Établir et tenir à jour un inventaire détaillé des actifs de l’entreprise :

Établissez et tenez à jour un inventaire précis, détaillé et à jour de tous les actifs de l’entreprise susceptibles de stocker ou de traiter des données, y compris les appareils d’utilisateur final (y compris les appareils portables et mobiles), les appareils réseau, les appareils non informatiques/IoT et les serveurs. Assurez-vous que l’inventaire enregistre l’adresse réseau (si statique), l’adresse du matériel, le nom de la machine, le propriétaire de l’actif de données, le département de chaque actif et si l’actif a été approuvé pour se connecter au réseau. Pour les appareils mobiles des utilisateurs finaux, des outils de type MDM peuvent prendre en charge ce processus, le cas échéant. Cet inventaire comprend les actifs connectés à l’infrastructure physiquement, virtuellement, à distance et ceux dans des environnements cloud. En outre, elle comprend les actifs qui sont régulièrement connectés à l’infrastructure réseau de l’entreprise, même s’ils ne sont pas sous le contrôle de l’entreprise. Examiner et mettre à jour l’inventaire de tous les actifs d’entreprise deux fois par an, ou plus fréquemment.

Traitez les actifs non autorisés :

Assurez-vous qu’il existe un processus pour traiter les actifs non autorisés sur une base hebdomadaire. L’entreprise peut choisir de supprimer l’actif du réseau, d’empêcher l’actif de se connecter à distance au réseau ou de mettre l’actif en quarantaine.

Utilisez un outil de découverte actif :

Utilisez un outil de découverte actif pour identifier les actifs connectés au réseau de l’entreprise. Configurez l’outil de découverte actif pour qu’il s’exécute quotidiennement ou plus fréquemment.

Utilisez la journalisation DHCP (Dynamic Host Configuration Protocol) pour mettre à jour l’inventaire des actifs d’entreprise :

Utilisez la connexion DHCP sur tous les serveurs DHCP ou les outils de gestion des adresses IP (Internet Protocol) pour mettre à jour l’inventaire des actifs de l’entreprise. Examinez et utilisez des journaux pour mettre à jour l’inventaire des actifs de l’entreprise chaque semaine, ou plus fréquemment.

Utilisez un outil de découverte d’actifs passifs :

Utilisez un outil de détection passive pour identifier les actifs connectés au réseau de l’entreprise. Passez en revue et utilisez des analyses pour mettre à jour l’inventaire des actifs de l’entreprise au moins une fois par semaine, ou plus fréquemment.

Établir et maintenir un inventaire logiciel :

Établir et tenir à jour un inventaire détaillé de tous les logiciels sous licence installés sur les actifs de l’entreprise. L’inventaire des logiciels doit documenter le titre, l’éditeur, la date d’installation/utilisation initiale et l’objectif commercial de chaque entrée ; le cas échéant, indiquez l’URL (Uniform Resource Locator), la ou les boutiques d’applications, la ou les versions, le mécanisme de déploiement et la date de mise hors service. Examinez et mettez à jour l’inventaire logiciel deux fois par an, ou plus fréquemment.

S’assurer que le logiciel autorisé est actuellement pris en charge

Assurez-vous que seuls les logiciels actuellement pris en charge sont désignés comme autorisés dans l’inventaire des logiciels pour les actifs de l’entreprise. Si le logiciel n’est pas pris en charge, mais est nécessaire à l’accomplissement de la mission de l’entreprise, documentez une exception détaillant les contrôles d’atténuation et l’acceptation des risques résiduels. Pour tout logiciel non pris en charge sans documentation d’exception, indiquez-le comme non autorisé. Consultez la liste des logiciels pour vérifier la prise en charge logicielle au moins une fois par mois, ou plus fréquemment.

Résoudre le problème des logiciels non autorisés :

Assurez-vous que le logiciel non autorisé est supprimé de l’utilisation sur les actifs de l’entreprise ou qu’il reçoit une exception documentée. Examen mensuel, ou plus fréquemment.

Utilisez les outils automatisés d’inventaire logiciel :

Utiliser les outils d’inventaire logiciel, dans la mesure du possible, dans l’ensemble de l’entreprise pour automatiser la détection et la documentation des logiciels installés.

Logiciels autorisés sur liste d’autorisation :

Utilisez des contrôles techniques, tels que la liste d’autorisation d’applications, pour vous assurer que seuls les logiciels autorisés peuvent s’exécuter ou être accessibles. Réévaluez deux fois par an, ou plus fréquemment.

Liste d’autorisation des bibliothèques autorisées :

Utilisez des contrôles techniques pour vous assurer que seules les bibliothèques logicielles autorisées, telles que des fichiers spécifiques .dll, .ocx, .so, etc., sont autorisées à être chargées dans un processus système. Bloquez le chargement des bibliothèques non autorisées dans un processus système. Réévaluez deux fois par an, ou plus fréquemment.

Scripts autorisés sur liste d’autorisation :

Utilisez des contrôles techniques, tels que les signatures numériques et le contrôle de version, pour vous assurer que seuls les scripts autorisés, tels que les fichiers .ps1, .py, et autres, spécifiques sont autorisés à s’exécuter. Bloquez l’exécution de scripts non autorisés. Réévaluez deux fois par an, ou plus fréquemment.

Établissez et maintenez un processus de gestion des données :

Établissez et maintenez un processus de gestion des données. Dans le processus, traitez de la sensibilité des données, du propriétaire des données, du traitement des données, des limites de conservation des données et des exigences de mise au rebut, en fonction des normes de sensibilité et de conservation de l’entreprise. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Chiffrer les données sensibles en transit :

Chiffrez les données sensibles en transit. Des exemples d’implémentation peuvent inclure TLS (Transport Layer Security) et Open Secure Shell (OpenSSH).

Chiffrer les données sensibles au repos :

Chiffrez les données sensibles au repos sur des serveurs, des applications et des bases de données contenant des données sensibles. Le chiffrement de la couche de stockage, également connu sous le nom de chiffrement côté serveur, répond aux exigences minimales de cette garantie. D’autres méthodes de chiffrement peuvent inclure le chiffrement de la couche applicative, également appelé chiffrement côté client, où l’accès au(x) dispositif(s) de stockage de données ne permet pas d’accéder aux données en texte brut.

Segmentez le traitement et le stockage des données en fonction de leur sensibilité :

Segmentez le traitement et le stockage des données en fonction de leur niveau de confidentialité. Ne traitez pas de données sensibles sur les actifs d’entreprise destinées à des données moins sensibles.

Déployez une solution de prévention des pertes de données :

Implémentez un outil automatisé, tel qu’un outil de prévention de la perte de données (DLP) basé sur l’hôte, pour identifier toutes les données sensibles stockées, traitées ou transmises via les actifs de l’entreprise, y compris celles situées sur site ou chez un fournisseur de service distant, et mettre à jour l’inventaire des données sensibles de l’entreprise.

Consigner l’accès aux données sensibles :

Consigner l’accès aux données sensibles, y compris la modification et l’élimination.

Établir et tenir à jour un inventaire des données :

Établir et maintenir un inventaire des données, basé sur le processus de gestion des données de l’entreprise. Inventaire des données sensibles, au minimum. Examiner et mettre à jour l’inventaire une fois par an, au minimum, avec une priorité sur les données sensibles.

Configurer les listes de contrôle d’accès aux données :

Configurez les listes de contrôle d’accès aux données en fonction du besoin de connaissances d’un utilisateur. Appliquez des listes de contrôle d’accès aux données, également appelées autorisations d’accès, aux systèmes de fichiers, bases de données et applications locaux et distants.

Appliquer la conservation des données :

Conservez les données conformément au processus de gestion des données de l’entreprise. La conservation des données doit inclure des délais minimaux et maximaux.

Éliminez les données en toute sécurité :

Éliminez les données en toute sécurité comme décrit dans le processus de gestion des données de l’entreprise. Assurez-vous que le processus et la méthode d’élimination correspondent à la sensibilité des données.

