Établir et tenir à jour un inventaire détaillé des actifs de l’entreprise :

Établissez et tenez à jour un inventaire précis, détaillé et à jour de tous les actifs de l’entreprise susceptibles de stocker ou de traiter des données, notamment : les appareils des utilisateurs finaux (y compris les appareils portables et mobiles), les appareils réseau, les appareils non informatiques/IoT et les serveurs. Assurez-vous que l’inventaire enregistre l’adresse réseau (si statique), l’adresse matérielle, le nom de l’ordinateur, le propriétaire de l’actif de données, le département pour chaque actif et si l’actif a été approuvé pour se connecter au réseau. Pour les appareils mobiles de l’utilisateur final, des outils de type MDM peuvent prendre en charge ce processus, le cas échéant. Cet inventaire comprend les actifs connectés à l’infrastructure physiquement, virtuellement, à distance, ainsi que ceux dans les environnements cloud. En outre, cela inclut les actifs qui sont régulièrement connectés à l’infrastructure réseau de l’entreprise, même s’ils ne sont pas sous le contrôle de l’entreprise. Examinez et mettez à jour l’inventaire de tous les actifs d’entreprise deux fois par an ou plus fréquemment.

Traiter les actifs non autorisés :

Assurez-vous qu’un processus pour traiter les actifs non autorisés existe chaque semaine. L’entreprise peut choisir de supprimer l’actif du réseau, d’empêcher l’actif de se connecter à distance au réseau ou de mettre l’actif en quarantaine.

Utilisez un outil de détection actif :

Utilisez un outil de détection actif pour identifier les actifs connectés au réseau de l’entreprise. Configurez l’outil de détection actif pour qu’il s’exécute quotidiennement ou plus fréquemment.

Utilisez la connexion DHCP (Dynamic Host Configuration Protocol) pour mettre à jour l’inventaire des actifs d’entreprise :

Utilisez la connexion DHCP sur tous les serveurs DHCP ou les outils de gestion des adresses IP (Internet Protocol) pour mettre à jour l’inventaire des actifs de l’entreprise. Examinez et utilisez les journaux pour mettre à jour l’inventaire des actifs de l’entreprise chaque semaine ou plus fréquemment.

Utilisez un outil de détection d’actifs passifs :

Utilisez un outil de détection passif pour identifier les actifs connectés au réseau de l’entreprise. Examinez et utilisez les analyses pour mettre à jour l’inventaire des actifs de l’entreprise au moins une fois par semaine ou plus fréquemment.

Établir et tenir à jour un inventaire logiciel :

Établir et tenir à jour un inventaire détaillé de tous les logiciels sous licence installés sur les actifs de l’entreprise. L’inventaire des logiciels doit documenter le titre, l’éditeur, la date d’installation/d’utilisation initiale et l’objectif commercial de chaque entrée ; le cas échéant, indiquez l’URL (Uniform Resource Locator), le ou les magasins d’applications, la ou les versions, le mécanisme de déploiement et la date de mise hors service. Passez en revue et mettez à jour l’inventaire logiciel tous les deux ans ou plus fréquemment.

S’assurer que le logiciel autorisé est actuellement pris en charge

Assurez-vous que seuls les logiciels actuellement pris en charge sont désignés comme autorisés dans l’inventaire logiciel pour les actifs de l’entreprise. Si le logiciel n’est pas pris en charge, mais qu’il est nécessaire à l’accomplissement de la mission de l’entreprise, documentez une exception détaillant les contrôles d’atténuation et l’acceptation du risque résiduel. Pour tout logiciel non pris en charge sans documentation d’exception, désignez-le comme non autorisé. Passez en revue la liste des logiciels pour vérifier la prise en charge logicielle au moins une fois par mois, ou plus fréquemment.

S’adresser aux logiciels non autorisés :

Assurez-vous que les logiciels non autorisés sont retirés de l’utilisation sur les actifs de l’entreprise ou reçoivent une exception documentée. Révisez tous les mois ou plus fréquemment.

Utiliser des outils d’inventaire logiciel automatisés :

Utilisez des outils d’inventaire logiciel, si possible, dans l’ensemble de l’entreprise pour automatiser la détection et la documentation des logiciels installés.

Logiciels autorisés sur liste d’autorisation :

Utilisez des contrôles techniques, tels que la liste d’autorisation d’application, pour vous assurer que seuls les logiciels autorisés peuvent être exécutés ou accessibles. Réévaluez votre évaluation tous les deux ans ou plus fréquemment.

Bibliothèques autorisées sur liste d’autorisation :

Utilisez des contrôles techniques pour vous assurer que seules les bibliothèques logicielles autorisées, telles que des fichiers .dll, .ocx, .so, etc., sont autorisées à être chargées dans un processus système. Bloquez le chargement des bibliothèques non autorisées dans un processus système. Réévaluez votre évaluation tous les deux ans ou plus fréquemment.

Liste d’autorisation pour les scripts autorisés :

Utilisez des contrôles techniques, tels que les signatures numériques et le contrôle de version, pour vous assurer que seuls les scripts autorisés, tels que des fichiers .ps1, .py, etc., spécifiques, sont autorisés à s’exécuter. Bloquez l’exécution des scripts non autorisés. Réévaluez votre évaluation tous les deux ans ou plus fréquemment.

Établir et maintenir un processus de gestion des données :

Établir et maintenir un processus de gestion des données. Au cours du processus, abordez la sensibilité des données, le propriétaire des données, le traitement des données, les limites de conservation des données et les exigences d’élimination, en fonction des normes de sensibilité et de conservation pour l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Chiffrer les données sensibles en transit :

Chiffrez les données sensibles en transit. Des exemples d’implémentation peuvent inclure TLS (Transport Layer Security) et OpenSSH (Open Secure Shell).

Chiffrer les données sensibles au repos :

Chiffrez les données sensibles au repos sur les serveurs, les applications et les bases de données contenant des données sensibles. Le chiffrement de la couche de stockage, également connu sous le nom de chiffrement côté serveur, répond aux exigences minimales de cette garantie. D’autres méthodes de chiffrement peuvent inclure le chiffrement de la couche application, également connu sous le nom de chiffrement côté client, lorsque l’accès au(x) périphérique(s) de stockage des données ne permet pas d’accéder aux données en texte brut.

Segmentez le traitement et le stockage des données en fonction de leur sensibilité :

Segmentez le traitement et le stockage des données en fonction de leur niveau de sensibilité. Ne traitez pas de données sensibles sur les actifs d’entreprise destinés à des données de faible sensibilité.

Déployez une solution de protection contre la perte de données :

Implémentez un outil automatisé, tel qu’un outil de prévention des pertes de données (DLP) basé sur l’hôte pour identifier toutes les données sensibles stockées, traitées ou transmises via les actifs de l’entreprise, y compris celles situées sur site ou chez un fournisseur de services distant, et mettre à jour l’inventaire de données sensibles de l’entreprise.

Enregistrer l’accès aux données sensibles :

Consignez l’accès aux données sensibles, y compris leur modification et leur élimination.

Établir et tenir à jour un inventaire des données :

Établissez et tenez à jour un inventaire des données, basé sur le processus de gestion des données de l’entreprise. Faites l’inventaire des données sensibles, au minimum. Passez en revue et mettez à jour l’inventaire chaque année, au minimum, en accordant la priorité aux données sensibles.

Configurer les listes de contrôle d’accès aux données :

Configurez les listes de contrôle d’accès aux données selon le besoin de savoir d’un utilisateur. Appliquez des listes de contrôle d’accès aux données, également connues sous le nom d’autorisations d’accès, aux systèmes de fichiers, aux bases de données et aux applications locaux et distants.

Appliquer la conservation des données :

Conservez les données conformément au processus de gestion des données de l’entreprise. La conservation des données doit inclure des délais minimaux et maximaux.

Éliminez les données en toute sécurité :

Éliminez les données en toute sécurité, comme décrit dans le processus de gestion des données de l’entreprise. Assurez-vous que le processus et la méthode d’élimination sont proportionnels à la sensibilité des données.

Chiffrer les données sur les appareils de l’utilisateur final :

Chiffrez les données sur les appareils de l’utilisateur final contenant des données sensibles. Des exemples d’implémentations peuvent inclure Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™.

