute heure des signalements de l’ANSSI.

Gestion de crises

Objectifs

  • Préparer l’opérateur à activer les mesures de crise décidées par le Premier ministre.

Mise en œuvre d’une procédure de gestion de crise en cas d’attaques informatiques majeures.

Gestion des identités et des accès

Objectifs

  • Limiter l’exposition des SIIV aux attaques et aux erreurs de manipulation.
  • Assurer la traçabilité des accès aux ressources des SIIV.

Identification par comptes individuels.

Protection des éléments secrets d’authentification.

Gestion des autorisations selon le principe du moindre privilège.

Connaissance des comptes privilégiés et des droits associés.

Ressources :
Note technique Sécurité des mots de passe

Administration

Objectifs

  • Prévenir les attaques pouvant conduire à une prise de contrôle totale et furtive du SIIV.

Utilisation de comptes dédiés à l’administration pour l’administration des SIIV.

Mise en place de ressources matérielles et logicielles dédiées aux opérations d’administration.

Séparation entre les flux d’administration et les autres flux.

Ressources :
Note technique Sécuriser l’administration des SI

Défense en profondeur

Objectifs

  • Empêcher, a minima, ralentir toute attaque.
  • Décourager les attaquants par l’investissement à consacrer pour mener une attaque.

Cloisonnement entre les différentes parties du SIIV et vis-à-vis des systèmes extérieurs au SIIV.

Application d’une politique de filtrage pour s’assurer que seuls les flux strictement nécessaires sont utilisés.

Contrôle strict des connexions distantes.

Durcissement des éléments du SIIV.

Ressources :
Ensemble des notes techniques, Guide des bonnes pratique

Indicateurs

Objectifs

  • Mieux évaluer le degré d’exposition des SIIV aux attaques informatiques.
  • Affiner la stratégie de protection des opérateurs de chaque secteur.

Evaluation pour chaque SIIV d’indicateurs SSI et transmission annuelle à l’ANSSI d’un tableau de bord de suivi de ces indicateurs.