Chiffrez les données sur les appareils de l’utilisateur final :

Chiffrez les données sur les appareils de l’utilisateur final contenant des données sensibles. Les exemples d’implémentation peuvent inclure Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™.

Établir et tenir à jour un système de classification des données :

Établir et maintenir un système global de classification des données pour l’entreprise. Les entreprises peuvent utiliser des étiquettes, telles que « Sensible », « Confidentiel » et « Public », et classer leurs données en fonction de ces étiquettes. Examiner et mettre à jour le système de classification chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Flux de données des documents :

Flux de données des documents. La documentation sur les flux de données comprend les flux de données des fournisseurs de services et doit être basée sur le processus de gestion des données de l’entreprise. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Chiffrer les données sur un support amovible :

Chiffrez les données sur un support amovible.

Établissez et maintenez un processus de configuration sécurisé :

Établissez et maintenez un processus de configuration sécurisé pour les actifs de l’entreprise (appareils d’utilisateur final, y compris les appareils portables et mobiles, les appareils non informatiques/IoT et les serveurs) et les logiciels (systèmes d’exploitation et applications).Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Appliquez le verrouillage automatique des appareils sur les appareils portables des utilisateurs finaux :

Appliquez le verrouillage automatique des appareils après un seuil prédéterminé d’échecs de tentatives d’authentification locales échouées sur les appareils portables d’utilisateur final, le cas échéant. Pour les ordinateurs portables, n’autorisez pas plus de 20 tentatives d’authentification infructueuses ; Pour les tablettes et les smartphones, pas plus de 10 tentatives d’authentification infructueuses. Parmi les exemples d’implémentation, citons Microsoft InTune Device Lock et Apple le profil de configuration maxFailedAttempts.

Appliquez la fonctionnalité d’effacement à distance sur les appareils portables des utilisateurs finaux :

Effacer à distance les données d’entreprise des appareils portables d’utilisateur final appartenant à l’entreprise lorsque cela est jugé approprié, tels que les appareils perdus ou volés, ou lorsqu’une personne ne prend plus en charge l’entreprise.

Séparez les espaces de travail d’entreprise sur les appareils mobiles des utilisateurs finaux :

Assurez-vous que des espaces de travail d’entreprise distincts sont utilisés sur les appareils mobiles des utilisateurs finaux, le cas échéant. Parmi les exemples d’implémentation, citons l’utilisation d’un profil de configuration ou Android d’un Apple profil de travail pour séparer les applications et les données d’entreprise des applications et des données personnelles.

Établissez et maintenez un processus de configuration sécurisé pour l’infrastructure réseau :

Établissez et maintenez un processus de configuration sécurisé pour les appareils réseau. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Configurer le verrouillage automatique de session sur les actifs d’entreprise :

Configurez le verrouillage automatique de session sur les actifs d’entreprise après une période d’inactivité définie. Pour les systèmes d’exploitation à usage général, la période ne doit pas dépasser 15 minutes. Pour les appareils mobiles de l’utilisateur final, la période ne doit pas dépasser 2 minutes.

Implémenter et gérer un pare-feu sur les serveurs :

Implémenter et gérer un pare-feu sur les serveurs, lorsqu’il est pris en charge. Les exemples d’implémentation incluent un pare-feu virtuel, un pare-feu de système d’exploitation ou un agent de pare-feu tiers.

Mettez en œuvre et gérez un pare-feu sur les appareils de l’utilisateur final :

Mettez en œuvre et gérez un pare-feu basé sur l’hôte ou un outil de filtrage des ports sur les appareils de l’utilisateur final, avec une règle de refus par défaut qui abandonne tout le trafic à l’exception des services et des ports explicitement autorisés.

Gérez en toute sécurité les actifs et les logiciels de l’entreprise :

Gérez en toute sécurité les actifs et les logiciels de l’entreprise. Les exemples d’implémentation incluent la gestion de la configuration via une infrastructure en tant que code contrôlée par version et l’accès aux interfaces administratives via des protocoles réseau sécurisés, tels que Secure Shell (SSH) et Hypertext Transfer Protocol Secure (HTTPS). N’utilisez pas de protocoles de gestion non sécurisés, tels que Telnet (Teletype Network) et HTTP, sauf si cela est nécessaire sur le plan opérationnel.

Gérez les comptes par défaut sur les actifs et les logiciels de l’entreprise :

Gérez les comptes par défaut sur les actifs et les logiciels de l’entreprise, tels que les comptes racine, administrateur et autres comptes de fournisseur préconfigurés. Exemples d’implémentation : désactiver les comptes par défaut ou les rendre inutilisables.

Désinstallez ou désactivez les services inutiles sur les actifs et logiciels de l’entreprise :

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels de l’entreprise, tels qu’un service de partage de fichiers, un module d’application Web ou une fonction de service inutilisés.

Configurez des serveurs DNS de confiance sur les actifs de l’entreprise :

Configurez des serveurs DNS approuvés sur les actifs de l’entreprise. Exemples d’implémentation : configuration des actifs pour utiliser des serveurs DNS contrôlés par l’entreprise et/ou des serveurs DNS réputés accessibles de l’extérieur.

Établir et tenir à jour un inventaire des comptes :

Établir et tenir à jour un inventaire de tous les comptes gérés dans l’entreprise. L’inventaire doit inclure les comptes d’utilisateur et d’administrateur. L’inventaire, au minimum, doit contenir le nom de la personne, son nom d’utilisateur, ses dates de début/fin et son département. Validez le fait que tous les comptes actifs sont autorisés, selon un calendrier récurrent au minimum une fois par trimestre ou plus fréquemment.

Utilisez des mots de passe uniques :

Utilisez des mots de passe uniques pour tous les actifs de l’entreprise. L’implémentation des bonnes pratiques inclut au minimum un mot de passe de 8 caractères pour les comptes utilisant la MFA et un mot de passe de 14 caractères pour les comptes n’utilisant pas la MFA.

Désactiver les comptes dormants :

Supprimez ou désactivez tous les comptes dormants après une période d’inactivité de 45 jours, lorsqu’ils sont pris en charge.

Limitez les privilèges d’administrateur aux comptes d’administrateur dédiés :

Limitez les privilèges d’administrateur aux comptes d’administrateur dédiés sur les actifs d’entreprise. Effectuez des activités informatiques générales, telles que la navigation sur Internet, les e-mails et l’utilisation de la suite de productivité, à partir du compte principal non privilégié de l’utilisateur.

Établir et tenir à jour un inventaire des comptes de services :

Établir et tenir à jour un inventaire des comptes de service. L’inventaire doit contenir au minimum le propriétaire du département, la date d’examen et l’objectif. Effectuez des examens des comptes de services pour vérifier que tous les comptes actifs sont autorisés, selon un calendrier récurrent au minimum une fois par trimestre ou plus fréquemment.

Centralisez la gestion des comptes :

Centralisez la gestion des comptes via un service d’annuaire ou d’identité.

Établissez un processus d’octroi d’accès :

Établissez et suivez un processus, de préférence automatisé, pour accorder l’accès aux actifs de l’entreprise lors d’une nouvelle embauche, de l’octroi de droits ou d’un changement de rôle d’un utilisateur.

Établir un processus de révocation d’accès :

Établissez et suivez un processus, de préférence automatisé, pour révoquer l’accès aux actifs de l’entreprise, en désactivant les comptes immédiatement après la résiliation, la révocation des droits ou le changement de rôle d’un utilisateur. La désactivation des comptes, au lieu de la suppression des comptes, peut être nécessaire pour préserver les pistes d’audit.

Exiger la MFA pour les applications exposées en externe :

Exigez que toutes les applications d’entreprise ou tierces exposées en externe appliquent la MFA, le cas échéant. L’application de la MFA par l’intermédiaire d’un service de répertoire ou d’un fournisseur SSO est une mise en œuvre satisfaisante de cette garantie.

Exiger la MFA pour l’accès au réseau distant :

Demandez la MFA pour l’accès réseau distant.

