Établir et tenir à jour un inventaire détaillé des actifs de l’entreprise :

Établissez et tenez à jour un inventaire précis, détaillé et à jour de tous les actifs de l’entreprise susceptibles de stocker ou de traiter des données, notamment les appareils de l’utilisateur final (y compris les appareils portables et mobiles), les appareils réseau, les appareils non informatiques/IoT et les serveurs. Assurez-vous que l’inventaire enregistre l’adresse réseau (si statique), l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données, le département pour chaque actif et si l’actif a été approuvé pour se connecter au réseau. Pour les appareils mobiles de l’utilisateur final, les outils de type MDM peuvent prendre en charge ce processus, le cas échéant. Cet inventaire comprend les actifs connectés à l’infrastructure physiquement, virtuellement, à distance et ceux dans les environnements cloud. En outre, cela inclut les actifs qui sont régulièrement connectés à l’infrastructure réseau de l’entreprise, même s’ils ne sont pas sous le contrôle de l’entreprise. Passez en revue et mettez à jour l’inventaire de tous les actifs d’entreprise deux fois par an, ou plus fréquemment.

Traiter les actifs non autorisés :

Assurez-vous qu’un processus existe pour traiter les actifs non autorisés chaque semaine. L’entreprise peut choisir de supprimer l’actif du réseau, de lui refuser la connexion à distance au réseau ou de le mettre en quarantaine.

Utilisez un outil de découverte actif :

Utilisez un outil de détection active pour identifier les actifs connectés au réseau de l’entreprise. Configurez l’outil de détection actif pour qu’il s’exécute quotidiennement ou plus fréquemment.

Utilisez la connexion DHCP (Dynamic Host Configuration Protocol) pour mettre à jour l’inventaire des actifs d’entreprise :

Utilisez la connexion DHCP sur tous les serveurs DHCP ou les outils de gestion des adresses IP (Internet Protocol) pour mettre à jour l’inventaire des actifs de l’entreprise. Examinez et utilisez les journaux pour mettre à jour l’inventaire des actifs de l’entreprise chaque semaine ou plus fréquemment.

Utilisez un outil de détection d’actifs passifs :

Utilisez un outil de détection passif pour identifier les actifs connectés au réseau de l’entreprise. Examinez et utilisez les analyses pour mettre à jour l’inventaire des actifs de l’entreprise au moins une fois par semaine ou plus fréquemment.

Établir et tenir à jour un inventaire logiciel :

Établir et tenir à jour un inventaire détaillé de tous les logiciels sous licence installés sur les actifs de l’entreprise. L’inventaire des logiciels doit documenter le titre, l’éditeur, la date d’installation/d’utilisation initiale et l’objectif commercial de chaque entrée ; le cas échéant, incluez l’URL (Uniform Resource Locator), les magasins d’applications, la ou les versions, le mécanisme de déploiement et la date de mise hors service. Passez en revue et mettez à jour l’inventaire logiciel tous les deux ans ou plus fréquemment.

S’assurer que le logiciel autorisé est actuellement pris en charge

Assurez-vous que seuls les logiciels actuellement pris en charge sont désignés comme autorisés dans l’inventaire logiciel pour les actifs d’entreprise. Si le logiciel n’est pas pris en charge, mais qu’il est nécessaire à l’accomplissement de la mission de l’entreprise, documentez une exception détaillant les contrôles d’atténuation et l’acceptation des risques résiduels. Pour tout logiciel non pris en charge sans documentation d’exception, désignez comme non autorisé. Passez en revue la liste des logiciels pour vérifier la prise en charge logicielle au moins une fois par mois, ou plus fréquemment.

S’adresser aux logiciels non autorisés :

Assurez-vous que les logiciels non autorisés sont soit supprimés de l’utilisation sur les actifs de l’entreprise, soit qu’ils reçoivent une exception documentée. Révisez tous les mois ou plus fréquemment.

Utilisez des outils automatisés d’inventaire logiciel :

Utilisez des outils d’inventaire logiciel, si possible, dans l’ensemble de l’entreprise pour automatiser la découverte et la documentation des logiciels installés.

Logiciels autorisés sur liste d’autorisation :

Utilisez des contrôles techniques, tels que la mise sur liste d’autorisation d’applications, pour vous assurer que seuls les logiciels autorisés peuvent être exécutés ou accessibles. Réévaluez votre évaluation tous les deux ans ou plus fréquemment.

Bibliothèques autorisées sur liste d’autorisation :

Utilisez des contrôles techniques pour vous assurer que seules les bibliothèques logicielles autorisées, telles que les fichiers .dll, .ocx, .so, etc., sont autorisées à être chargées dans un processus système. Bloquez le chargement des bibliothèques non autorisées dans un processus système. Réévaluez votre évaluation tous les deux ans ou plus fréquemment.

Scripts autorisés sur liste d’autorisation :

Utilisez des contrôles techniques, tels que les signatures numériques et le contrôle de version, pour vous assurer que seuls les scripts autorisés, tels que des fichiers .ps1, .py, etc., spécifiques, sont autorisés à s’exécuter. Bloquez l’exécution des scripts non autorisés. Réévaluez votre évaluation tous les deux ans ou plus fréquemment.

Établir et maintenir un processus de gestion des données :

Établir et maintenir un processus de gestion des données. Ce faisant, abordez la sensibilité des données, le propriétaire des données, le traitement des données, les limites de conservation des données et les exigences en matière d’élimination, en fonction des normes de sensibilité et de conservation de l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Chiffrer les données sensibles en transit :

Chiffrez les données sensibles en transit. Des exemples d’implémentations peuvent inclure TLS (Transport Layer Security) et Open Secure Shell (OpenSSH).