Établir et maintenir un système de classification des données :

Établir et maintenir un système global de classification des données pour l’entreprise. Les entreprises peuvent utiliser des libellés tels que « Sensible », « Confidentiel » et « Public » et classer leurs données en fonction de ces libellés. Examinez et mettez à jour le système de classification chaque année, ou lorsque des changements importants dans l’entreprise se produisent qui pourraient avoir un impact sur cette garantie.

Flux de données de documents :

Flux de données de documents. La documentation sur les flux de données inclut les flux de données des fournisseurs de services et doit être basée sur le processus de gestion des données de l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Chiffrer les données sur des supports amovibles :

Chiffrez les données sur des supports amovibles.

Établissez et maintenez un processus de configuration sécurisé :

Établissez et maintenez un processus de configuration sécurisé pour les actifs de l’entreprise (appareils de l’utilisateur final, y compris les appareils portables et mobiles, appareils non informatiques/IoT et serveurs) et les logiciels (systèmes d’exploitation et applications).Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Appliquez le verrouillage automatique des appareils sur les appareils portables de l’utilisateur final :

Appliquez le verrouillage automatique des appareils en fonction d’un seuil prédéterminé de tentatives d’authentification locales ayant échoué sur les appareils portables de l’utilisateur final, lorsqu’ils sont pris en charge. Pour les ordinateurs portables, n’autorisez pas plus de 20 tentatives d’authentification infructueuses ; Pour les tablettes et smartphones, pas plus de 10 tentatives d’authentification échouées. Parmi les exemples d’implémentations, citons Microsoft InTune Device Lock et Apple Configuration Profile maxFailedAttempts.

Appliquez la fonctionnalité d’effacement à distance sur les appareils portables de l’utilisateur final :

Effacez à distance les données d’entreprise des appareils portables de l’utilisateur final appartenant à l’entreprise lorsque cela est approprié, par exemple en cas de perte ou de vol d’appareils, ou lorsqu’une personne ne prend plus en charge l’entreprise.

Espaces de travail d’entreprise distincts sur les appareils mobiles de l’utilisateur final :

Assurez-vous que des espaces de travail d’entreprise distincts sont utilisés sur les appareils mobiles de l’utilisateur final, lorsqu’ils sont pris en charge. Les exemples d’implémentation incluent l’utilisation d’un profil de configuration ou Android d’un Apple profil professionnel pour séparer les applications et données d’entreprise des applications et données personnelles.

Établissez et maintenez un processus de configuration sécurisé pour l’infrastructure réseau :

Établissez et maintenez un processus de configuration sécurisé pour les périphériques réseau. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Configurez le verrouillage automatique de session sur les actifs d’entreprise :

Configurez le verrouillage de session automatique sur les actifs d’entreprise après une période d’inactivité définie. Pour les systèmes d’exploitation à usage général, la période ne doit pas dépasser 15 minutes. Pour les appareils mobiles de l’utilisateur final, la période ne doit pas dépasser 2 minutes.

Mettre en place et gérer un pare-feu sur les serveurs :

Implémentez et gérez un pare-feu sur les serveurs, lorsqu’ils sont pris en charge. Les exemples d’implémentation incluent un pare-feu virtuel, un pare-feu de système d’exploitation ou un agent de pare-feu tiers.

Implémentez et gérez un pare-feu sur les appareils des utilisateurs finaux :

Implémentez et gérez un pare-feu basé sur l’hôte ou un outil de filtrage de ports sur les appareils de l’utilisateur final, avec une règle de refus par défaut qui abandonne tout le trafic, à l’exception des services et des ports qui sont explicitement autorisés.

Gérez en toute sécurité les actifs et les logiciels de l’entreprise :

Gérez en toute sécurité les actifs et les logiciels de l’entreprise. Parmi les exemples d’implémentations, citons la gestion de la configuration via une infrastructure en tant que code contrôlée par version et l’accès aux interfaces administratives via des protocoles réseau sécurisés, tels que Secure Shell (SSH) et HTTPS (Hypertext Transfer Protocol Secure). N’utilisez pas de protocoles de gestion non sécurisés, tels que Telnet (réseau de télétype) et HTTP, sauf si cela est essentiel sur le plan opérationnel.

Gérez les comptes par défaut sur les actifs et les logiciels d’entreprise :

Gérez les comptes par défaut sur les actifs et les logiciels d’entreprise, tels que les comptes racine, d’administrateur et autres comptes de fournisseur préconfigurés. À titre d’exemple, vous pouvez désactiver les comptes par défaut ou les rendre inutilisables.

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels de l’entreprise :

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels de l’entreprise, tels qu’un service de partage de fichiers, un module d’application Web ou une fonction de service inutilisés.

Configurez les serveurs DNS approuvés sur les actifs de l’entreprise :

Configurez des serveurs DNS approuvés sur les actifs de l’entreprise. Exemples d’implémentations : configuration des actifs pour utiliser des serveurs DNS contrôlés par l’entreprise et/ou des serveurs DNS réputés accessibles en externe.

Établir et tenir à jour un inventaire des comptes :

Établir et tenir à jour un inventaire de tous les comptes gérés dans l’entreprise. L’inventaire doit inclure à la fois les comptes d’utilisateur et d’administrateur. L’inventaire, au minimum, doit contenir le nom de la personne, son nom d’utilisateur, les dates de début et de fin et le département. Validez le fait que tous les comptes actifs sont autorisés, selon un calendrier récurrent au minimum, une fois par trimestre ou plus fréquemment.

Utilisez des mots de passe uniques :

Utilisez des mots de passe uniques pour tous les actifs de l’entreprise. La mise en œuvre des meilleures pratiques comprend, au minimum, un mot de passe de 8 caractères pour les comptes utilisant l’authentification multifacteur et un mot de passe de 14 caractères pour les comptes n’utilisant pas l’authentification multifacteur.

Désactiver les comptes dormants :

Supprimez ou désactivez tous les comptes dormants après une période de 45 jours d’inactivité, lorsqu’ils sont pris en charge.

Restreindre les privilèges d’administrateur aux comptes d’administrateur dédiés :

Limitez les privilèges d’administrateur aux comptes d’administrateur dédiés sur les actifs d’entreprise. Effectuez des activités informatiques générales, telles que la navigation sur Internet, la messagerie et l’utilisation de la suite de productivité, à partir du compte principal non privilégié de l’utilisateur.

Établir et tenir à jour un inventaire des comptes de services :

Établir et tenir à jour un inventaire des comptes de services. L’inventaire doit au minimum contenir le propriétaire du département, la date d’examen et l’objectif. Examinez les comptes de service pour vérifier que tous les comptes actifs sont autorisés, selon un calendrier récurrent au minimum, une fois par trimestre ou plus fréquemment.

Centralisez la gestion des comptes :

Centralisez la gestion des comptes par le biais d’un service d’annuaire ou d’identité.

Établissez un processus d’octroi d’accès :

Établissez et suivez un processus, de préférence automatisé, pour accorder l’accès aux actifs de l’entreprise lors d’une nouvelle embauche, de l’octroi de droits ou d’un changement de rôle d’un utilisateur.

Établissez un processus de révocation d’accès :

Établissez et suivez un processus, de préférence automatisé, pour révoquer l’accès aux actifs de l’entreprise, en désactivant les comptes immédiatement après la résiliation, la révocation des droits ou le changement de rôle d’un utilisateur. La désactivation des comptes, au lieu de comptes, peut s’avérer nécessaire pour préserver les pistes d’audit.

Exigez l’authentification MFA pour les applications exposées à l’extérieur :

Exigez que toutes les applications d’entreprise ou tierces exposées en externe appliquent la MFA, lorsqu’elle est prise en charge. L’application de l’authentification multifacteur par l’intermédiaire d’un service d’annuaire ou d’un fournisseur d’authentification unique (SSO) est une mise en œuvre satisfaisante de cette garantie.

Exiger l’authentification MFA pour l’accès réseau à distance :

Exigez l’authentification MFA pour l’accès réseau à distance.

Exiger l’authentification MFA pour l’accès administratif :

Exigez la MFA pour tous les comptes d’accès administratifs, lorsqu’ils sont pris en charge, sur tous les actifs de l’entreprise, qu’ils soient gérés sur site ou par l’intermédiaire d’un fournisseur tiers.