Exiger la MFA pour l’accès administratif :

Exigez la MFA pour tous les comptes d’accès administratif, lorsqu’ils sont pris en charge, sur tous les actifs de l’entreprise, qu’ils soient gérés sur site ou par l’intermédiaire d’un fournisseur tiers.

Établir et tenir à jour un inventaire des systèmes d’authentification et d’autorisation :

Établissez et tenez à jour un inventaire des systèmes d’authentification et d’autorisation de l’entreprise, y compris ceux hébergés sur site ou chez un fournisseur de service à distance. Examinez et mettez à jour l’inventaire, au minimum, une fois par an ou plus fréquemment.

Centralisez le contrôle d’accès :

Centralisez le contrôle d’accès pour tous les actifs de l’entreprise via un service d’annuaire ou un fournisseur SSO, le cas échéant.

Définir et gérer le contrôle d’accès basé sur les rôles :

Définissez et maintenez le contrôle d’accès basé sur les rôles, en déterminant et en documentant les droits d’accès nécessaires pour que chaque rôle au sein de l’entreprise puisse mener à bien les tâches qui lui sont affectées. Effectuez des examens de contrôle d’accès des actifs de l’entreprise pour valider que tous les privilèges sont autorisés, selon un calendrier récurrent au minimum une fois par an, ou plus fréquemment.

Établissez et maintenez un processus de gestion des vulnérabilités :

Établissez et maintenez un processus documenté de gestion des vulnérabilités pour les actifs de l’entreprise. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établissez et maintenez un processus de rattrapage :

Établissez et tenez à jour une stratégie de rattrapage basée sur les risques, documentée dans le cadre d’un processus de rattrapage, avec des examens mensuels ou plus fréquents.

Effectuez une gestion automatisée des correctifs du système d’exploitation :

Effectuez des mises à jour du système d’exploitation sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuer la gestion automatisée des correctifs d’application :

Effectuez des mises à jour des applications sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuez des analyses de vulnérabilité automatisées des actifs d’entreprise internes :

Effectuer des analyses automatisées de vulnérabilité des actifs d’entreprise internes tous les trimestres ou plus fréquemment. Effectuez des analyses authentifiées et non authentifiées à l’aide d’un outil d’analyse des vulnérabilités conforme à SCAP.

Effectuez des analyses de vulnérabilité automatisées des actifs d’entreprise exposés en externe :

Effectuez des analyses automatisées des vulnérabilités des actifs d’entreprise exposés en externe à l’aide d’un outil d’analyse des vulnérabilités compatible SCAP. Effectuer des analyses sur une base mensuelle ou plus fréquente.

Rattraper les vulnérabilités détectées :

Corrigez les vulnérabilités détectées dans les logiciels à l’aide de processus et d’outils sur une base mensuelle ou plus fréquente, en fonction du processus de correction.

Établissez et maintenez un processus de gestion des journaux d’audit :

Établir et maintenir un processus de gestion des journaux d’audit qui définit les exigences de journalisation de l’entreprise. Au minimum, abordez la collecte, l’examen et la conservation des journaux d’audit pour les actifs d’entreprise. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Conserver les journaux d’audit :

Conservez les journaux d’audit sur les actifs de l’entreprise pendant au moins 90 jours.

Effectuer des examens du journal d’audit :

Examinez les journaux d’audit pour détecter les anomalies ou les événements anormaux qui pourraient indiquer une menace potentielle. Effectuer des examens sur une base hebdomadaire ou plus fréquente.

Collecter les journaux des fournisseurs de services :

Collecter les journaux des fournisseurs de service, le cas échéant. Les exemples d’implémentation incluent la collecte des événements d’authentification et d’autorisation, les événements de création et de mise au rebut des données et les événements de gestion des utilisateurs.

Collecter les journaux d’audit :

Collectez les journaux d’audit. Assurez-vous que la journalisation, conformément au processus de gestion des journaux d’audit de l’entreprise, a été activée sur l’ensemble des actifs de l’entreprise.

Assurez-vous d’un stockage adéquat des journaux d’audit :

Assurez-vous que les destinations de journalisation disposent d’un stockage adéquat pour se conformer au processus de gestion des journaux d’audit de l’entreprise.

Standardiser la synchronisation de l’heure :

Standardiser la synchronisation de l’heure. Configurez au moins deux sources de temps synchronisées sur les actifs de l’entreprise, le cas échéant.

Collecter des journaux d’audit détaillés :

Configurez la journalisation d’audit détaillée pour les actifs d’entreprise contenant des données sensibles. Incluez la source de l’événement, la date, le nom d’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles qui pourraient aider à une enquête médico-légale.

Collecter les journaux d’audit des requêtes DNS :

Collecter les journaux d’audit des requêtes DNS sur les actifs de l’entreprise, le cas échéant et pris en charge.

Collecter les journaux d’audit de demande d’URL :

Recueillir les journaux d’audit des demandes d’URL sur les actifs de l’entreprise, le cas échéant et pris en charge.

Collecter les journaux d’audit de ligne de commande :

Collecter les journaux d’audit de ligne de commande. Les exemples d’implémentation incluent la collecte des journaux d’audit à partir de PowerShell™, BASH™ et des terminaux administratifs distants.

Centralisez les journaux d’audit :

Centralisez, dans la mesure du possible, la collecte et la conservation des journaux d’audit sur l’ensemble des actifs de l’entreprise.

Assurez-vous d’utiliser uniquement des navigateurs et des clients de messagerie entièrement pris en charge :

Assurez-vous que seuls les navigateurs et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’entreprise, uniquement en utilisant la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Utiliser les services de filtrage DNS :

Utilisez les services de filtrage DNS sur tous les actifs de l’entreprise pour bloquer l’accès aux domaines malveillants connus.

Gérer et appliquer les filtres d’URL basés sur le réseau :

Appliquez et mettez à jour des filtres URL basés sur le réseau pour empêcher un actif d’entreprise de se connecter à des sites web potentiellement malveillants ou non approuvés. Des exemples d’implémentation incluent le filtrage basé sur les catégories, le filtrage basé sur la réputation ou l’utilisation de listes de blocage. Appliquez des filtres pour tous les actifs de l’entreprise.

Limitez les extensions inutiles ou non autorisées du navigateur et du client de messagerie :

Restreignez, en désinstallant ou en désactivant, les modules d’extension, extensions et applications complémentaires de navigateur ou de client de messagerie non autorisés ou inutiles.

Mettre en œuvre DMARC :

Pour réduire le risque d’usurpation ou de modification d’e-mails provenant de domaines valides, mettez en œuvre la politique et la vérification DMARC, en commençant par la mise en œuvre du cadre de politique de l’expéditeur (SPF) et des normes DKIM (DomainKeys Identified Mail).

Bloquez les types de fichiers inutiles :

Bloquez les types de fichiers inutiles qui tentent d’entrer dans la passerelle de messagerie de l’entreprise.

Déployez et maintenez les protections anti-malware des serveurs de messagerie :

Déployez et maintenez les protections contre les programmes malveillants des serveurs de messagerie, telles que l’analyse des pièces jointes et/ou le sandboxing.

Déployez et maintenez un logiciel anti-programme malveillant :

Déployez et maintenez un logiciel anti-programme malveillant sur tous les actifs de l’entreprise.

Configurez les mises à jour automatiques des signatures anti-programme malveillant :

Configurez les mises à jour automatiques des fichiers de signatures anti-programme malveillant sur tous les actifs de l’entreprise.

Désactiver l’exécution automatique et la lecture automatique pour les supports amovibles :

Désactivez les fonctionnalités d’exécution automatique et d’exécution automatique de lecture automatique pour les supports amovibles.

Configurez l’analyse anti-programme malveillant automatique des supports amovibles :

Configurez un logiciel anti-programme malveillant pour analyser automatiquement les supports amovibles.

Activer les fonctionnalités anti-exploitation :

Activez les fonctionnalités anti-exploitation sur les actifs et les logiciels de l’entreprise, dans la mesure du possible, telles que Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG) ou Apple System Integrity Protection (SIP) et Gatekeeper™.

Gestion centralisée des logiciels anti-malware :

Gérez de manière centralisée les logiciels anti-malware.