Chiffrer les données sensibles au repos :

Chiffrez les données sensibles au repos sur les serveurs, les applications et les bases de données contenant des données sensibles. Le chiffrement de la couche de stockage, également connu sous le nom de chiffrement côté serveur, répond à l’exigence minimale de cette protection. D’autres méthodes de chiffrement peuvent inclure le chiffrement de la couche application, également connu sous le nom de chiffrement côté client, lorsque l’accès au(x) dispositif(s) de stockage des données ne permet pas d’accéder aux données en texte brut.

Segmenter le traitement et le stockage des données en fonction de la sensibilité :

Segmentez le traitement et le stockage des données en fonction de leur niveau de sensibilité. Ne traitez pas de données sensibles sur les actifs de l’entreprise destinés à des données de faible sensibilité.

Déployez une solution de prévention des pertes de données :

Implémentez un outil automatisé, tel qu’un outil de prévention de la perte de données (DLP) basé sur l’hôte, pour identifier toutes les données sensibles stockées, traitées ou transmises via les actifs de l’entreprise, y compris celles situées sur site ou chez un fournisseur de services distant, et mettre à jour l’inventaire des données sensibles de l’entreprise.

Accès aux données sensibles du journal :

Enregistrez l’accès aux données sensibles, y compris la modification et l’élimination.

Établir et tenir à jour un inventaire des données :

Établir et tenir à jour un inventaire des données, basé sur le processus de gestion des données de l’entreprise. Faites l’inventaire des données sensibles, au minimum. Passez en revue et mettez à jour l’inventaire une fois par an, au minimum, en accordant la priorité aux données sensibles.

Configurer les listes de contrôle d’accès aux données :

Configurez les listes de contrôle d’accès aux données en fonction du besoin de savoir de l’utilisateur. Appliquez des listes de contrôle d’accès aux données, également appelées autorisations d’accès, aux systèmes de fichiers, aux bases de données et aux applications locaux et distants.

Appliquer la conservation des données :

Conserver les données conformément au processus de gestion des données de l’entreprise. La conservation des données doit inclure des délais minimaux et maximaux.

Éliminez les données en toute sécurité :

Éliminez les données en toute sécurité, conformément au processus de gestion des données de l’entreprise. Assurez-vous que le processus et la méthode d’élimination correspondent à la sensibilité des données.

Chiffrer les données sur les appareils de l’utilisateur final :

Chiffrez les données sur les appareils de l’utilisateur final contenant des données sensibles. Des exemples d’implémentations peuvent inclure Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™.

Établir et maintenir un système de classification des données :

Établir et maintenir un système global de classification des données pour l’entreprise. Les entreprises peuvent utiliser des étiquettes, telles que « Sensible », « Confidentiel » et « Public », et classer leurs données en fonction de ces étiquettes. Examiner et mettre à jour le système de classification chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Flux de données de documents :

Flux de données de documents. La documentation sur les flux de données inclut les flux de données des fournisseurs de services et doit être basée sur le processus de gestion des données de l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Chiffrer les données sur des supports amovibles :

Chiffrez les données sur des supports amovibles.

Établir et maintenir un processus de configuration sécurisé :

Établissez et maintenez un processus de configuration sécurisé pour les actifs de l’entreprise (appareils de l’utilisateur final, y compris les appareils portables et mobiles, appareils non informatiques/IoT et serveurs) et les logiciels (systèmes d’exploitation et applications).Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Appliquer le verrouillage automatique des appareils sur les appareils portables de l’utilisateur final :

Appliquez le verrouillage automatique des appareils en fonction d’un seuil prédéterminé de tentatives d’authentification locales échouées sur les appareils portables des utilisateurs finaux, lorsqu’ils sont pris en charge. Pour les ordinateurs portables, n’autorisez pas plus de 20 tentatives d’authentification infructueuses ; Pour les tablettes et les smartphones, pas plus de 10 tentatives d’authentification infructueuses. Parmi les exemples d’implémentations, citons Microsoft InTune Device Lock et Apple Configuration Profile maxFailedAttempts.

Appliquez la fonctionnalité d’effacement à distance sur les appareils portables de l’utilisateur final :

Effacez à distance les données de l’entreprise des appareils portables de l’utilisateur final lorsque cela est jugé approprié, par exemple en cas de perte ou de vol d’appareils, ou lorsqu’une personne ne prend plus en charge l’entreprise.

Espaces de travail d’entreprise distincts sur les appareils mobiles de l’utilisateur final :

Assurez-vous que des espaces de travail d’entreprise distincts sont utilisés sur les appareils mobiles des utilisateurs finaux, lorsqu’ils sont pris en charge. L’utilisation d’un profil de configuration ou Android d’un Apple profil professionnel pour séparer les applications et les données d’entreprise des applications et données personnelles constitue un exemple d’implémentation.

Établir et maintenir un processus de configuration sécurisé pour l’infrastructure réseau :

Établissez et maintenez un processus de configuration sécurisé pour les appareils réseau. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Configurez le verrouillage automatique de session sur les actifs d’entreprise :

Configurez le verrouillage automatique de session sur les actifs d’entreprise après une période d’inactivité définie. Pour les systèmes d’exploitation à usage général, la période ne doit pas dépasser 15 minutes. Pour les appareils mobiles de l’utilisateur final, la période ne doit pas dépasser 2 minutes.

Mettre en place et gérer un pare-feu sur les serveurs :

Implémenter et gérer un pare-feu sur les serveurs, lorsqu’il est pris en charge. Les exemples d’implémentations incluent un pare-feu virtuel, un pare-feu de système d’exploitation ou un agent de pare-feu tiers.

Implémenter et gérer un pare-feu sur les appareils de l’utilisateur final :

Implémentez et gérez un pare-feu basé sur l’hôte ou un outil de filtrage de ports sur les appareils des utilisateurs finaux, avec une règle de refus par défaut qui interrompt tout le trafic, à l’exception des services et des ports qui sont explicitement autorisés.