Établir et tenir à jour un inventaire des systèmes d’authentification et d’autorisation :

Établissez et tenez à jour un inventaire des systèmes d’authentification et d’autorisation de l’entreprise, y compris ceux hébergés sur place ou chez un fournisseur de services à distance. Passez en revue et mettez à jour l’inventaire, au minimum, une fois par an ou plus fréquemment.

Centraliser le contrôle d’accès :

Centralisez le contrôle d’accès pour tous les actifs de l’entreprise via un service d’annuaire ou un fournisseur SSO, le cas échéant.

Définissez et maintenez le contrôle d’accès basé sur les rôles :

Définissez et maintenez le contrôle d’accès basé sur les rôles, en déterminant et en documentant les droits d’accès nécessaires pour que chaque rôle au sein de l’entreprise puisse mener à bien les tâches qui lui sont assignées. Effectuez des examens de contrôle d’accès des actifs d’entreprise pour vérifier que tous les privilèges sont autorisés, selon un calendrier récurrent, au moins une fois par an ou plus fréquemment.

Établir et maintenir un processus de gestion des vulnérabilités :

Établir et maintenir un processus documenté de gestion des vulnérabilités pour les actifs d’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Établir et maintenir un processus de rattrapage :

Établissez et tenez à jour une stratégie de rattrapage fondée sur les risques, documentée dans un processus de rattrapage, avec des examens mensuels ou plus fréquents.

Effectuez une gestion automatisée des correctifs du système d’exploitation :

Effectuez des mises à jour du système d’exploitation sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuez une gestion automatisée des correctifs d’application :

Effectuez des mises à jour d’application sur les actifs d’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuez des analyses automatisées de vulnérabilité des actifs internes de l’entreprise :

Effectuez des analyses automatisées de vulnérabilité des actifs internes de l’entreprise sur une base trimestrielle ou plus fréquente. Effectuez des analyses authentifiées et non authentifiées à l’aide d’un outil d’analyse des vulnérabilités conforme au SCAP.

Effectuez des analyses automatisées de vulnérabilité des actifs d’entreprise exposés en externe :

Effectuez des analyses de vulnérabilité automatisées des actifs d’entreprise exposés en externe à l’aide d’un outil d’analyse des vulnérabilités conforme au SCAP. Effectuez des analyses sur une base mensuelle ou plus fréquente.

Corriger les vulnérabilités détectées :

Corrigez les vulnérabilités détectées dans les logiciels par le biais de processus et d’outils sur une base mensuelle, ou plus fréquente, en fonction du processus de correction.

Établir et maintenir un processus de gestion des journaux d’audit :

Établissez et tenez à jour un processus de gestion des journaux d’audit qui définit les besoins de journalisation de l’entreprise. Traitez au minimum la collecte, l’examen et la conservation des journaux d’audit pour les actifs de l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Conserver les journaux d’audit :

Conservez les journaux d’audit entre les actifs de l’entreprise pendant au moins 90 jours.

Effectuer des examens du journal d’audit :

Examinez les journaux d’audit pour détecter les anomalies ou les événements anormaux qui pourraient indiquer une menace potentielle. Effectuez des examens sur une base hebdomadaire ou plus fréquente.

Collecter les journaux du fournisseur de service :

Collectez les journaux des fournisseurs de service, le cas échéant. Les exemples d’implémentation incluent la collecte d’événements d’authentification et d’autorisation, d’événements de création et d’élimination des données et d’événements de gestion des utilisateurs.

Collecter les journaux d’audit :

Collecter les journaux d’audit. Assurez-vous que la journalisation, conformément au processus de gestion des journaux d’audit de l’entreprise, a été activée sur tous les actifs de l’entreprise.

Assurer un stockage adéquat des journaux d’audit :

Assurez-vous que les destinations de journalisation maintiennent un stockage adéquat pour se conformer au processus de gestion des journaux d’audit de l’entreprise.

Standardiser la synchronisation de l’heure :

Standardisez la synchronisation de l’heure. Configurez au moins deux sources de temps synchronisées sur les actifs d’entreprise, le cas échéant.

Collectez les journaux d’audit détaillés :

Configurez la journalisation d’audit détaillée pour les actifs d’entreprise contenant des données sensibles. Incluez la source de l’événement, la date, le nom d’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles qui pourraient aider dans une enquête médico-légale.

Collectez les journaux d’audit des requêtes DNS :

Collectez les journaux d’audit des requêtes DNS sur les actifs de l’entreprise, le cas échéant et avec assistance.

Collecter les journaux d’audit des demandes d’URL :

Collectez les journaux d’audit des demandes d’URL sur les actifs d’entreprise, le cas échéant et pris en charge.

Collecter les journaux d’audit de ligne de commande :

Collecter les journaux d’audit de ligne de commande. Les exemples d’implémentation incluent la collecte de journaux d’audit à partir de PowerShell™, de BHE™ et de terminaux d’administration distants.

Centraliser les journaux d’audit :

Centralisez, dans la mesure du possible, la collecte et la conservation des journaux d’audit sur l’ensemble des actifs de l’entreprise.

Assurez-vous d’utiliser uniquement des navigateurs et des clients de messagerie entièrement pris en charge :

Assurez-vous que seuls les navigateurs et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’entreprise, en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Utiliser les services de filtrage DNS :

Utilisez les services de filtrage DNS sur tous les actifs de l’entreprise pour bloquer l’accès aux domaines malveillants connus.

Gérez et appliquez les filtres d’URL basés sur le réseau :

Appliquez et mettez à jour les filtres d’URL basés sur le réseau pour empêcher la connexion d’un actif d’entreprise à des sites Web potentiellement malveillants ou non approuvés. Les exemples d’implémentation incluent le filtrage basé sur les catégories, le filtrage basé sur la réputation ou via l’utilisation de listes de blocage. appliquer des filtres pour tous les actifs d’entreprise.

Limitez les extensions de navigateur et de client de messagerie inutiles ou non autorisées :

Restreindre, par la désinstallation ou la désactivation, tous les modules d’extension, extensions et applications non autorisés ou non autorisés ou non autorisés du client de messagerie.

Implémenter DMARC :

Pour réduire le risque d’usurpation ou de modification d’e-mails provenant de domaines valides, mettez en œuvre la politique et la vérification DMARC, en commençant par la mise en œuvre du cadre de politique de l’expéditeur (SPF) et des normes DKIM (DomainKeys Identified Mail).

Bloquez les types de fichiers inutiles :

Bloquez les types de fichiers inutiles qui tentent d’entrer dans la passerelle de messagerie de l’entreprise.

Déployez et maintenez les protections contre les logiciels malveillants des serveurs de messagerie :

Déployez et maintenez des protections contre les logiciels malveillants des serveurs de messagerie, telles que l’analyse des pièces jointes et/ou le sandboxing.

Déployer et maintenir un logiciel anti-malware :

Déployez et maintenez un logiciel anti-malware sur tous les actifs de l’entreprise.

Configurer les mises à jour automatiques des signatures anti-programme malveillant :

Configurez les mises à jour automatiques pour les fichiers de signatures anti-programme malveillant sur tous les actifs de l’entreprise.

Désactivez l’exécution automatique et la lecture automatique pour les supports amovibles :

Désactivez les fonctionnalités d’exécution automatique et d’exécution automatique pour les supports amovibles.

Configurez l’analyse anti-programme malveillant automatique des supports amovibles :

Configurez un logiciel anti-malware pour analyser automatiquement les supports amovibles.

Activer les fonctionnalités anti-exploitation :

Activez des fonctionnalités anti-exploitation sur les actifs et les logiciels de l’entreprise, dans la mesure du possible, telles que Microsoft la prévention de l’exécution des données (DEP), Windows Defender Exploit Guard (WDEG) ou Apple la protection de l’intégrité du système (SIP) et Gatekeeper™.

Gestion centralisée des logiciels anti-malware :

Gérez de manière centralisée les logiciels anti-malware.

Utilisez un logiciel anti-malware basé sur le comportement :

Utilisez un logiciel anti-malware basé sur le comportement.

Mettre en place et maintenir un processus de récupération des données :

Établissez et maintenez un processus de récupération des données. Au cours du processus, abordez le champ d’application des activités de récupération des données, la hiérarchisation de la récupération et la sécurité des données de sauvegarde. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Effectuer des sauvegardes automatisées :

Effectuez des sauvegardes automatisées des actifs d’entreprise concernés. Exécutez des sauvegardes chaque semaine, ou plus fréquemment, en fonction de la sensibilité des données.