Utilisez un logiciel anti-programme malveillant basé sur le comportement :

Utilisez un logiciel anti-programme malveillant basé sur le comportement.

Établir et maintenir un processus de récupération des données :

Établissez et maintenez un processus de récupération des données. Ce faisant, abordez le périmètre des activités de récupération des données, la hiérarchisation de la restauration et la sécurité des données de sauvegarde. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Effectuer des sauvegardes automatisées :

Effectuez des sauvegardes automatisées des actifs d’entreprise dans le champ d’application. Exécuter des copies de sauvegarde chaque semaine, ou plus fréquemment, en fonction de la sensibilité des données.

Protéger les données de récupération :

Protégez les données de récupération avec des contrôles équivalents aux données d’origine. Chiffrement de référence ou séparation des données, en fonction des besoins.

Établir et maintenir une instance isolée de données de récupération :

Établissez et gérez une instance isolée de données de récupération. Les exemples d’implémentation incluent le contrôle des versions des destinations de sauvegarde via des systèmes ou services hors ligne, cloud ou hors site.

Récupération des données de test :

Testez la récupération de la copie de sauvegarde tous les trimestres, ou plus fréquemment, pour un échantillon d’actifs d’entreprise dans le champ d’application.

Assurez-vous que l’infrastructure réseau est à jour :

Assurez-vous que l’infrastructure réseau est tenue à jour. Les exemples d’implémentation incluent l’exécution de la dernière version stable du logiciel et/ou l’utilisation des offres de réseau en tant que service (NaaS) actuellement prises en charge. Examinez les versions logicielles tous les mois, ou plus fréquemment, pour vérifier la prise en charge des logiciels.

Établissez et maintenez une architecture réseau sécurisée :

Établissez et maintenez une architecture réseau sécurisée. Une architecture réseau sécurisée doit au minimum tenir compte de la segmentation, du moindre privilège et de la disponibilité.

Gérez l’infrastructure réseau en toute sécurité :

Gérez l’infrastructure réseau en toute sécurité. Les exemples d’implémentation incluent l’infrastructure contrôlée par version en tant que code et l’utilisation de protocoles réseau sécurisés, tels que SSH et HTTPS.

Établir et maintenir le(s) diagramme(s) d’architecture :

Établir et tenir à jour le(s) diagramme(s) d’architecture et/ou toute autre documentation du système réseau. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Centralisez l’authentification, l’autorisation et l’audit réseau (AAA) :

Centralisez le réseau AAA.

Utilisation de protocoles de gestion de réseau et de communication sécurisés :

Utilisez des protocoles de communication et de gestion de réseau sécurisés (par exemple, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou version ultérieure).

Assurez-vous que les appareils distants utilisent un VPN et se connectent à l’infrastructure AAA d’une entreprise :

Exigez des utilisateurs qu’ils s’authentifient auprès des services d’authentification et de VPN gérés par l’entreprise avant d’accéder aux ressources de l’entreprise sur les appareils de l’utilisateur final.

Établir et maintenir des ressources informatiques dédiées pour toutes les tâches administratives :

Établissez et maintenez des ressources informatiques dédiées, physiquement ou logiquement séparées, pour toutes les tâches administratives ou nécessitant un accès administratif. Les ressources informatiques doivent être séparées du réseau principal de l’entreprise et ne doivent pas être autorisées à accéder à Internet.

Centralisez les alertes d’événements de sécurité :

Centralisez les alertes d’événements de sécurité entre les actifs de l’entreprise pour la corrélation et l’analyse des journaux. La mise en œuvre des bonnes pratiques nécessite l’utilisation d’un SIEM, qui inclut des alertes de corrélation d’événements définies par le fournisseur. Une plateforme d’analyse de journaux configurée avec des alertes de corrélation pertinentes pour la sécurité satisfait également à cette garantie.

Exécutez un filtrage de la couche d’application :

Effectuez un filtrage de la couche d’application. Les exemples d’implémentation incluent un proxy de filtrage, un pare-feu de couche applicative ou une passerelle.

Ajuster les seuils d’alerte d’événement de sécurité :

Ajustez les seuils d’alerte d’événements de sécurité tous les mois, ou plus fréquemment.

Déployez une solution de détection des intrusions basée sur l’hôte :

Déployer une solution de détection des intrusions basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou pris en charge.

Déployez une solution de détection des intrusions réseau :

Déployez une solution de détection des intrusions réseau sur les actifs de l’entreprise, le cas échéant. Parmi les exemples d’implémentation, citons l’utilisation d’un système de détection d’intrusion réseau (NIDS) ou d’un service de fournisseur de services dans le cloud (CSP) équivalent.

Filtrez le trafic entre les segments du réseau :

Effectuez un filtrage du trafic entre les segments du réseau, le cas échéant.

Gérer le contrôle d’accès pour les ressources distantes :

Gérez le contrôle d’accès pour les ressources qui se connectent à distance aux ressources de l’entreprise. Déterminer le degré d’accès aux ressources de l’entreprise en fonction des éléments suivants : logiciels anti-programme malveillant à jour installés ; la conformité de la configuration avec le processus de configuration sécurisé de l’entreprise ; et la mise à jour du système d’exploitation et des applications.

Collecter les journaux de flux de trafic réseau :

Collectez les journaux de flux de trafic réseau et/ou le trafic réseau à examiner et à signaler à partir des appareils réseau.

Déployez une solution de prévention des intrusions basée sur l’hôte :

Déployer une solution de prévention des intrusions basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou pris en charge. Les exemples d’implémentation incluent l’utilisation d’un client EDR (Endpoint Detection and Response) ou d’un agent IPS basé sur l’hôte.

Déployez une solution de prévention des intrusions réseau :

Déployez une solution de prévention des intrusions réseau, le cas échéant. Parmi les exemples d’implémentation, citons l’utilisation d’un système de prévention des intrusions réseau (NIPS) ou d’un service CSP équivalent.

Déployer le contrôle d’accès au niveau du port :

Déployez le contrôle d’accès au niveau du port. Le contrôle d’accès au niveau du port utilise 802.1x ou des protocoles de contrôle d’accès réseau similaires, tels que des certificats, et peut intégrer une authentification de l’utilisateur et/ou de l’appareil.

Établir et maintenir un programme de sensibilisation à la sécurité :

Établir et maintenir un programme de sensibilisation à la sécurité. L’objectif d’un programme de sensibilisation à la sécurité est de former le personnel de l’entreprise sur la façon d’interagir avec les actifs et les données de l’entreprise de manière sécurisée. Organiser une formation à l’embauche et, au minimum, une fois par an. Examiner et mettre à jour le contenu chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et peuvent avoir une incidence sur cette garantie.

Former les membres du personnel à reconnaître les attaques d’ingénierie sociale :

Formez les membres du personnel à reconnaître les attaques d’ingénierie sociale, telles que l’hameçonnage, le pré-textage et le talonnage. 

Former les membres du personnel aux bonnes pratiques d’authentification :

Former les membres du personnel aux bonnes pratiques d’authentification. Parmi les rubriques figurent la MFA, la composition des mots de passe et la gestion des informations d’identification.

Former le personnel aux bonnes pratiques de traitement des données :

Formez les membres du personnel sur la façon d’identifier et de stocker, transférer, archiver et détruire correctement les données sensibles. Cela inclut également la formation des membres du personnel sur les meilleures pratiques d’écran et de bureau, telles que le verrouillage de leur écran lorsqu’ils s’éloignent de leur actif d’entreprise, l’effacement des tableaux blancs physiques et virtuels à la fin des réunions et le stockage sécurisé des données et des actifs.

Former les membres du personnel sur les causes d’exposition involontaire des données :

Formez les membres du personnel pour qu’ils soient conscients des causes de l’exposition involontaire des données. Parmi les rubriques figurent la mauvaise livraison de données sensibles, la perte d’un appareil portable d’utilisateur final ou la publication de données à des publics non prévus.