Gérez en toute sécurité les actifs et les logiciels de l’entreprise :

Gérez en toute sécurité les actifs et les logiciels de l’entreprise. Parmi les exemples d’implémentations, citons la gestion de la configuration via une infrastructure en tant que code contrôlée par version et l’accès aux interfaces administratives via des protocoles réseau sécurisés, tels que Secure Shell (SSH) et Hypertext Transfer Protocol Secure (HTTPS). N’utilisez pas de protocoles de gestion non sécurisés, tels que Telnet (Teletype Network) et HTTP, sauf si cela est essentiel sur le plan opérationnel.

Gérer les comptes par défaut sur les actifs et les logiciels d’entreprise :

Gérez les comptes par défaut sur les actifs et les logiciels d’entreprise, tels que les comptes racine, administrateur et autres comptes fournisseur préconfigurés. Des exemples d’implémentation peuvent inclure : la désactivation des comptes par défaut ou leur inutilisation.

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels d’entreprise :

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels d’entreprise, tels qu’un service de partage de fichiers, un module d’application Web ou une fonction de service inutilisés.

Configurer les serveurs DNS de confiance sur les actifs d’entreprise :

Configurez des serveurs DNS approuvés sur les actifs de l’entreprise. Exemples d’implémentations : configuration des actifs pour utiliser des serveurs DNS contrôlés par l’entreprise et/ou des serveurs DNS réputés accessibles de l’extérieur.

Établir et tenir à jour un inventaire des comptes :

Établir et tenir à jour un inventaire de tous les comptes gérés dans l’entreprise. L’inventaire doit inclure à la fois les comptes d’utilisateur et d’administrateur. L’inventaire, au minimum, doit contenir le nom de la personne, son nom d’utilisateur, ses dates de début et de fin et son département. Validez le fait que tous les comptes actifs sont autorisés, selon un calendrier récurrent au moins une fois par trimestre ou plus fréquemment.

Utilisez des mots de passe uniques :

Utilisez des mots de passe uniques pour tous les actifs d’entreprise. La mise en œuvre des bonnes pratiques comprend, au minimum, un mot de passe de 8 caractères pour les comptes utilisant l’authentification multifacteur et un mot de passe de 14 caractères pour les comptes n’utilisant pas l’authentification multifacteur.

Désactiver les comptes dormants :

Supprimez ou désactivez tous les comptes dormants après une période de 45 jours d’inactivité, lorsqu’ils sont pris en charge.

Limiter les privilèges d’administrateur aux comptes d’administrateur dédiés :

Limitez les privilèges d’administrateur aux comptes d’administrateur dédiés sur les actifs d’entreprise. Effectuer des activités informatiques générales, telles que la navigation sur Internet, la messagerie et l’utilisation de la suite de productivité, à partir du compte principal non privilégié de l’utilisateur.

Établir et tenir à jour un inventaire des comptes de services :

Établir et tenir à jour un inventaire des comptes de services. L’inventaire, au minimum, doit contenir le propriétaire du département, la date d’examen et l’objectif. Examinez les comptes de service pour vérifier que tous les comptes actifs sont autorisés, selon un calendrier récurrent, au moins une fois par trimestre ou plus fréquemment.

Centralisez la gestion des comptes :

Centralisez la gestion des comptes par le biais d’un service d’annuaire ou d’identité.

Établissez un processus d’octroi d’accès :

Établissez et suivez un processus, de préférence automatisé, pour accorder l’accès aux actifs d’entreprise lors d’une nouvelle embauche, de l’octroi de droits ou d’un changement de rôle d’un utilisateur.

Établissez un processus de révocation d’accès :

Établissez et suivez un processus, de préférence automatisé, pour révoquer l’accès aux actifs de l’entreprise, en désactivant les comptes immédiatement après la résiliation, la révocation des droits ou le changement de rôle d’un utilisateur. La désactivation des comptes, au lieu de la suppression des comptes, peut être nécessaire pour préserver les pistes d’audit.

Exiger l’authentification multifacteur pour les applications exposées à l’extérieur :

Exigez que toutes les applications d’entreprise ou tierces exposées en externe appliquent la MFA, lorsqu’elle est prise en charge. L’application de l’authentification multifacteur par l’intermédiaire d’un service d’annuaire ou d’un fournisseur SSO est une mise en œuvre satisfaisante de cette garantie.

Exiger l’authentification multifacteur pour l’accès réseau à distance :

Nécessite l’authentification multifacteur pour l’accès réseau à distance.

Exiger l’authentification MFA pour l’accès administratif :

Exigez la MFA pour tous les comptes d’accès administratifs, lorsqu’ils sont pris en charge, sur tous les actifs de l’entreprise, qu’ils soient gérés sur site ou par l’intermédiaire d’un fournisseur tiers.

Établir et tenir à jour un inventaire des systèmes d’authentification et d’autorisation :

Établir et tenir à jour un inventaire des systèmes d’authentification et d’autorisation de l’entreprise, y compris ceux hébergés sur place ou chez un fournisseur de services à distance. Passez en revue et mettez à jour l’inventaire, au minimum, une fois par an ou plus fréquemment.

Centraliser le contrôle d’accès :

Centralisez le contrôle d’accès pour tous les actifs de l’entreprise via un service d’annuaire ou un fournisseur SSO, le cas échéant.

Définir et gérer le contrôle d’accès basé sur les rôles :

Définir et maintenir le contrôle d’accès basé sur les rôles, en déterminant et en documentant les droits d’accès nécessaires pour que chaque rôle au sein de l’entreprise puisse mener à bien les tâches qui lui sont assignées. Effectuez des examens de contrôle d’accès des actifs d’entreprise pour vérifier que tous les privilèges sont autorisés, selon un calendrier récurrent au minimum une fois par an ou plus fréquemment.