Protégez les données de récupération :

Protégez les données de récupération avec des contrôles équivalents aux données d’origine. Chiffrement de référence ou séparation des données, en fonction des besoins.

Établir et maintenir une instance isolée de données de récupération :

Établir et gérer une instance isolée de données de récupération. Des exemples d’implémentation incluent le contrôle des versions des destinations de sauvegarde via des systèmes ou des services hors ligne, dans le cloud ou hors site.

Récupération des données de test :

Testez la récupération des copies de sauvegarde tous les trimestres, ou plus fréquemment, pour un échantillon d’actifs d’entreprise concernés.

Assurez-vous que l’infrastructure réseau est à jour :

Assurez-vous que l’infrastructure réseau est maintenue à jour. Les exemples d’implémentation incluent l’exécution de la dernière version stable du logiciel et/ou l’utilisation des offres de réseau en tant que service (NaaS) actuellement prises en charge. Passez en revue les versions logicielles tous les mois, ou plus fréquemment, pour vérifier la prise en charge du logiciel.

Établir et maintenir une architecture réseau sécurisée :

Établissez et maintenez une architecture réseau sécurisée. Une architecture réseau sécurisée doit prendre en compte la segmentation, le moindre privilège et la disponibilité, au minimum.

Gérer l’infrastructure réseau en toute sécurité :

Gérez l’infrastructure réseau en toute sécurité. Parmi les exemples d’implémentations, citons l’infrastructure en tant que code contrôlée par version et l’utilisation de protocoles réseau sécurisés, tels que SSH et HTTPS.

Établir et tenir à jour le(s) diagramme(s) d’architecture :

Établir et tenir à jour le(s) diagramme(s) d’architecture et/ou toute autre documentation du système réseau. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Centraliser l’authentification, l’autorisation et l’audit du réseau (AAA) :

Centralisez le réseau AAA.

Utilisation de protocoles de gestion et de communication réseau sécurisés :

Utiliser des protocoles de communication et de gestion de réseau sécurisés (par exemple, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou version ultérieure).

Assurez-vous que les appareils distants utilisent un VPN et se connectent à l’infrastructure AAA d’une entreprise :

Exigez des utilisateurs qu’ils s’authentifient auprès des services VPN et d’authentification gérés par l’entreprise avant d’accéder aux ressources de l’entreprise sur les appareils de l’utilisateur final.

Établir et maintenir des ressources informatiques dédiées pour tous les travaux administratifs :

Établissez et maintenez des ressources informatiques dédiées, séparées physiquement ou logiquement, pour toutes les tâches administratives ou nécessitant un accès administratif. Les ressources informatiques doivent être segmentées à partir du réseau principal de l’entreprise et ne doivent pas être autorisées à accéder à Internet.

centraliser les alertes d’événements de sécurité :

Centralisez les alertes d’événements de sécurité sur l’ensemble des actifs de l’entreprise à des fins de corrélation et d’analyse des journaux. L’implémentation des meilleures pratiques nécessite l’utilisation d’un SIEM, qui inclut des alertes de corrélation d’événements définies par le fournisseur. Une plate-forme d’analyse des journaux configurée avec des alertes de corrélation pertinentes pour la sécurité satisfait également à cette garantie.

Effectuez un filtrage de couche d’application :

Effectuez un filtrage de la couche d’application. Les exemples d’implémentation incluent un proxy de filtrage, un pare-feu de couche d’application ou une passerelle.

Ajuster les seuils d’alerte d’événement de sécurité :

Ajustez les seuils d’alerte d’événement de sécurité tous les mois ou plus fréquemment.

Déployez une solution de détection d’intrusion basée sur l’hôte :

Déployez une solution de détection d’intrusion basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou prise en charge.

Déployez une solution de détection des intrusions réseau :

Déployez une solution de détection des intrusions réseau sur les actifs de l’entreprise, le cas échéant. Les exemples d’implémentation incluent l’utilisation d’un système de détection des intrusions réseau (NIDS) ou d’un service de fournisseur de services dans le cloud (CSP) équivalent.

Effectuez un filtrage du trafic entre les segments réseau :

Filtrez le trafic entre les segments réseau, le cas échéant.

Gérez le contrôle d’accès pour les actifs distants :

Gérez le contrôle d’accès pour les actifs qui se connectent à distance aux ressources de l’entreprise. Déterminer le niveau d’accès aux ressources de l’entreprise en fonction des éléments suivants : un logiciel anti-malware à jour installé ; la conformité de la configuration avec le processus de configuration sécurisé de l’entreprise ; et s’assurer que le système d’exploitation et les applications sont à jour.

Collectez les journaux de flux de trafic réseau :

Collectez les journaux de flux de trafic réseau et/ou le trafic réseau afin de les examiner et d’en signaler les périphériques réseau.

Déployez une solution de prévention des intrusions basée sur l’hôte :

Déployez une solution de prévention des intrusions basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou prise en charge. Des exemples d’implémentation incluent l’utilisation d’un client Endpoint Detection and Response (EDR) ou d’un agent IPS basé sur l’hôte.

Déployez une solution de prévention des intrusions sur le réseau :

Déployez une solution de prévention des intrusions dans le réseau, le cas échéant. L’utilisation d’un système de prévention des intrusions réseau (NIPS) ou d’un service CSP équivalent est un exemple d’implémentation.

Déployez le contrôle d’accès au niveau du port :

Déployez le contrôle d’accès au niveau du port. Le contrôle d’accès au niveau du port utilise 802.1x, ou des protocoles de contrôle d’accès réseau similaires, tels que des certificats, et peut intégrer l’authentification de l’utilisateur et/ou de l’appareil.

Établir et maintenir un programme de sensibilisation à la sécurité :

Établir et maintenir un programme de sensibilisation à la sécurité. L’objectif d’un programme de sensibilisation à la sécurité est d’éduquer le personnel de l’entreprise sur la façon d’interagir avec les actifs et les données de l’entreprise de manière sécurisée. Offrir une formation à l’embauche et, au minimum, une fois par an. Examinez et mettez à jour le contenu annuellement, ou lorsque des changements importants au sein de l’entreprise susceptibles d’avoir un impact sur cette protection se produisent.

Former les membres du personnel à reconnaître les attaques d’ingénierie sociale :

Formez les membres du personnel à reconnaître les attaques d’ingénierie sociale, telles que l’hameçonnage, les prétextes et le talonnage. 

Former les membres du personnel aux bonnes pratiques d’authentification :

Former les membres du personnel aux bonnes pratiques d’authentification. L’authentification multifacteur, la composition des mots de passe et la gestion des informations d’identification sont des exemples de rubriques.

Former le personnel aux meilleures pratiques de traitement des données :

Former les membres du personnel sur la façon d’identifier et de stocker, de transférer, d’archiver et de détruire correctement les données sensibles. Il s’agit également de former les membres du personnel aux meilleures pratiques en matière d’écran clair et de bureau, telles que le verrouillage de leur écran lorsqu’ils s’éloignent de leur actif d’entreprise, l’effacement des tableaux blancs physiques et virtuels à la fin des réunions et le stockage sécurisé des données et des actifs.

Former les membres du personnel sur les causes de l’exposition involontaire des données :

Formez les membres du personnel pour qu’ils soient conscients des causes de l’exposition involontaire des données. Par exemple, la mauvaise livraison de données sensibles, la perte d’un appareil portable de l’utilisateur final ou la publication de données à des publics non prévus.

Former les membres du personnel à la reconnaissance et au signalement des incidents de sécurité :

Former les membres du personnel pour qu’ils soient en mesure de reconnaître un incident potentiel et de le signaler. 

Former le personnel sur la façon d’identifier et de signaler si leurs actifs d’entreprise ne disposent pas de mises à jour de sécurité :

Former le personnel pour qu’il comprenne comment vérifier et signaler les correctifs logiciels obsolètes ou toute défaillance dans les processus et outils automatisés. Une partie de cette formation devrait inclure la notification au personnel informatique de toute défaillance dans les processus et les outils automatisés.