Former les membres du personnel à la reconnaissance et au signalement des incidents de sécurité :

Formez les membres du personnel pour qu’ils soient capables de reconnaître un incident potentiel et de le signaler. 

Formez les employés à l’identification et à la signalement de l’absence de mises à jour de sécurité pour leurs actifs d’entreprise :

Formez le personnel pour qu’il comprenne comment vérifier et signaler les correctifs logiciels obsolètes ou toute défaillance des processus et outils automatisés. Une partie de cette formation doit inclure la notification au personnel informatique de toute défaillance des processus et outils automatisés.

Formez le personnel aux dangers de la connexion et de la transmission de données d’entreprise sur des réseaux non sécurisés :

Formez les membres du personnel aux dangers de la connexion et de la transmission de données sur des réseaux non sécurisés pour les activités de l’entreprise. Si l’entreprise dispose de travailleurs à distance, la formation doit inclure des conseils pour s’assurer que tous les utilisateurs configurent en toute sécurité leur infrastructure réseau domestique.

Organiser une formation en matière de sensibilisation et d’acquisition de compétences en matière de sécurité propre au rôle :

Organiser une formation de sensibilisation et de compétences en matière de sécurité propre au rôle. Les exemples d’implémentation incluent des cours d’administration de système sécurisé pour les professionnels de l’informatique, (OWASP ™ Top 10 formation à la sensibilisation et à la prévention des vulnérabilités pour les développeurs d’applications Web) et une formation avancée de sensibilisation à l’ingénierie sociale pour les rôles de haut niveau.

Établir et tenir à jour un inventaire des fournisseurs de services :

Établir et tenir à jour un inventaire des fournisseurs de services. L’inventaire consiste à répertorier tous les fournisseurs de services connus, à inclure la ou les classifications et à désigner une personne-ressource d’entreprise pour chaque fournisseur de services. Examiner et mettre à jour l’inventaire chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établir et maintenir une politique de gestion des fournisseurs de services :

Établir et tenir à jour une politique de gestion des fournisseurs de services. Assurez-vous que la politique traite de la classification, de l’inventaire, de l’évaluation, de la surveillance et de la mise hors service des fournisseurs de services. Examiner et mettre à jour la politique chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et peuvent avoir une incidence sur cette garantie.

Classify Service Providers (Classifier les fournisseurs de services) :

Classez les fournisseurs de services. La classification peut inclure une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume de données, les exigences de disponibilité, les réglementations applicables, le risque inhérent et le risque atténué. Mettre à jour et réviser les classifications chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Assurez-vous que les contrats des fournisseurs de services incluent des exigences de sécurité :

Assurez-vous que les contrats des fournisseurs de services incluent des exigences de sécurité. Des exemples d’exigences peuvent inclure les exigences minimales du programme de sécurité, la notification et la réponse aux incidents de sécurité et/ou aux violations de données, les exigences en matière de chiffrement des données et les engagements en matière d’élimination des données. Ces exigences de sécurité doivent être cohérentes avec la politique de gestion des fournisseurs de services de l’entreprise. Examinez les contrats des fournisseurs de services chaque année pour vous assurer que les contrats ne manquent pas d’exigences de sécurité.

Évaluez les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. Le périmètre de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation standardisés, tels que le contrôle de l’organisation de services 2 (SOC 2) et l’attestation de conformité (AoC) de l’industrie des cartes de paiement (PCI), des questionnaires personnalisés ou d’autres processus suffisamment rigoureux. Réévaluer les fournisseurs de services une fois par an, au minimum, ou avec des contrats nouveaux et renouvelés.

Évaluez les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. Le périmètre de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation standardisés, tels que le contrôle de l’organisation de services 2 (SOC 2) et l’attestation de conformité (AoC) de l’industrie des cartes de paiement (PCI), des questionnaires personnalisés ou d’autres processus suffisamment rigoureux. Réévaluer les fournisseurs de services une fois par an, au minimum, ou avec des contrats nouveaux et renouvelés.

Surveiller les fournisseurs de services :

Surveillez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. La surveillance peut inclure une réévaluation périodique de la conformité du fournisseur de service, la surveillance des notes de publication du fournisseur de service et la surveillance du dark web.

Désactivez en toute sécurité les fournisseurs de services :

Désactivez en toute sécurité les fournisseurs de services. Par exemple, la désactivation des comptes d’utilisateurs et de services, l’arrêt des flux de données et l’élimination sécurisée des données d’entreprise dans les systèmes des fournisseurs de services.

Établissez et maintenez un processus de développement d’application sécurisé :

Établissez et maintenez un processus de développement d’application sécurisé. Dans le processus, abordez des éléments tels que : les normes de conception d’applications sécurisées, les pratiques de codage sécurisées, la formation des développeurs, la gestion des vulnérabilités, la sécurité du code tiers et les procédures de test de sécurité des applications. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Appliquez les principes de conception sécurisée dans les architectures d’applications :

Appliquez les principes de conception sécurisée dans les architectures d’application. Les principes de conception sécurisée incluent le concept de moindre privilège et l’application de la médiation pour valider chaque opération effectuée par l’utilisateur, promouvant le concept de « ne jamais faire confiance à l’entrée de l’utilisateur ». Par exemple, assurez-vous qu’une vérification explicite des erreurs est effectuée et documentée pour toutes les entrées, y compris pour la taille, le type de données et les plages ou formats acceptables. La conception sécurisée signifie également minimiser la surface d’attaque de l’infrastructure applicative, par exemple en désactivant les ports et les services non protégés, en supprimant les programmes et fichiers inutiles et en renommant ou supprimant les comptes par défaut.

Exploitez des modules ou des services approuvés pour les composants de sécurité des applications :

Exploitez des modules ou des services approuvés pour les composants de sécurité des applications, tels que la gestion des identités, le chiffrement, l’audit et la journalisation. L’utilisation des fonctionnalités de la plateforme dans les fonctions de sécurité critiques réduira la charge de travail des développeurs et minimisera la probabilité d’erreurs de conception ou de mise en œuvre. Les systèmes d’exploitation modernes fournissent des mécanismes efficaces d’identification, d’authentification et d’autorisation et mettent ces mécanismes à la disposition des applications. Utilisez uniquement des algorithmes de chiffrement standardisés, actuellement acceptés et largement révisés. Les systèmes d’exploitation fournissent également des mécanismes pour créer et maintenir des journaux d’audit sécurisés.

Mettez en œuvre des contrôles de sécurité au niveau du code :

Appliquez des outils d’analyse statique et dynamique tout au long du cycle de vie de l’application pour vérifier que les pratiques de codage sécurisé sont suivies.

Effectuer des tests de pénétration d’application :

Effectuez des tests de pénétration de l’application. Pour les applications critiques, les tests de pénétration authentifiés sont mieux adaptés pour trouver les vulnérabilités de la logique métier que l’analyse du code et les tests de sécurité automatisés.Le test de pénétration repose sur l’habileté du testeur à manipuler manuellement une application en tant qu’utilisateur authentifié et non authentifié. 

Effectuer une modélisation des menaces :

Effectuez une modélisation des menaces. La modélisation des menaces est le processus qui consiste à identifier et à traiter les failles de conception de sécurité des applications au sein d’une conception, avant la création du code. Elle est menée par des personnes spécialement formées qui évaluent la conception de l’application et évaluent les risques de sécurité pour chaque point d’entrée et niveau d’accès. L’objectif est de cartographier l’application, l’architecture et l’infrastructure de manière structurée afin de comprendre ses faiblesses.

Établissez et maintenez un processus pour accepter et traiter les vulnérabilités logicielles :

Établissez et gérez un processus pour accepter et traiter les rapports de vulnérabilités logicielles, y compris la fourniture d’un moyen permettant aux entités externes de générer des rapports. Le processus doit inclure des éléments tels que : une politique de gestion des vulnérabilités qui identifie le processus de signalement, la partie responsable du traitement des rapports de vulnérabilité et un processus de réception, d’affectation, de rattrapage et de test de rattrapage. Dans le cadre du processus, utilisez un système de suivi des vulnérabilités qui comprend des évaluations de gravité et des mesures pour mesurer le délai d’identification, d’analyse et de correction des vulnérabilités. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Effectuez une analyse de la cause première sur les vulnérabilités de sécurité :

Effectuez une analyse de la cause première sur les vulnérabilités de sécurité. Lors de l’examen des vulnérabilités, l’analyse de la cause première consiste à évaluer les problèmes sous-jacents qui créent des vulnérabilités dans le code et permet aux équipes de développement d’aller au-delà de la simple correction des vulnérabilités individuelles au fur et à mesure qu’elles apparaissent.