Établir et maintenir un processus de gestion des vulnérabilités :

Établissez et maintenez un processus documenté de gestion des vulnérabilités pour les actifs de l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Établissez et maintenez un processus de rattrapage :

Établir et tenir à jour une stratégie de remédiation fondée sur les risques, documentée dans le cadre d’un processus de remédiation, avec des révisions mensuelles ou plus fréquentes.

Exécutez une gestion automatisée des correctifs du système d’exploitation :

Effectuez des mises à jour du système d’exploitation sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuez une gestion automatisée des correctifs d’application :

Effectuez des mises à jour des applications sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuer des analyses automatisées de vulnérabilité des actifs internes de l’entreprise :

Effectuez des analyses automatisées de vulnérabilité des actifs internes de l’entreprise sur une base trimestrielle ou plus fréquente. Effectuez des analyses authentifiées et non authentifiées à l’aide d’un outil d’analyse des vulnérabilités conforme à la norme SCAP.

Effectuez des analyses automatisées de vulnérabilité des actifs d’entreprise exposés en externe :

Effectuez des analyses automatisées de vulnérabilité des actifs d’entreprise exposés en externe à l’aide d’un outil d’analyse des vulnérabilités conforme au SCAP. Effectuez des analyses sur une base mensuelle ou plus fréquente.

Corriger les vulnérabilités détectées :

Corrigez les vulnérabilités détectées dans les logiciels par le biais de processus et d’outils sur une base mensuelle ou plus fréquente, en fonction du processus de correction.

Établir et maintenir un processus de gestion des journaux d’audit :

Établissez et maintenez un processus de gestion des journaux d’audit qui définit les besoins de journalisation de l’entreprise. Traitez au minimum la collecte, la révision et la conservation des journaux d’audit pour les actifs de l’entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Conserver les journaux d’audit :

Conservez les journaux d’audit sur l’ensemble des actifs de l’entreprise pendant au moins 90 jours.

Effectuer des revues du journal d’audit :

Examinez les journaux d’audit pour détecter les anomalies ou les événements anormaux qui pourraient indiquer une menace potentielle. Effectuez des examens sur une base hebdomadaire ou plus fréquente.

Collecter les journaux des fournisseurs de services :

Collecter les journaux des fournisseurs de service, lorsqu’ils sont pris en charge. La collecte d’événements d’authentification et d’autorisation, la création et l’élimination de données et les événements de gestion des utilisateurs constituent des exemples d’implémentations.

Collecter les journaux d’audit :

Collecter les journaux d’audit. Assurez-vous que la connexion, conformément au processus de gestion des journaux d’audit de l’entreprise, a été activée sur l’ensemble des actifs de l’entreprise.

Assurer un stockage adéquat des journaux d’audit :

Assurez-vous que les destinations de journalisation disposent d’un stockage adéquat pour être conformes au processus de gestion des journaux d’audit de l’entreprise.

Standardiser la synchronisation de l’heure :

Standardisez la synchronisation de l’heure. Configurez au moins deux sources de temps synchronisées entre les actifs d’entreprise, lorsqu’elles sont prises en charge.

Collecter des journaux d’audit détaillés :

Configurez la journalisation d’audit détaillée pour les actifs d’entreprise contenant des données sensibles. Incluez la source de l’événement, la date, le nom d’utilisateur, l’horodatage, les adresses source, les adresses de destination et d’autres éléments utiles qui pourraient aider à une enquête médico-légale.

Collecter les journaux d’audit des requêtes DNS :

Collectez les journaux d’audit des requêtes DNS sur les actifs de l’entreprise, le cas échéant et avec assistance.

Collecter les journaux d’audit de demande d’URL :

Collectez les journaux d’audit des demandes d’URL sur les actifs de l’entreprise, le cas échéant et avec assistance.

Collecter les journaux d’audit de ligne de commande :

Collecter les journaux d’audit de ligne de commande. La collecte de journaux d’audit à partir de PowerShell™, de BASH™ et de terminaux d’administration distants constitue un exemple d’implémentation.

Centraliser les journaux d’audit :

Centralisez, dans la mesure du possible, la collecte et la conservation des journaux d’audit sur l’ensemble des actifs de l’entreprise.

Assurez-vous d’utiliser uniquement des navigateurs et des clients de messagerie entièrement pris en charge :

Assurez-vous que seuls les navigateurs et clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’entreprise, en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Utiliser les services de filtrage DNS :

Utilisez les services de filtrage DNS sur tous les actifs de l’entreprise pour bloquer l’accès aux domaines malveillants connus.

Gérez et appliquez les filtres d’URL basés sur le réseau :

Appliquez et mettez à jour des filtres URL basés sur le réseau pour empêcher un actif de l’entreprise de se connecter à des sites Web potentiellement malveillants ou non approuvés. Les exemples d’implémentation incluent le filtrage basé sur les catégories, le filtrage basé sur la réputation ou l’utilisation de listes de blocage. Appliquez des filtres pour tous les actifs d’entreprise.

Limitez les extensions de navigateur et de client de messagerie inutiles ou non autorisées :

Restreindre, en désinstallant ou en désactivant, les modules d’extension, les extensions et les compléments non autorisés ou inutiles du navigateur ou du client de messagerie.

Implémenter DMARC :

Pour réduire le risque d’usurpation ou de modification d’e-mails provenant de domaines valides, mettez en œuvre la politique et la vérification DMARC, en commençant par la mise en œuvre du Cadre des politiques de l’expéditeur (SPF) et des normes DKIM (DomainKeys Identified Mail).