Former le personnel aux dangers de la connexion et de la transmission de données d’entreprise sur des réseaux non sécurisés :

Former les membres du personnel aux dangers de la connexion et de la transmission de données sur des réseaux non sécurisés pour les activités de l’entreprise. Si l’entreprise emploie des travailleurs à distance, la formation doit inclure des conseils pour s’assurer que tous les utilisateurs configurent en toute sécurité leur infrastructure de réseau domestique.

Mener une formation de sensibilisation et de compétences en matière de sécurité spécifique au rôle :

Organisez une sensibilisation à la sécurité et une formation aux compétences spécifiques au rôle. Parmi les exemples de mises en œuvre, citons les cours d’administration de systèmes sécurisés pour les professionnels de l’informatique (les 10 meilleures formations de sensibilisation et de prévention des vulnérabilités de l’OWASP ™ pour les développeurs d’applications Web, et les formations avancées de sensibilisation à l’ingénierie sociale pour les rôles de haut niveau).

Établir et tenir à jour un répertoire des fournisseurs de services :

Établir et tenir à jour un répertoire des fournisseurs de services. L’inventaire consiste à répertorier tous les fournisseurs de services connus, à inclure la ou les classifications et à désigner un contact d’entreprise pour chaque fournisseur de service. Examinez et mettez à jour l’inventaire annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Établir et maintenir une politique de gestion des fournisseurs de services :

Établir et maintenir une politique de gestion des fournisseurs de services. Assurez-vous que la politique traite de la classification, de l’inventaire, de l’évaluation, de la surveillance et de la mise hors service des fournisseurs de services. Examinez et mettez à jour la politique annuellement, ou lorsque des changements importants au sein de l’entreprise qui pourraient avoir un impact sur cette protection se produisent.

Classer les fournisseurs de services :

Classer les fournisseurs de services. La considération de classification peut inclure une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume de données, les exigences de disponibilité, les réglementations applicables, le risque inhérent et le risque atténué. Mettez à jour et révisez les classifications chaque année, ou lorsque des changements importants dans l’entreprise se produisent qui pourraient avoir un impact sur cette protection.

Assurez-vous que les contrats des fournisseurs de services comprennent des exigences de sécurité :

Assurez-vous que les contrats avec les fournisseurs de services comprennent des exigences de sécurité. Par exemple, les exigences peuvent inclure les exigences minimales du programme de sécurité, la notification et la réponse aux incidents de sécurité et/ou aux violations de données, les exigences en matière de chiffrement des données et les engagements en matière d’élimination des données. Ces exigences de sécurité doivent être cohérentes avec la politique de gestion des fournisseurs de services de l’entreprise. Examinez les contrats des fournisseurs de services chaque année pour vous assurer qu’ils ne manquent pas aux exigences de sécurité.

Évaluer les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. Le périmètre de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation normalisés, tels que le contrôle de l’organisation des services 2 (SOC 2) et l’attestation de conformité (AoC) de l’industrie des cartes de paiement (PCI), des questionnaires personnalisés ou d’autres processus rigoureux appropriés. Réévaluez les fournisseurs de services chaque année, au minimum, ou avec des contrats nouveaux et renouvelés.

Évaluer les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. Le périmètre de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation normalisés, tels que le contrôle de l’organisation des services 2 (SOC 2) et l’attestation de conformité (AoC) de l’industrie des cartes de paiement (PCI), des questionnaires personnalisés ou d’autres processus rigoureux appropriés. Réévaluez les fournisseurs de services chaque année, au minimum, ou avec des contrats nouveaux et renouvelés.

Surveiller les fournisseurs de services :

Surveillez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. La surveillance peut inclure une réévaluation périodique de la conformité des fournisseurs de services, la surveillance des notes de version des fournisseurs de services et la surveillance du dark web.

Neutralisez en toute sécurité les fournisseurs de services :

Déclassez les fournisseurs de services en toute sécurité. Par exemple, la désactivation des comptes d’utilisateurs et de services, l’arrêt des flux de données et l’élimination sécurisée des données d’entreprise au sein des systèmes des fournisseurs de services.

Établissez et maintenez un processus de développement d’applications sécurisé :

Établissez et maintenez un processus de développement d’applications sécurisé. Au cours du processus, abordez des éléments tels que les normes de conception d’applications sécurisées, les pratiques de codage sécurisées, la formation des développeurs, la gestion des vulnérabilités, la sécurité du code tiers et les procédures de test de sécurité des applications. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Appliquer les principes de conception sécurisée dans les architectures d’applications :

Appliquez les principes de conception sécurisée dans les architectures d’applications. Les principes de conception sécurisée incluent le concept de moindre privilège et l’application de la médiation pour valider chaque opération effectuée par l’utilisateur, en promouvant le concept de « ne jamais faire confiance à l’entrée de l’utilisateur ». Il peut s’agir, par exemple, de s’assurer qu’une vérification explicite des erreurs est effectuée et documentée pour toutes les entrées, y compris la taille, le type de données et les plages ou formats acceptables. La conception sécurisée implique également de minimiser la surface d’attaque de l’infrastructure applicative, par exemple en désactivant les ports et les services non protégés, en supprimant les programmes et fichiers inutiles et en renommant ou en supprimant les comptes par défaut.

Exploitez des modules ou services approuvés pour les composants de sécurité des applications :

Tirez parti de modules ou de services approuvés pour les composants de sécurité des applications, tels que la gestion des identités, le chiffrement, l’audit et la journalisation. L’utilisation des fonctionnalités de la plate-forme dans les fonctions de sécurité critiques réduira la charge de travail des développeurs et minimisera la probabilité d’erreurs de conception ou de mise en œuvre. Les systèmes d’exploitation modernes fournissent des mécanismes efficaces d’identification, d’authentification et d’autorisation et mettent ces mécanismes à la disposition des applications. N’utilisez que des algorithmes de chiffrement standardisés, actuellement acceptés et largement examinés. Les systèmes d’exploitation fournissent également des mécanismes permettant de créer et de gérer des journaux d’audit sécurisés.

Implémentez des contrôles de sécurité au niveau du code :

Appliquez des outils d’analyse statique et dynamique dans le cycle de vie de l’application pour vérifier que les pratiques de codage sécurisées sont suivies.

Effectuez des tests de pénétration de l’application :

Effectuez des tests de pénétration de l’application. Pour les applications critiques, les tests d’intrusion authentifiés sont mieux adaptés pour trouver des vulnérabilités de logique métier que l’analyse de code et les tests de sécurité automatisés.Les tests de pénétration reposent sur les compétences du testeur pour manipuler manuellement une application en tant qu’utilisateur authentifié et non authentifié. 

Modéliser les menaces :

Effectuer une modélisation des menaces. La modélisation des menaces est le processus qui consiste à identifier et à traiter les failles de conception de sécurité des applications au sein d’une conception, avant la création du code. Elle est menée par des personnes spécialement formées qui évaluent la conception de l’application et évaluent les risques de sécurité pour chaque point d’entrée et niveau d’accès. L’objectif est de cartographier l’application, l’architecture et l’infrastructure de manière structurée pour comprendre leurs faiblesses.

Établir et maintenir un processus d’acceptation et de traitement des vulnérabilités logicielles :

Établir et maintenir un processus pour accepter et traiter les rapports de vulnérabilités logicielles, y compris fournir un moyen pour les entités externes de le faire. Le processus doit inclure des éléments tels qu’une politique de gestion des vulnérabilités qui identifie le processus de signalement, la partie responsable du traitement des rapports de vulnérabilité et un processus d’admission, d’affectation, de rattrapage et de test de rattrapage. Dans le cadre du processus, utilisez un système de suivi des vulnérabilités qui comprend des évaluations de gravité et des mesures pour mesurer le délai d’identification, d’analyse et de correction des vulnérabilités. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants au sein de l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Effectuez une analyse de la cause première des vulnérabilités de sécurité :

Effectuez une analyse de la cause première des vulnérabilités de sécurité. Lors de l’examen des vulnérabilités, l’analyse de la cause première consiste à évaluer les problèmes sous-jacents qui créent des vulnérabilités dans le code, et permet aux équipes de développement d’aller au-delà de la simple correction des vulnérabilités individuelles au fur et à mesure qu’elles se produisent.