Établir et gérer un inventaire des composants logiciels tiers :

Établissez et gérez un inventaire mis à jour des composants tiers utilisés dans le développement, souvent appelé « nomenclature », ainsi que des composants prévus pour une utilisation future.Cet inventaire doit inclure tous les risques que chaque composant de tiers pourrait poser.Évaluez la liste au moins une fois par mois pour identifier les changements ou mises à jour apportés à ces composants et vérifier que le composant est toujours pris en charge. 

Utilisez des composants logiciels tiers à jour et fiables :

Utilisez des composants logiciels tiers à jour et fiables. Dans la mesure du possible, choisissez des frameworks et des bibliothèques établis et éprouvés qui offrent une sécurité adéquate.Procurez-vous ces composants auprès de sources fiables ou évaluez les vulnérabilités du logiciel avant de l’utiliser.

Établissez et maintenez un système et un processus d’évaluation de la gravité des vulnérabilités des applications :

Établissez et maintenez un système et un processus d’évaluation de la gravité des vulnérabilités d’application qui facilitent la hiérarchisation de l’ordre dans lequel les vulnérabilités découvertes sont corrigées. Ce processus comprend la définition d’un niveau minimum d’acceptabilité de sécurité pour la publication de code ou d’applications. Les évaluations de gravité offrent un moyen systématique de trier les vulnérabilités qui améliore la gestion des risques et permet de s’assurer que les bogues les plus graves sont corrigés en premier. Examiner et mettre à jour le système et le processus chaque année.

Utilisez des modèles de configuration de sécurisation renforcée standard pour l’infrastructure d’application :

Utilisez des modèles de configuration de sécurisation renforcée standard recommandés par l’industrie pour les composants d’infrastructure d’application. Cela inclut les serveurs, les bases de données et les serveurs Web sous-jacents, et s’applique aux conteneurs dans le cloud, aux composants PaaS (Platform as a Service) et aux composants SaaS. Ne laissez pas les logiciels développés en interne affaiblir le renforcement de la configuration.

Systèmes de production et de non-production distincts :

Maintenez des environnements séparés pour les systèmes de production et de non-production.

Former les développeurs aux concepts de sécurité des applications et au codage sécurisé :

Assurez-vous que tout le personnel de développement logiciel reçoit une formation à la rédaction de code sécurisé pour son environnement de développement et ses responsabilités spécifiques. La formation peut inclure les principes généraux de sécurité et les pratiques standard de sécurité des applications. Organiser des formations au moins une fois par an et concevoir de manière à promouvoir la sécurité au sein de l’équipe de développement et à créer une culture de la sécurité parmi les développeurs.

Désigner le personnel pour gérer la gestion des incidents :

Désignez une personne clé et au moins un remplaçant qui géreront le processus de gestion des incidents de l’entreprise. Le personnel de gestion est responsable de la coordination et de la documentation des efforts de réponse aux incidents et de récupération et peut être composé d’employés internes à l’entreprise, de fournisseurs tiers ou d’une approche hybride. Si vous faites appel à un fournisseur tiers, désignez au moins une personne interne à l’entreprise pour superviser tout travail de tiers. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établir et conserver les informations de contact pour le signalement des incidents de sécurité :

Établir et conserver les coordonnées des parties qui doivent être informées des incidents de sécurité. Les contacts peuvent inclure du personnel interne, des fournisseurs tiers, des forces de l’ordre, des fournisseurs de cyberassurance, des agences gouvernementales compétentes, des partenaires du Centre de partage et d’analyse des informations (ISAC) ou d’autres parties prenantes. Vérifiez les contacts chaque année pour vous assurer que les informations sont à jour.

Établissez et gérez un processus d’entreprise pour le signalement des incidents :

Établissez et maintenez un processus d’entreprise pour que les effectifs signalent les incidents de sécurité. Le processus comprend le délai de signalement, le personnel à qui rendre compte, le mécanisme de signalement et les informations minimales à signaler. Assurez-vous que le processus est publiquement accessible à l’ensemble du personnel. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établissez et maintenez un processus de réponse aux incidents :

Établissez et maintenez un processus de réponse aux incidents qui traite des rôles et responsabilités, des exigences de conformité et d’un plan de communication. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Affectez les rôles et responsabilités clés :

Affectez des rôles et responsabilités clés pour la réponse aux incidents, y compris le personnel des départements juridique, informatique, de la sécurité de l’information, des installations, des relations publiques, des ressources humaines, des intervenants en cas d’incident et des analystes, le cas échéant. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Définissez des mécanismes de communication pendant la réponse aux incidents :

Déterminez les mécanismes primaires et secondaires qui seront utilisés pour communiquer et signaler un incident de sécurité. Les mécanismes peuvent inclure des appels téléphoniques, des e-mails ou des lettres. Gardez à l’esprit que certains mécanismes, tels que les e-mails, peuvent être affectés lors d’un incident de sécurité. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Effectuer des exercices de réponse aux incidents de routine :

Planifiez et exécutez des exercices et des scénarios de réponse aux incidents de routine pour le personnel clé impliqué dans le processus de réponse aux incidents afin de se préparer à répondre à des incidents réels. Les exercices doivent tester les canaux de communication, la prise de décision et les workflows. Effectuer des tests sur une base annuelle, au minimum.

Effectuer des examens post-incident :

Effectuer des examens post-incident. Les examens post-incident aident à prévenir la récurrence des incidents grâce à l’identification des leçons apprises et aux mesures de suivi.

Établir et maintenir des seuils d’incidents de sécurité :

Établissez et gérez des seuils d’incidents de sécurité, y compris, au minimum, une distinction entre un incident et un événement. Il peut s’agir par exemple d’une activité anormale, d’une vulnérabilité de sécurité, d’une faiblesse de sécurité, d’une violation de données, d’un incident de confidentialité, etc. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établir et maintenir un programme de tests de pénétration :

Établir et maintenir un programme de tests de pénétration adapté à la taille, à la complexité et à la maturité de l’entreprise. Les caractéristiques du programme de test de pénétration comprennent la portée, comme le réseau, l’application Web, l’interface de programmation d’application (API), les services hébergés et les contrôles des locaux physiques ; fréquence ; les limitations, telles que les heures acceptables et les types d’attaques exclus ; les coordonnées du point de contact ; les mesures correctives, telles que la manière dont les résultats seront acheminés en interne ; et les exigences rétrospectives.

Effectuez des tests de pénétration externes périodiques :

Effectuer des tests de pénétration externes périodiques en fonction des exigences du programme, au moins une fois par an. Les tests de pénétration externes doivent inclure une reconnaissance de l’entreprise et de l’environnement pour détecter les informations exploitables. Les tests de pénétration nécessitent des compétences et une expérience spécialisées et doivent être effectués par une partie qualifiée. Les tests peuvent être transparents ou opaques.

Conclusions du test de pénétration de correction :

Corrigez les conclusions du test de pénétration en fonction de la politique de l’entreprise en matière de portée et de hiérarchisation des mesures correctives.

Valider les mesures de sécurité :

Validez les mesures de sécurité après chaque test de pénétration. Si nécessaire, modifiez les ensembles de règles et les options pour détecter les techniques utilisées pendant le test.

Utilisez un outil de découverte actif pour identifier les appareils connectés au réseau de l’organisation et mettre à jour l’inventaire des actifs matériels.

Utilisez un outil de détection passive pour identifier les appareils connectés au réseau de l’organisation et mettre à jour automatiquement l’inventaire des actifs matériels de l’organisation.