Bloquez les types de fichiers inutiles :

Bloquez les types de fichiers inutiles qui tentent d’accéder à la passerelle de messagerie de l’entreprise.

Déployez et maintenez les protections anti-malware des serveurs de messagerie :

Déployez et maintenez des protections anti-malware pour serveurs de messagerie, telles que l’analyse des pièces jointes et/ou le sandboxing.

Déployer et maintenir un logiciel anti-malware :

Déployez et maintenez un logiciel anti-programme malveillant sur tous les actifs de l’entreprise.

Configurer les mises à jour automatiques des signatures anti-programme malveillant :

Configurez les mises à jour automatiques pour les fichiers de signatures anti-programme malveillant sur tous les actifs de l’entreprise.

Désactiver l’exécution automatique et la lecture automatique pour les supports amovibles :

Désactivez les fonctionnalités d’exécution automatique et de lecture automatique pour les supports amovibles.

Configurez l’analyse automatique anti-programme malveillant des supports amovibles :

Configurez un logiciel anti-programme malveillant pour analyser automatiquement les supports amovibles.

Activez les fonctionnalités anti-exploitation :

Activez les fonctionnalités anti-exploitation sur les actifs et les logiciels de l’entreprise, si possible, telles que Microsoft Prévention de l’exécution des données (DEP), Windows Defender Exploit Guard (WDEG) ou Apple Protection de l’intégrité du système (SIP) et Gatekeeper™.

Gestion centralisée des logiciels anti-malware :

Gérez de manière centralisée les logiciels anti-malware.

Utilisez un logiciel anti-malware basé sur le comportement :

Utilisez un logiciel anti-malware basé sur le comportement.

Etablir et maintenir un processus de récupération des données :

Établir et maintenir un processus de récupération des données. Ce faisant, abordez le périmètre des activités de récupération des données, la hiérarchisation de la récupération et la sécurité des données de sauvegarde. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Effectuer des sauvegardes automatisées :

Effectuez des sauvegardes automatisées des actifs d’entreprise dans le périmètre. Exécutez des sauvegardes chaque semaine, ou plus fréquemment, en fonction du niveau de confidentialité des données.

Protéger les données de récupération :

Protégez les données de récupération avec des contrôles équivalents aux données d’origine. Chiffrement de référence ou séparation des données, en fonction des besoins.

Établir et maintenir une instance isolée de données de récupération :

Établir et gérer une instance isolée de données de récupération. Parmi les exemples d’implémentations, citons le contrôle des versions des destinations de sauvegarde via des systèmes ou des services hors ligne, dans le cloud ou hors site.

Récupération des données de test :

Testez la récupération des copies de sauvegarde tous les trimestres, ou plus fréquemment, pour un échantillon d’actifs d’entreprise dans le périmètre.

Assurez-vous que l’infrastructure réseau est à jour :

Assurez-vous que l’infrastructure réseau est maintenue à jour. L’exécution de la dernière version stable de logiciel et/ou l’utilisation d’offres de réseau en tant que service (NaaS) actuellement prises en charge constituent des exemples d’implémentations. Examinez les versions des logiciels tous les mois, ou plus fréquemment, pour vérifier la prise en charge des logiciels.

Établir et maintenir une architecture réseau sécurisée :

Établissez et maintenez une architecture réseau sécurisée. Une architecture réseau sécurisée doit tenir compte de la segmentation, du moindre privilège et de la disponibilité, au minimum.

Gérez l’infrastructure réseau en toute sécurité :

Gérez l’infrastructure réseau en toute sécurité. Parmi les exemples d’implémentations, citons l’infrastructure contrôlée par version en tant que code et l’utilisation de protocoles réseau sécurisés, tels que SSH et HTTPS.

Établir et maintenir le(s) diagramme(s) d’architecture :

Établir et tenir à jour le(s) diagramme(s) d’architecture et/ou toute autre documentation du système réseau. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Centraliser l’authentification, l’autorisation et l’audit du réseau (AAA) :

Centraliser le réseau AAA.

Utilisation de protocoles de gestion de réseau et de communication sécurisés :

Utilisez des protocoles de communication et de gestion de réseau sécurisés (par exemple, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou version ultérieure).

Assurez-vous que les périphériques distants utilisent un VPN et se connectent à l’infrastructure AAA d’une entreprise :

Exigez des utilisateurs qu’ils s’authentifient auprès des services VPN et d’authentification gérés par l’entreprise avant d’accéder aux ressources de l’entreprise sur les appareils de l’utilisateur final.

Mettre en place et maintenir des ressources informatiques dédiées à l’ensemble des tâches administratives :

Établir et maintenir des ressources informatiques dédiées, séparées physiquement ou logiquement, pour toutes les tâches administratives ou nécessitant un accès administratif. Les ressources informatiques doivent être séparées du réseau principal de l’entreprise et ne doivent pas être autorisées à accéder à Internet.

Centraliser les alertes d’événements de sécurité :

Centralisez les alertes d’événements de sécurité sur l’ensemble des actifs de l’entreprise pour la corrélation et l’analyse des journaux. La mise en œuvre des bonnes pratiques nécessite l’utilisation d’un SIEM, qui inclut des alertes de corrélation d’événements définies par les fournisseurs. Une plate-forme d’analyse des journaux configurée avec des alertes de corrélation pertinentes pour la sécurité répond également à cette garantie.

Filtrez la couche d’application :

Appliquez le filtrage de la couche d’application. Les exemples d’implémentations incluent un proxy de filtrage, un pare-feu de couche d’application ou une passerelle.

Régler les seuils d’alerte d’événement de sécurité :

Ajustez les seuils d’alerte d’événement de sécurité une fois par mois, ou plus fréquemment.