Établir et gérer un inventaire des composants logiciels tiers :

Établissez et gérez un inventaire à jour des composants tiers utilisés dans le développement, souvent appelé « nomenclature », ainsi que des composants prévus pour une utilisation future.Cet inventaire doit inclure tous les risques que chaque composant tiers pourrait poser.Évaluez la liste au moins une fois par mois pour identifier tout changement ou mise à jour de ces composants, et validez que le composant est toujours pris en charge. 

Utilisez des composants logiciels tiers à jour et approuvés :

Utilisez des composants logiciels tiers à jour et approuvés. Dans la mesure du possible, choisissez des frameworks et des bibliothèques établis et éprouvés qui offrent une sécurité adéquate.Procurez-vous ces composants auprès de sources fiables ou évaluez les vulnérabilités du logiciel avant de l’utiliser.

Établir et maintenir un système et un processus d’évaluation de la gravité pour les vulnérabilités des applications :

Établissez et tenez à jour un système et un processus d’évaluation de la gravité pour les vulnérabilités des applications qui facilitent l’ordre de priorité dans lequel les vulnérabilités découvertes sont corrigées. Ce processus comprend la définition d’un niveau minimum d’acceptabilité de la sécurité pour la publication de code ou d’applications. Les évaluations de gravité offrent un moyen systématique de trier les vulnérabilités qui améliore la gestion des risques et permet de s’assurer que les bogues les plus graves sont corrigés en premier. Examiner et mettre à jour le système et le processus chaque année.

Utilisez les modèles de configuration de sécurisation renforcée standard pour l’infrastructure d’application :

Utilisez des modèles de configuration de sécurisation renforcée standard recommandés par le secteur pour les composants d’infrastructure d’application. Cela inclut les serveurs, bases de données et serveurs Web sous-jacents, et s’applique aux conteneurs dans le cloud, aux composants PaaS (Platform as a Service) et aux composants SaaS. Ne laissez pas les logiciels développés en interne affaiblir le renforcement de la configuration.

Séparer les systèmes de production et de non-production :

Maintenez des environnements séparés pour les systèmes de production et de non-production.

Former les développeurs aux concepts de sécurité des applications et au codage sécurisé :

Veiller à ce que tout le personnel de développement de logiciels reçoive une formation sur l’écriture de code sécurisé pour son environnement de développement et ses responsabilités spécifiques. La formation peut inclure les principes généraux de sécurité et les pratiques standard de sécurité des applications. Organisez des formations au moins une fois par an et concevez de manière à promouvoir la sécurité au sein de l’équipe de développement et à créer une culture de la sécurité parmi les développeurs.

Désignez du personnel pour gérer le traitement des incidents :

Désignez une personne clé, et au moins un remplaçant, qui gérera le processus de gestion des incidents de l’entreprise. Le personnel de gestion est responsable de la coordination et de la documentation de la réponse aux incidents et des efforts de récupération et peut être composé d’employés internes à l’entreprise, de fournisseurs tiers ou d’une approche hybride. Si vous faites appel à un fournisseur tiers, désignez au moins une personne interne à l’entreprise pour superviser tout travail tiers. Effectuez un examen annuel, ou lorsque des changements importants au sein de l’entreprise se produisent et qui pourraient avoir un impact sur cette garantie.

Établissez et tenez à jour les informations de contact pour le signalement des incidents de sécurité :

Établir et tenir à jour les coordonnées des parties qui doivent être informées des incidents de sécurité. Les contacts peuvent inclure du personnel interne, des fournisseurs tiers, des forces de l’ordre, des fournisseurs de cyberassurance, des agences gouvernementales concernées, des partenaires du Centre de partage et d’analyse d’informations (ISAC) ou d’autres parties prenantes. Vérifiez les contacts chaque année pour vous assurer que l’information est à jour.

Établir et maintenir un processus d’entreprise pour le signalement des incidents :

Établissez et maintenez un processus d’entreprise pour que les effectifs signalent les incidents de sécurité. Le processus comprend le délai de signalement, le personnel à qui rendre des comptes, le mécanisme de signalement et les renseignements minimaux à signaler. Assurez-vous que le processus est publiquement accessible à l’ensemble du personnel. Effectuez un examen annuel, ou lorsque des changements importants au sein de l’entreprise se produisent et qui pourraient avoir un impact sur cette garantie.

Établir et maintenir un processus de réponse aux incidents :

Établissez et tenez à jour un processus de réponse aux incidents qui traite des rôles et des responsabilités, des exigences de conformité et d’un plan de communication. Effectuez un examen annuel, ou lorsque des changements importants au sein de l’entreprise se produisent et qui pourraient avoir un impact sur cette garantie.

Affectez des rôles et responsabilités clés :

Affectez les rôles et responsabilités clés pour la réponse aux incidents, y compris le personnel des services juridiques, informatiques, de sécurité de l’information, des installations, des relations publiques, des ressources humaines, des intervenants en cas d’incident et des analystes, le cas échéant. Effectuez un examen annuel, ou lorsque des changements importants au sein de l’entreprise se produisent et qui pourraient avoir un impact sur cette garantie.

Définissez les mécanismes de communication pendant la réponse aux incidents :

Déterminez les mécanismes primaires et secondaires qui seront utilisés pour communiquer et générer des rapports lors d’un incident de sécurité. Les mécanismes peuvent inclure des appels téléphoniques, des e-mails ou des lettres. Gardez à l’esprit que certains mécanismes, tels que les e-mails, peuvent être affectés lors d’un incident de sécurité. Effectuez un examen annuel, ou lorsque des changements importants au sein de l’entreprise se produisent et qui pourraient avoir un impact sur cette garantie.

Effectuer des exercices de routine d’intervention en cas d’incident :

Planifiez et menez des exercices et des scénarios d’intervention en cas d’incident de routine pour le personnel clé impliqué dans le processus de réponse aux incidents afin de les préparer à répondre à des incidents réels. Les exercices doivent tester les canaux de communication, la prise de décision et les flux de travail. Effectuez des tests sur une base annuelle, au minimum.

Effectuer des examens post-incident :

Effectuer des examens post-incident. Les examens post-incident permettent d’éviter la récurrence des incidents en identifiant les leçons apprises et les mesures de suivi.

Établir et gérer des seuils d’incidents de sécurité :

Établir et maintenir des seuils d’incident de sécurité, y compris, au minimum, faire la différence entre un incident et un événement. Les exemples peuvent inclure : une activité anormale, une vulnérabilité de sécurité, une faiblesse de sécurité, une violation de données, un incident de confidentialité, etc. Effectuez un examen annuel, ou lorsque des changements importants au sein de l’entreprise se produisent et qui pourraient avoir un impact sur cette garantie.

Établir et tenir à jour un programme de tests d’intrusion :

Établir et tenir à jour un programme de tests d’intrusion adapté à la taille, à la complexité et à la maturité de l’entreprise. Les caractéristiques du programme de test d’intrusion comprennent la portée, comme le réseau, l’application Web, l’interface de programmation d’application (API), les services hébergés et les contrôles des locaux physiques ; Fréquence; les limitations, telles que les heures acceptables et les types d’attaques exclus ; les coordonnées du point de contact ; le rattrapage, par exemple la façon dont les résultats seront acheminés à l’interne ; et les exigences rétrospectives.

Effectuez des tests d’intrusion externes périodiques :

Effectuer des tests d’intrusion externes périodiques en fonction des exigences du programme, au moins une fois par an. Les tests d’intrusion externes doivent inclure une reconnaissance de l’entreprise et de l’environnement pour détecter les informations exploitables. Les tests d’intrusion nécessitent des compétences et une expérience spécialisées et doivent être effectués par l’intermédiaire d’une partie qualifiée. Le test peut être une boîte transparente ou une boîte opaque.

Corriger les conclusions du test de pénétration :

Corrigez les conclusions des tests de pénétration en fonction de la politique de l’entreprise en matière de périmètre et de priorité du rattrapage.

Valider les mesures de sécurité :

Validez les mesures de sécurité après chaque test d’intrusion. Si nécessaire, modifiez les ensembles de règles et les options pour détecter les techniques utilisées pendant les tests.

Utilisez un outil de détection actif pour identifier les appareils connectés au réseau de l’organisation et mettre à jour l’inventaire des actifs matériels.