Tenir un inventaire précis et à jour de tous les actifs technologiques susceptibles de stocker ou de traiter des informations. Cet inventaire doit inclure tous les actifs matériels, qu’ils soient connectés ou non au réseau de l’organisation.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse du réseau, l’adresse du matériel, le nom de la machine, le propriétaire de l’actif de données et le département de chaque actif et si l’actif matériel a été approuvé pour se connecter au réseau.

Utilisez le contrôle d’accès au niveau du port, conformément aux normes 802.1x, pour contrôler quels appareils peuvent s’authentifier sur le réseau. Le système d’authentification doit être lié aux données d’inventaire des actifs matériels pour garantir que seuls les appareils autorisés peuvent se connecter au réseau.

Utilisez les certificats clients pour authentifier les actifs matériels qui se connectent au réseau approuvé de l’organisation.

Tenez à jour une liste de tous les logiciels autorisés requis dans l’entreprise à des fins commerciales sur n’importe quel système d’entreprise.

Assurez-vous que seules les applications logicielles ou les systèmes d’exploitation actuellement pris en charge par le fournisseur du logiciel sont ajoutés à l’inventaire de logiciels autorisés de l’organisation. Les logiciels non pris en charge doivent être marqués comme non pris en charge dans le système d’inventaire.

Utilisez les outils d’inventaire des logiciels dans l’ensemble de l’organisation pour automatiser la documentation de tous les logiciels sur les systèmes de l’entreprise.

Le système d’inventaire des logiciels doit suivre le nom, la version, l’éditeur et la date d’installation de tous les logiciels, y compris les systèmes d’exploitation autorisés par l’organisation.

Le système d’inventaire des logiciels doit être lié à l’inventaire des actifs matériels afin que tous les appareils et logiciels associés soient suivis à partir d’un seul emplacement.

Utilisez un outil d’analyse des vulnérabilités à jour conforme à SCAP pour analyser automatiquement tous les systèmes du réseau sur une base hebdomadaire ou plus fréquente afin d’identifier toutes les vulnérabilités potentielles sur les systèmes de l’organisation.

Effectuez une analyse de vulnérabilité authentifiée avec des agents s’exécutant localement sur chaque système ou avec des scanners distants configurés avec des droits élevés sur le système testé.

Comparez régulièrement les résultats des analyses de vulnérabilité consécutives pour vérifier que les vulnérabilités ont été corrigées en temps opportun.

Avant de déployer un nouvel actif, modifiez tous les mots de passe par défaut pour avoir des valeurs cohérentes avec les comptes de niveau administratif.

Lorsque l’authentification multifacteur n’est pas prise en charge (par exemple, les comptes administrateur local, racine ou de service), les comptes utilisent des mots de passe uniques à ce système.

Configurez les systèmes pour émettre une entrée de journal et une alerte lorsqu’un compte est ajouté ou supprimé d’un groupe affecté à des privilèges administratifs.

Configurez les systèmes pour émettre une entrée de journal et une alerte en cas d’échec des connexions à un compte administratif.

Assurez-vous que la connexion locale a été activée sur tous les systèmes et appareils réseau.

Activez la journalisation système pour inclure des informations détaillées telles qu’une source d’événement, la date, l’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

N’importe quel logiciel antivirus d’entreprise aura cette capacité. En disposant d’un antivirus géré de manière centralisée, vous pouvez facilement répondre aux exigences individuelles.

L’antivirus n’est aussi bon que ses signatures. Bien que la détection basée sur la signature pure ne soit plus viable, même les moteurs basés sur les anomalies doivent être mis à jour régulièrement. Assurez-vous que les mises à jour sont déployées automatiquement et utilisez des outils pour vérifier que les signatures sont réellement à jour.

Les guides de sécurisation renforcée DISA fournissent des instructions étape par étape sur l’activation de ces paramètres et bien plus encore.

La plupart des antivirus ont cette fonctionnalité activée par défaut, mais il est toujours important de vérifier qu’elle est toujours activée. Les logiciels malveillants arrivant via une clé USB sont un vecteur d’attaque viable pour presque toutes les organisations.

Pour la même raison que vous ne voulez pas l’analyser, vous ne voulez pas non plus qu’il fonctionne lorsqu’il est monté. Il s’agit d’un paramètre assez rapide à activer, et les guides de sécurisation renforcée CIS et DISA ont des instructions étape par étape sur la désactivation de l’exécution automatique. Certains outils SCM peuvent vérifier rapidement chaque point de terminaison de votre environnement pour s’assurer que ce paramètre est désactivé.

Effectuez régulièrement des analyses automatisées des ports sur tous les systèmes et alertez si des ports non autorisés sont détectés sur un système.

Comparez toutes les configurations des appareils réseau aux configurations de sécurité approuvées définies pour chaque appareil réseau en cours d’utilisation et alertez lorsque des écarts sont détectés.

Installez la dernière version stable de toutes les mises à jour liées à la sécurité sur tous les appareils réseau.

Déployez des capteurs de systèmes de détection d’intrusion (IDS) basés sur le réseau pour rechercher des mécanismes d’attaque inhabituels et détecter la compromission de ces systèmes à chacune des limites du réseau de l’organisation.

Supprimez du réseau les données ou systèmes sensibles auxquels l’organisation n’accède pas régulièrement. Ces systèmes ne doivent être utilisés que comme des systèmes autonomes (déconnectés du réseau) par l’unité commerciale ayant besoin d’utiliser occasionnellement le système ou être entièrement virtualisés et mis hors tension jusqu’à ce qu’ils en aient besoin.

Offrez une formation aux employés afin qu’ils soient conscients des risques liés aux données sur les clés USB. Ensuite, fournissez-leur les outils nécessaires pour sécuriser les données critiques de votre organisation.

Chiffrez toutes les informations sensibles en transit.

Tenez un inventaire des points d’accès sans fil autorisés connectés au réseau câblé.

Tenez à jour un inventaire de chacun des systèmes d’authentification de l’organisation, y compris ceux situés sur site ou chez un fournisseur de service à distance.

Chiffrez ou hachez avec un salage toutes les informations d’identification d’authentification lorsqu’elles sont stockées.

Assurez-vous que tous les noms d’utilisateur de compte et les informations d’identification d’authentification sont transmis sur les réseaux à l’aide de canaux chiffrés.

Verrouillez automatiquement les sessions du poste de travail après une période d’inactivité standard.

Alerter lorsque les utilisateurs s’écartent du comportement de connexion normal, tel que l’heure de la journée, l’emplacement et la durée de la station de travail.

Utilisez uniquement des algorithmes de chiffrement standardisés et examinés de manière approfondie.

Établissez un processus pour accepter et traiter les rapports de vulnérabilités logicielles, notamment en fournissant un moyen aux entités externes de contacter votre groupe de sécurité.

Attribuez des titres de poste et des tâches de gestion des incidents informatiques et réseau à des personnes spécifiques et assurez le suivi et la documentation tout au long de l’incident jusqu’à sa résolution.

Désignez le personnel de gestion, ainsi que les remplaçants, qui soutiendront le processus de gestion des incidents en jouant des rôles décisionnels clés.

Publier des informations pour tous les membres du personnel concernant le signalement des anomalies et des incidents informatiques à l’équipe de gestion des incidents. Ces informations devraient être incluses dans les activités de sensibilisation courantes des employés.

Définissez une « politique de sécurité de l’information » approuvée par la direction et qui définit l’approche de l’organisation pour gérer ses objectifs de sécurité de l’information. La politique de sécurité de l’information s’appuie sur des politiques thématiques, qui imposent en outre la mise en œuvre de contrôles de sécurité de l’information pour inclure : le contrôle d’accès ; la classification (et le traitement) de l’information ; la sécurité physique et environnementale ; sauvegarde ; le transfert d’informations ; protection contre les logiciels malveillants ; gestion des vulnérabilités techniques ; contrôles cryptographiques ; la sécurité des communications ; la confidentialité et la protection des informations personnelles identifiables ; les relations avec les fournisseurs et les sujets axés sur l’utilisateur final tels que : 1) l’utilisation acceptable des actifs ; 2) bureau clair et écran clair ; 3) le transfert d’informations ; 4) les appareils mobiles et le télétravail ; 5) les restrictions sur les installations et l’utilisation des logiciels.