Déployez une solution de détection d’intrusion basée sur l’hôte :

Déployer une solution de détection d’intrusion basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou pris en charge.

Déployez une solution de détection des intrusions réseau :

Déployez une solution de détection des intrusions réseau sur les actifs de l’entreprise, le cas échéant. L’utilisation d’un système de détection des intrusions réseau (NIDS) ou d’un service de fournisseur de services cloud (CSP) équivalent constitue un exemple d’implémentation.

Filtrez le trafic entre les segments du réseau :

Filtrez le trafic entre les segments du réseau, le cas échéant.

Gérez le contrôle d’accès pour les actifs distants :

Gérez le contrôle d’accès pour les ressources qui se connectent à distance aux ressources de l’entreprise. Déterminer le niveau d’accès aux ressources de l’entreprise en fonction des éléments suivants : logiciel anti-programme malveillant à jour installé ; la conformité de la configuration avec le processus de configuration sécurisé de l’entreprise ; et s’assurer que le système d’exploitation et les applications sont à jour.

Collecter les journaux de flux de trafic réseau :

Collectez les journaux de flux de trafic réseau et/ou de trafic réseau à examiner et à signaler à partir des appareils réseau.

Déployez une solution de prévention des intrusions basée sur l’hôte :

Déployez une solution de prévention des intrusions basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou pris en charge. Des exemples d’implémentations incluent l’utilisation d’un client PEPT (Endpoint Detection and Response) ou d’un agent IPS basé sur l’hôte.

Déployez une solution de prévention des intrusions dans les réseaux :

Déployez une solution de prévention des intrusions dans le réseau, le cas échéant. L’utilisation d’un système de prévention des intrusions réseau (NIPS) ou d’un service CSP équivalent constitue un exemple d’implémentation.

Déployer le contrôle d’accès au niveau du port :

Déployez un contrôle d’accès au niveau du port. Le contrôle d’accès au niveau du port utilise des protocoles de contrôle d’accès réseau 802.1x ou similaires, tels que des certificats, et peut intégrer l’authentification de l’utilisateur et/ou de l’appareil.

Établir et maintenir un programme de sensibilisation à la sécurité :

Établir et maintenir un programme de sensibilisation à la sécurité. L’objectif d’un programme de sensibilisation à la sécurité est d’éduquer le personnel de l’entreprise sur la façon d’interagir avec les actifs et les données de l’entreprise de manière sécurisée. Offrir de la formation à l’embauche et, au minimum, une fois par an. Examinez et mettez à jour le contenu chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Former les membres du personnel à reconnaître les attaques d’ingénierie sociale :

Formez les membres du personnel à reconnaître les attaques d’ingénierie sociale, telles que l’hameçonnage, le prétexte et le talonnage. 

Former les membres du personnel aux meilleures pratiques d’authentification :

Former les membres du personnel aux bonnes pratiques d’authentification. Parmi les exemples de rubriques figurent l’authentification multifacteur, la composition des mots de passe et la gestion des informations d’identification.

Former le personnel aux meilleures pratiques en matière de traitement des données :

Former les membres du personnel à l’identification et au stockage, au transfert, à l’archivage et à la destruction appropriés des données sensibles. Il s’agit également de former les membres du personnel aux meilleures pratiques en matière d’écran clair et de bureau, telles que le verrouillage de leur écran lorsqu’ils s’éloignent de leur actif d’entreprise, l’effacement des tableaux blancs physiques et virtuels à la fin des réunions et le stockage sécurisé des données et des actifs.

Former les membres du personnel sur les causes de l’exposition involontaire des données :

Former les membres du personnel à être conscients des causes d’exposition involontaire des données. Parmi les exemples de sujets abordés, citons la mauvaise livraison de données sensibles, la perte d’un appareil portable de l’utilisateur final ou la publication de données à des publics non prévus.

Former les membres du personnel à la reconnaissance et au signalement des incidents de sécurité :

Former les membres du personnel pour qu’ils soient en mesure de reconnaître un incident potentiel et de le signaler. 

Former le personnel sur la façon d’identifier et de signaler si leurs actifs d’entreprise ne disposent pas de mises à jour de sécurité :

Former le personnel pour qu’il comprenne comment vérifier et signaler les correctifs logiciels obsolètes ou toute défaillance dans les processus et outils automatisés. Une partie de cette formation devrait inclure la notification au personnel informatique de toute défaillance dans les processus et outils automatisés.

Former le personnel aux dangers de la connexion et de la transmission de données d’entreprise sur des réseaux non sécurisés :

Former les membres du personnel aux dangers de la connexion et de la transmission de données sur des réseaux non sécurisés pour les activités de l’entreprise. Si l’entreprise emploie des travailleurs à distance, la formation doit inclure des conseils pour s’assurer que tous les utilisateurs configurent leur infrastructure de réseau domestique en toute sécurité.

Effectuer une formation de sensibilisation et de compétences en matière de sécurité spécifique au rôle :

Effectuer une sensibilisation à la sécurité et une formation aux compétences spécifiques au rôle. Parmi les exemples d’implémentations, citons des cours d’administration système sécurisés pour les professionnels de l’informatique (OWASP ™ Top 10 des formations de sensibilisation et de prévention des vulnérabilités pour les développeurs d’applications Web, et une formation avancée de sensibilisation à l’ingénierie sociale pour les postes de haut niveau).