Utilisez un outil de détection passif pour identifier les appareils connectés au réseau de l’organisation et mettre à jour automatiquement l’inventaire des actifs matériels de l’organisation.

Tenez un inventaire précis et à jour de tous les actifs technologiques ayant la possibilité de stocker ou de traiter des informations. Cet inventaire doit inclure tous les actifs matériels, qu’ils soient connectés ou non au réseau de l’organisation.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse réseau, l’adresse matérielle, le nom de l’ordinateur, le propriétaire des actifs de données et le département pour chaque actif et indique si l’actif matériel a été approuvé pour se connecter au réseau.

Utilisez le contrôle d’accès au niveau du port, conformément à la norme 802.1x, pour contrôler quels appareils peuvent s’authentifier sur le réseau. Le système d’authentification doit être lié aux données de l’inventaire des actifs matériels pour s’assurer que seuls les appareils autorisés peuvent se connecter au réseau.

Utilisez des certificats clients pour authentifier les actifs matériels qui se connectent au réseau approuvé de l’organisation.

Tenez à jour une liste de tous les logiciels autorisés requis dans l’entreprise à des fins professionnelles sur n’importe quel système d’entreprise.

Assurez-vous que seules les applications logicielles ou les systèmes d’exploitation actuellement pris en charge par le fournisseur du logiciel sont ajoutés à l’inventaire logiciel autorisé de l’organisation. Les logiciels non pris en charge doivent être marqués comme non pris en charge dans le système d’inventaire.

Utilisez les outils d’inventaire logiciel dans l’ensemble de l’organisation pour automatiser la documentation de tous les logiciels sur les systèmes d’entreprise.

Le système d’inventaire logiciel doit suivre le nom, la version, l’éditeur et la date d’installation de tous les logiciels, y compris les systèmes d’exploitation autorisés par l’organisation.

Le système d’inventaire logiciel doit être lié à l’inventaire des actifs matériels afin que tous les appareils et les logiciels associés soient suivis à partir d’un emplacement unique.

Utilisez un outil d’analyse des vulnérabilités à jour conforme au SCAP pour analyser automatiquement tous les systèmes du réseau sur une base hebdomadaire ou plus fréquente afin d’identifier toutes les vulnérabilités potentielles sur les systèmes de l’organisation.

Effectuez une analyse de vulnérabilité authentifiée avec des agents exécutés localement sur chaque système ou avec des scanners distants configurés avec des droits élevés sur le système testé.

Comparez régulièrement les résultats des analyses de vulnérabilité consécutives pour vérifier que les vulnérabilités ont été corrigées en temps opportun.

Avant de déployer un nouvel actif, changez tous les mots de passe par défaut pour qu’ils aient des valeurs compatibles avec les comptes de niveau administratif.

Lorsque l’authentification multifacteur n’est pas prise en charge (par exemple, l’administrateur local, les comptes racine ou les comptes de service), les comptes utilisent des mots de passe propres à ce système.

Configurez les systèmes pour émettre une entrée de journal et une alerte lorsqu’un compte est ajouté ou supprimé d’un groupe doté de privilèges administratifs.

Configurez les systèmes pour émettre une entrée de journal et une alerte en cas d’échec de connexion à un compte d’administrateur.

Assurez-vous que la journalisation locale a été activée sur tous les systèmes et appareils réseau.

Activez la journalisation système pour inclure des informations détaillées telles qu’une source d’événement, une date, un utilisateur, un horodatage, des adresses sources, des adresses de destination et d’autres éléments utiles.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

N’importe quel logiciel antivirus d’entreprise aura cette capacité. En disposant d’un AV géré de manière centralisée, vous pouvez facilement répondre aux exigences individuelles.

La qualité de l’antivirus dépend de ses signatures. Bien que la détection purement basée sur les signatures ne soit plus viable, même les moteurs basés sur les anomalies doivent être mis à jour régulièrement. Assurez-vous que les mises à jour sont déployées automatiquement et utilisez des outils pour vérifier que les signatures sont réellement à jour.

Les guides de durcissement DISA fournissent des instructions étape par étape sur l’activation de ces paramètres et bien plus encore.

La plupart des antivirus ont cette fonctionnalité activée par défaut, mais il est toujours important de vérifier qu’elle est bien activée. Les logiciels malveillants qui arrivent via une clé USB sont un vecteur d’attaque viable pour presque toutes les organisations.

Pour la même raison pour laquelle vous ne voulez pas l’analyser, vous ne voulez pas non plus qu’il s’exécute lorsqu’il est monté. Il s’agit d’un paramètre assez rapide à activer, et les guides de renforcement CIS et DISA contiennent des instructions étape par étape sur la désactivation de l’exécution automatique. Certains outils SCM peuvent rapidement vérifier chaque point de terminaison de votre environnement pour s’assurer que ce paramètre est désactivé.

Effectuez régulièrement des analyses de ports automatisées sur tous les systèmes et alertez si des ports non autorisés sont détectés sur un système.

Comparez toutes les configurations de périphériques réseau aux configurations de sécurité approuvées définies pour chaque périphérique réseau en cours d’utilisation et alertez lorsque des écarts sont détectés.

Installez la dernière version stable de toutes les mises à jour liées à la sécurité sur tous les périphériques réseau.

Déployez des capteurs de systèmes de détection des intrusions (IDS) basés sur le réseau pour rechercher des mécanismes d’attaque inhabituels et détecter la compromission de ces systèmes à chacune des limites du réseau de l’organisation.

Supprimez du réseau les données sensibles ou les systèmes auxquels l’organisation n’accède pas régulièrement. Ces systèmes ne doivent être utilisés qu’en tant que systèmes autonomes (déconnectés du réseau) par l’unité commerciale qui a besoin d’utiliser occasionnellement le système ou complètement virtualisés et éteints jusqu’à ce qu’ils soient nécessaires.

Offrez la formation aux employés afin qu’ils soient conscients des risques liés aux données sur les clés USB. Ensuite, fournissez-leur les outils nécessaires pour sécuriser les données critiques de votre organisation.

Chiffrez toutes les informations sensibles en transit.

Tenir à jour un inventaire des points d’accès sans fil autorisés connectés au réseau câblé.

Tenir à jour un inventaire de chacun des systèmes d’authentification de l’organisation, y compris ceux situés sur place ou chez un fournisseur de services à distance.

Chiffrez ou hachez avec un salage toutes les informations d’identification d’authentification lorsqu’elles sont stockées.

Assurez-vous que tous les noms d’utilisateur de compte et les informations d’identification d’authentification sont transmis entre les réseaux à l’aide de canaux chiffrés.

Verrouillez automatiquement les sessions des postes de travail après une période d’inactivité standard.

Alerte lorsque les utilisateurs s’écartent du comportement de connexion normal, tels que l’heure de la journée, l’emplacement du poste de travail et la durée.

N’utilisez que des algorithmes de chiffrement normalisés et largement examinés.

Établissez un processus pour accepter et traiter les signalements de vulnérabilités logicielles, notamment en fournissant à des entités externes un moyen de contacter votre groupe de sécurité.

Attribuez des titres de poste et des fonctions pour le traitement des incidents informatiques et réseau à des personnes spécifiques et assurez le suivi et la documentation tout au long de l’incident jusqu’à sa résolution.

Désignez le personnel de gestion, ainsi que les remplaçants, qui soutiendront le processus de gestion des incidents en jouant un rôle décisionnel clé.

Publiez des informations à l’intention de tous les membres du personnel concernant le signalement des anomalies et des incidents informatiques à l’équipe de gestion des incidents. De telles informations devraient être incluses dans les activités de sensibilisation de routine des employés.

Définir une « politique de sécurité de l’information » qui est approuvée par la direction et qui définit l’approche de l’organisation en matière de gestion de ses objectifs de sécurité de l’information. La politique de sécurité de l’information est appuyée par des politiques thématiques, qui exigent en outre la mise en œuvre de contrôles de sécurité de l’information, notamment : le contrôle d’accès ; la classification (et le traitement de l’information) ; la sécurité physique et environnementale ; Sauvegarde; le transfert d’informations ; protection contre les logiciels malveillants ; la gestion des vulnérabilités techniques ; contrôles cryptographiques ; la sécurité des communications ; la protection de la vie privée et des renseignements personnels identifiables ; les relations avec les fournisseurs et les sujets axés sur l’utilisateur final, tels que : 1) l’utilisation acceptable des actifs ; 2) bureau clair et écran clair ; 3) le transfert d’informations ; 4) les appareils mobiles et le télétravail ; 5) Restrictions sur l’installation et l’utilisation des logiciels.