Veiller à ce que les responsabilités en matière de protection des biens individuels soient définies dans l’inventaire des biens. S’assurer que les rôles et les responsabilités pour le développement et la mise en œuvre de la sécurité de l’information sont clairement définis.

Utilisez un logiciel de chiffrement de disque entier approuvé pour chiffrer le disque dur de tous les appareils mobiles.

Appliquez des politiques d’accès à distance pour les employés et les sous-traitants.

Assurez-vous qu’une vérification des antécédents est effectuée pour tous les employés et sous-traitants avant d’accorder l’accès aux actifs de l’entreprise.

Assurez-vous que tous les nouveaux employés ou sous-traitants ont signé et accepté les conditions d’emploi, y compris leur responsabilité en matière de sécurité de l’information.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse du réseau, l’adresse du matériel, le nom de la machine, le propriétaire de l’actif de données et le département de chaque actif et si l’actif matériel a été approuvé pour se connecter au réseau.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse du réseau, l’adresse du matériel, le nom de la machine, le propriétaire de l’actif de données et le département de chaque actif et si l’actif matériel a été approuvé pour se connecter au réseau.

Veiller à ce que les employés et les sous-traitants soient informés des exigences de l’organisation en matière de sécurité de l’information, des actifs associés aux informations, aux installations et aux ressources de traitement de l’information. Ils devraient être responsables de l’utilisation qu’ils font des ressources de traitement de l’information et de toute utilisation de ce type effectuée sous leur responsabilité.

Utilisez les certificats clients pour authentifier les actifs matériels qui se connectent au réseau approuvé de l’organisation.

Exigez tous les accès de connexion à distance au réseau de l’organisation pour chiffrer les données en transit et utilisez l’authentification multifacteur.

Lorsque l’authentification multifacteur n’est pas prise en charge (par exemple, les comptes administrateur local, racine ou de service), les comptes utilisent des mots de passe uniques à ce système.

Assurez-vous que la politique relative au chiffrement existe et est appliquée, mise en œuvre et appliquée conformément aux exigences de classification des données.

Assurez-vous que la gestion des clés de chiffrement est gérée conformément à une politique et une procédure officielles pour l’ensemble du cycle de vie de la clé.

Assurez-vous que la politique de bureau claire est adaptée par les employés et les sous-traitants.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que la connexion locale a été activée sur tous les systèmes et appareils réseau.

Assurez-vous que les journaux sont protégés en toute sécurité contre tout accès non autorisé.

Appliquez une journalisation d’audit détaillée pour accéder aux données sensibles ou les modifications apportées à des données sensibles (à l’aide d’outils tels que la surveillance de l’intégrité des fichiers ou la surveillance des informations et des événements de sécurité).

S’assurer que des politiques, des procédures et des contrôles officiels sont en place pour protéger le transfert d’information par l’utilisation de tous les types d’installations de communication.

S’assurer que les exigences liées à la sécurité de l’information sont incluses dans les exigences relatives aux nouveaux systèmes d’information ou aux améliorations apportées aux systèmes d’information existants.

Assurez-vous que les applications critiques sont examinées et testées pour s’assurer qu’il n’y a aucun impact négatif sur les opérations organisationnelles ou la sécurité en cas de changement des plateformes d’exploitation.

Assurez-vous que les modifications apportées aux progiciels sont découragées ou limitées aux changements nécessaires et que tous les changements sont strictement contrôlés.

Assurez-vous que des tests de sécurité, tels que des revues de code sécurisé et des analyses de vulnérabilité, sont effectués pendant le cycle de vie du développement. Assurez-vous que les vulnérabilités identifiées sont documentées et que des mesures correctives sont effectuées.

Assurez-vous que les tests d’acceptation du système comprennent le test des exigences de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

Assurez-vous que les tests d’acceptation du système comprennent le test des exigences de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

Assurez-vous que les contrôles de sécurité de l’information sont abordés et résolus avec le fournisseur avant de mener une activité ou de lui accorder l’accès aux actifs.

S’assurer qu’une évaluation des risques est effectuée avant de faire des affaires et d’accorder aux fournisseurs l’accès aux actifs et que les contrôles et exigences de sécurité sont convenus et documentés dans l’entente fournisseurs/vendeurs.

Assurez-vous que les fournisseurs surveillent et examinent régulièrement les conditions générales des accords en matière de sécurité de l’information et que les incidents et les problèmes de sécurité de l’information sont gérés correctement.

Assurez-vous qu’une évaluation des risques par une tierce partie est effectuée chaque fois qu’il y a des changements dans la prestation de services. Veiller à ce que les changements apportés à la prestation de services par les fournisseurs, y compris le maintien et l’amélioration des politiques, procédures et contrôles de sécurité de l’information existants, soient gérés.

Assurez-vous qu’il existe un programme officiel de gestion des incidents et que tout le personnel et les tiers sont formés à la manière de reconnaître et de signaler les incidents de sécurité.

Assurez-vous qu’il existe une gestion officielle des événements de sécurité de l’information qui inclut une échelle de classification des événements et des incidents de sécurité convenue pour la génération de rapports et l’escalade. Assurez-vous que les schémas de classification des menaces et des risques sont documentés. Assurez-vous que les notifications de réponse aux incidents sont conservées. Assurez-vous que les seuils d’impact à utiliser pour classer les incidents sont documentés.

Veiller à ce que les incidents liés à la sécurité de l’information soient traités et gérés conformément aux procédures documentées.

Veiller à ce que des procédures de surveillance des incidents soient incluses dans le programme Gestion des incidents afin de documenter les incidents et de veiller à ce que les événements de sécurité soient analysés périodiquement afin de réduire les incidents futurs.

Assurez-vous que la sécurité de l’information et la continuité de la gestion de la sécurité de l’information sont planifiées et incluses dans le plan de continuité d’activité ou dans le plan de récupération d’urgence.

Assurez-vous que le plan de continuité d’activité ou le plan de récupération d’urgence sont officiellement documentés.

Assurez-vous que la continuité des activités ou le plan de récupération d’urgence sont un exercice annuel pour valider la validité et l’efficacité des contrôles de sécurité adéquats dans des situations défavorables.

Assurez-vous que les composants de basculement et de récupération fonctionnent comme prévu.

Assurez-vous que les dossiers et les données sont protégés contre la perte, la destruction, la falsification, l’accès non autorisé et la divulgation non autorisée, conformément aux exigences législatives, réglementaires, contractuelles et commerciales.

Veiller à ce que la confidentialité et la protection des renseignements personnels identifiables soient protégées et traitées conformément aux lois et aux règlements, le cas échéant.

Assurez-vous que la configuration des systèmes dans le périmètre est régulièrement testée par rapport à la conformité et aux exigences réglementaires. Assurez-vous que les normes de configuration de base pour les systèmes sont documentées et basées sur les meilleures pratiques du secteur.

Veiller à ce que le processus de résiliation soit officialisé afin d’inclure la restitution de tous les actifs physiques et électroniques précédemment émis appartenant à l’organisation ou confiés à celle-ci.

• Profils RH [sn_hr_core_profile]
• Actif [alm_asset]

Assurez-vous que les actifs logiciels sont gérés et régulièrement mis à jour.

• Gestion des actifs logiciels Core
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Utilisez un processus d’évaluation des risques pour prioriser la correction des vulnérabilités détectées.

Désinstallez ou désactivez tout module d’extension ou application complémentaire de navigateur ou de client de messagerie non autorisé.

• Gestion des actifs logiciels Core
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Établissez des pratiques de codage sécurisées adaptées au langage de programmation et à l’environnement de développement utilisés.

S’assurer qu’il existe des plans d’intervention en cas d’incident écrits qui définissent les rôles du personnel ainsi que les phases de traitement/gestion des incidents.