Établir et tenir à jour un inventaire des fournisseurs de services :

Établir et tenir à jour un inventaire des fournisseurs de services. L’inventaire doit répertorier tous les fournisseurs de services connus, inclure une ou plusieurs classifications et désigner une personne-ressource de l’entreprise pour chaque fournisseur de services. Passez en revue et mettez à jour l’inventaire chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Établir et tenir à jour une politique de gestion des fournisseurs de services :

Établir et maintenir une politique de gestion des fournisseurs de services. Veiller à ce que la politique traite de la classification, de l’inventaire, de l’évaluation, de la surveillance et de la mise hors service des fournisseurs de services. Examinez et mettez à jour la politique chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Classer les fournisseurs de services :

classer les fournisseurs de services. La considération de classification peut inclure une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume de données, les exigences de disponibilité, les réglementations applicables, le risque inhérent et le risque atténué. Mettre à jour et réviser les classifications chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Assurez-vous que les contrats des fournisseurs de services incluent des exigences de sécurité :

Assurez-vous que les contrats des fournisseurs de services incluent des exigences de sécurité. Les exemples d’exigences peuvent inclure les exigences minimales du programme de sécurité, la notification et la réponse aux incidents de sécurité et/ou aux violations de données, les exigences en matière de chiffrement des données et les engagements en matière d’élimination des données. Ces exigences de sécurité doivent être cohérentes avec la politique de gestion des fournisseurs de services de l’entreprise. Examinez les contrats des fournisseurs de services chaque année pour vous assurer qu’ils ne manquent pas d’exigences de sécurité.

Évaluer les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. Le champ d’application de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation normalisés, tels que Service Organization Control 2 (SOC 2) et Payment Card Industry (PCI) Attestation of Compliance (AoC), des questionnaires personnalisés ou d’autres processus rigoureux appropriés. Réévaluez les fournisseurs de services une fois par an, au minimum, ou avec des contrats nouveaux ou renouvelés.

Évaluer les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. Le champ d’application de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation normalisés, tels que Service Organization Control 2 (SOC 2) et Payment Card Industry (PCI) Attestation of Compliance (AoC), des questionnaires personnalisés ou d’autres processus rigoureux appropriés. Réévaluez les fournisseurs de services une fois par an, au minimum, ou avec des contrats nouveaux ou renouvelés.

Surveiller les fournisseurs de services :

Surveillez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. La surveillance peut inclure une réévaluation périodique de la conformité des fournisseurs de services, la surveillance des notes de version des fournisseurs de services et la surveillance du dark web.

Déclasser en toute sécurité les fournisseurs de services :

Mettez hors service les fournisseurs de services en toute sécurité. La désactivation des comptes d’utilisateurs et de services, l’arrêt des flux de données et l’élimination sécurisée des données d’entreprise au sein des systèmes des fournisseurs de services constituent des exemples à prendre en compte.

Établissez et maintenez un processus de développement d’applications sécurisé :

Établissez et maintenez un processus de développement d’applications sécurisé. Au cours de ce processus, abordez des éléments tels que : les normes de conception d’applications sécurisées, les pratiques de codage sécurisées, la formation des développeurs, la gestion des vulnérabilités, la sécurité du code tiers et les procédures de test de sécurité des applications. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Appliquer les principes de conception sécurisée dans les architectures d’application :

Appliquer les principes de conception sécurisée dans les architectures d’applications. Les principes de conception sécurisée incluent le concept de moindre privilège et l’application de la médiation pour valider chaque opération effectuée par l’utilisateur, en promouvant le concept de « ne jamais faire confiance à l’entrée de l’utilisateur ». Il s’agit, par exemple, de s’assurer que la vérification explicite des erreurs est effectuée et documentée pour toutes les entrées, y compris la taille, le type de données et les plages ou formats acceptables. La conception sécurisée implique également de minimiser la surface d’attaque de l’infrastructure applicative, par exemple en désactivant les ports et les services non protégés, en supprimant les programmes et fichiers inutiles et en renommant ou en supprimant les comptes par défaut.

Exploitez des modules ou des services approuvés pour les composants de sécurité des applications :

Exploitez des modules ou des services approuvés pour les composants de sécurité des applications, tels que la gestion des identités, le chiffrement, l’audit et la journalisation. L’utilisation des fonctionnalités de la plateforme dans les fonctions de sécurité critiques réduira la charge de travail des développeurs et minimisera la probabilité d’erreurs de conception ou de mise en œuvre. Les systèmes d’exploitation modernes fournissent des mécanismes efficaces d’identification, d’authentification et d’autorisation et mettent ces mécanismes à la disposition des applications. N’utilisez que des algorithmes de chiffrement standardisés, actuellement acceptés et largement examinés. Les systèmes d’exploitation fournissent également des mécanismes permettant de créer et de gérer des journaux d’audit sécurisés.

Implémenter des vérifications de sécurité au niveau du code :

Appliquez des outils d’analyse statique et dynamique dans le cycle de vie de l’application pour vérifier que les pratiques de codage sécurisées sont suivies.

Effectuer des tests de pénétration de l’application :

Effectuez des tests de pénétration de l’application. Pour les applications critiques, les tests d’intrusion authentifiés sont mieux adaptés pour trouver des vulnérabilités de logique métier que l’analyse de code et les tests de sécurité automatisés.Le test de pénétration repose sur les compétences du testeur à manipuler manuellement une application en tant qu’utilisateur authentifié et non authentifié. 

Modéliser les menaces :

Modéliser les menaces. La modélisation des menaces est le processus qui consiste à identifier et à corriger les failles de sécurité des applications dans une conception, avant la création du code. Elle est menée par des personnes spécialement formées qui évaluent la conception de l’application et évaluent les risques de sécurité pour chaque point d’entrée et niveau d’accès. L’objectif est de cartographier l’application, l’architecture et l’infrastructure de manière structurée pour comprendre leurs faiblesses.