Veiller à ce que les responsabilités en matière de protection des biens individuels soient identifiées dans l’inventaire des biens. Veiller à ce que les rôles et les responsabilités liés à l’élaboration et à la mise en œuvre de la sécurité de l’information soient clairement définis.

Utilisez un logiciel de chiffrement de disque entier approuvé pour chiffrer le disque dur de tous les appareils mobiles.

Appliquez des politiques d’accès à distance pour les employés et les sous-traitants.

Assurez-vous que la vérification des antécédents de tous les employés et sous-traitants est effectuée avant d’accorder l’accès aux actifs de l’entreprise.

Assurez-vous que tous les nouveaux employés ou sous-traitants ont signé et accepté les conditions d’emploi, y compris leur responsabilité en matière de sécurité de l’information.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse réseau, l’adresse matérielle, le nom de l’ordinateur, le propriétaire des actifs de données et le département pour chaque actif et indique si l’actif matériel a été approuvé pour se connecter au réseau.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse réseau, l’adresse matérielle, le nom de l’ordinateur, le propriétaire des actifs de données et le département pour chaque actif et indique si l’actif matériel a été approuvé pour se connecter au réseau.

S’assurer que les employés et les sous-traitants sont informés des exigences en matière de sécurité de l’information des actifs de l’organisation associés à l’information et aux installations et ressources de traitement de l’information. Ils doivent être responsables de l’utilisation qu’ils font de toute ressource de traitement de l’information et de toute utilisation de ce type effectuée sous leur responsabilité.

Utilisez des certificats clients pour authentifier les actifs matériels qui se connectent au réseau approuvé de l’organisation.

Exigez tous les accès de connexion à distance au réseau de l’organisation pour chiffrer les données en transit et utilisez l’authentification multifacteur.

Lorsque l’authentification multifacteur n’est pas prise en charge (par exemple, l’administrateur local, les comptes racine ou les comptes de service), les comptes utilisent des mots de passe propres à ce système.

Assurez-vous que la politique relative au chiffrement existe et qu’elle est appliquée, mise en œuvre et appliquée conformément aux exigences de classification des données.

Assurez-vous que la gestion des clés de chiffrement est gérée conformément à une politique et une procédure officielles pour l’ensemble du cycle de vie de la clé.

Assurez-vous que la politique de bureau claire est adaptée par les employés et les sous-traitants.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que la journalisation locale a été activée sur tous les systèmes et appareils réseau.

Assurez-vous que les journaux sont protégés en toute sécurité contre tout accès non autorisé.

Appliquez une journalisation d’audit détaillée pour l’accès aux données sensibles ou les modifications apportées aux données sensibles (à l’aide d’outils tels que la surveillance de l’intégrité des fichiers ou la surveillance des informations et des événements de sécurité).

S’assurer que des politiques, des procédures et des contrôles officiels en matière de transfert sont en place pour protéger le transfert d’information par l’utilisation de tous les types d’installations de communication.

Veiller à ce que les exigences relatives à la sécurité de l’information soient incluses dans les exigences relatives aux nouveaux systèmes d’information ou aux améliorations apportées aux systèmes d’information existants.

Assurez-vous que les applications critiques pour l’entreprise sont examinées et testées afin de garantir qu’il n’y a aucun impact négatif sur les opérations ou la sécurité de l’organisation chaque fois que des modifications sont apportées aux plateformes d’exploitation.

Assurez-vous que les modifications apportées aux progiciels sont découragées ou limitées aux modifications nécessaires et que toutes les modifications sont strictement contrôlées.

Assurez-vous que des tests de sécurité, tels que les revues de code sécurisé et l’analyse des vulnérabilités, sont effectués pendant le cycle de vie du développement. Assurez-vous que les vulnérabilités identifiées sont documentées et que des mesures correctives sont effectuées.

Assurez-vous que les tests d’acceptation du système comprennent la mise à l’essai des exigences en matière de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

Assurez-vous que les tests d’acceptation du système comprennent la mise à l’essai des exigences en matière de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

Assurez-vous que les contrôles de sécurité de l’information sont traités et résolus avec le fournisseur avant de mener des activités ou d’accorder au fournisseur l’accès aux actifs.

S’assurer que l’évaluation des risques est effectuée avant de faire des affaires et que les fournisseurs et les vendeurs ont accès aux actifs et que les contrôles et les exigences de sécurité sont convenus et documentés dans l’entente avec les fournisseurs.

Assurez-vous que les fournisseurs effectuent une surveillance et un examen réguliers pour s’assurer que les termes et conditions des accords en matière de sécurité de l’information sont respectés et que les incidents et problèmes de sécurité de l’information sont gérés correctement.

Assurez-vous qu’une évaluation des risques tiers est effectuée chaque fois qu’il y a des changements à la prestation de services. Veiller à ce que les changements apportés à la prestation de services par les fournisseurs, y compris le maintien et l’amélioration des politiques, des procédures et des contrôles existants en matière de sécurité de l’information, soient gérés.

Assurez-vous qu’un programme officiel de gestion des incidents est en place et que tout le personnel et les tiers sont formés sur la façon de reconnaître et de signaler les incidents de sécurité.

Assurez-vous qu’il existe une gestion officielle des événements de sécurité de l’information afin d’inclure une échelle de classification convenue des événements et des incidents de sécurité pour la génération de rapports et l’escalade. Assurez-vous que le schéma de classification des menaces et des risques est documenté. Assurez-vous que les notifications de réponse aux incidents sont conservées. Assurez-vous que les seuils d’impact à utiliser pour classer les incidents sont documentés.

Veiller à ce que les incidents liés à la sécurité de l’information soient traités conformément aux procédures documentées.

Veiller à ce que les procédures de surveillance des incidents soient incluses dans le programme Gestion des incidents afin de documenter les incidents et de s’assurer que les événements de sécurité sont analysés périodiquement afin de réduire les incidents futurs.

S’assurer que la sécurité de l’information et la continuité de la gestion de la sécurité de l’information sont planifiées et incluses dans le plan de continuité des activités ou dans le plan de reprise après sinistre.

Assurez-vous que le plan de continuité d’activité ou de reprise après sinistre est officiellement documenté.

S’assurer que la continuité des activités ou le plan de reprise après sinistre sont des exercices annuels pour valider que les contrôles de sécurité adéquats sont valides et efficaces en cas de situation défavorable.

Assurez-vous que les composants de basculement et de récupération fonctionnent comme prévu.

Veiller à ce que les dossiers et les données soient protégés contre la perte, la destruction, la falsification, l’accès non autorisé et la divulgation non autorisée, conformément aux exigences législatives, réglementaires, contractuelles et commerciales.

Veiller à ce que la confidentialité et la protection des renseignements personnels identifiables soient protégées et traitées conformément à la législation et à la réglementation, le cas échéant.

S’assurer que des tests de la configuration des systèmes dans le périmètre par rapport aux exigences de conformité et réglementaires sont régulièrement effectués. Assurez-vous que les normes de configuration de base des systèmes sont documentées et fondées sur les meilleures pratiques de l’industrie.

S’assurer que le processus de résiliation est officialisé afin d’inclure le retour de tous les actifs physiques et électroniques précédemment émis appartenant à l’organisation ou confiés à celle-ci.

• Profils RH [sn_hr_core_profile]
• Actif [alm_asset]

Assurez-vous que les actifs logiciels sont gérés et régulièrement mis à jour.

• Gestion des actifs logiciels Core
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Utilisez un processus d’évaluation des risques pour prioriser le rattrapage des vulnérabilités détectées.

Désinstallez ou désactivez tous les modules d’extension ou modules complémentaires de navigateur ou de client de messagerie non autorisés.

• Gestion des actifs logiciels Core
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Établir des pratiques de codage sécurisées adaptées au langage de programmation et à l’environnement de développement utilisés.

S’assurer qu’il existe des plans écrits d’intervention en cas d’incident qui définissent les rôles du personnel ainsi que les phases de traitement et de gestion des incidents.