Établir et maintenir un processus d’acceptation et de traitement des vulnérabilités logicielles :

Établir et maintenir un processus pour accepter et traiter les rapports de vulnérabilités logicielles, y compris en fournissant un moyen pour les entités externes de le signaler. Le processus doit inclure des éléments tels qu’une politique de gestion des vulnérabilités qui identifie le processus de génération de rapports, la partie responsable du traitement des rapports de vulnérabilité et un processus d’admission, d’affectation, de rattrapage et de tests de rattrapage. Dans le cadre du processus, utilisez un système de suivi des vulnérabilités qui comprend des évaluations de gravité et des mesures pour mesurer le délai d’identification, d’analyse et de rattrapage des vulnérabilités. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir une incidence sur cette garantie.

Effectuer une analyse de la cause première sur les vulnérabilités de sécurité :

Effectuer une analyse de la cause première sur les vulnérabilités de sécurité. Lors de l’examen des vulnérabilités, l’analyse de la cause première consiste à évaluer les problèmes sous-jacents qui créent des vulnérabilités dans le code et permet aux équipes de développement d’aller au-delà de la simple correction des vulnérabilités individuelles à mesure qu’elles se produisent.

Établir et gérer un inventaire des composants logiciels tiers :

Établir et gérer un inventaire à jour des composants tiers utilisés dans le développement, souvent appelé « nomenclature », ainsi que des composants prévus pour une utilisation future.Cet inventaire doit inclure tous les risques que chaque composant tiers pourrait présenter.Évaluez la liste au moins une fois par mois pour identifier tout changement ou mise à jour de ces composants, et validez que le composant est toujours pris en charge. 

Utilisez des composants logiciels tiers à jour et approuvés :

Utilisez des composants logiciels tiers à jour et fiables. Dans la mesure du possible, choisissez des frameworks et des bibliothèques établis et éprouvés qui offrent une sécurité adéquate.Acquérez ces composants auprès de sources fiables ou évaluez les vulnérabilités du logiciel avant de l’utiliser.

Établir et maintenir un système et un processus d’évaluation de la gravité pour les vulnérabilités des applications :

Établissez et maintenez un système et un processus d’évaluation de la gravité pour les vulnérabilités des applications qui facilitent la hiérarchisation de l’ordre dans lequel les vulnérabilités détectées sont corrigées. Ce processus comprend la définition d’un niveau minimum d’acceptabilité de la sécurité pour la publication de code ou d’applications. Les évaluations de gravité apportent un moyen systématique de trier les vulnérabilités qui améliore la gestion des risques et permet de s’assurer que les bogues les plus graves sont corrigés en premier. Examiner et mettre à jour le système et le processus chaque année.

Utilisez les modèles de configuration de sécurisation renforcée standard pour l’infrastructure d’application :

Utilisez des modèles de configuration de renforcement standard recommandés par l’industrie pour les composants de l’infrastructure d’application. Cela inclut les serveurs sous-jacents, les bases de données et les serveurs Web, et s’applique aux conteneurs cloud, aux composants PaaS (Platform as a Service) et aux composants SaaS. Ne laissez pas les logiciels développés en interne affaiblir le renforcement de la configuration.

Systèmes de production et de non-production distincts :

Maintenir des environnements séparés pour les systèmes de production et de non-production.

Former les développeurs aux concepts de sécurité applicative et au codage sécurisé :

S’assurer que tout le personnel de développement de logiciels reçoit une formation sur l’écriture de code sécurisé pour son environnement de développement et ses responsabilités spécifiques. La formation peut inclure les principes généraux de sécurité et les pratiques standard de sécurité des applications. Organisez des formations au moins une fois par an et concevez de manière à promouvoir la sécurité au sein de l’équipe de développement et à créer une culture de la sécurité parmi les développeurs.

Désignez du personnel pour gérer la gestion des incidents :

Désignez une personne clé, et au moins un remplaçant, pour gérer le processus de gestion des incidents de l’entreprise. Le personnel de gestion est responsable de la coordination et de la documentation des efforts de réponse aux incidents et de reprise et peut être composé d’employés internes à l’entreprise, de fournisseurs tiers ou d’une approche hybride. Si vous faites appel à un fournisseur tiers, désignez au moins une personne interne à l’entreprise pour superviser tout travail avec un tiers. Révisez-le annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Établir et tenir à jour les coordonnées pour signaler les incidents de sécurité :

Établir et tenir à jour les coordonnées des parties qui doivent être informées des incidents de sécurité. Les contacts peuvent inclure du personnel interne, des fournisseurs tiers, des organismes d’application de la loi, des fournisseurs de cyberassurance, des agences gouvernementales concernées, des partenaires du Centre de partage et d’analyse de l’information (ISAC) ou d’autres parties prenantes. Vérifiez les contacts chaque année pour vous assurer que l’information est à jour.

Établissez et maintenez un processus d’entreprise pour le signalement des incidents :

Établissez et maintenez un processus d’entreprise pour que les effectifs signalent les incidents de sécurité. Le processus comprend le délai de signalement, le personnel à qui rendre des rapports, le mécanisme de signalement et les informations minimales à signaler. S’assurer que le processus est accessible au public par l’ensemble du personnel. Révisez-le annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Établir et maintenir un processus de réponse aux incidents :

Établissez et maintenez un processus de réponse aux incidents qui traite des rôles et responsabilités, des exigences de conformité et d’un plan de communication. Révisez-le annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Affectez des rôles et responsabilités clés :

Attribuez les rôles et responsabilités clés pour la réponse aux incidents, y compris le personnel des services juridiques, informatiques, de sécurité de l’information, des installations, des relations publiques, des ressources humaines, des intervenants en cas d’incident et des analystes, le cas échéant. Révisez-le annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Définissez des mécanismes de communication pendant la réponse à un incident :

Déterminez les mécanismes primaire et secondaire qui seront utilisés pour communiquer et générer des rapports lors d’un incident de sécurité. Les mécanismes peuvent inclure des appels téléphoniques, des e-mails ou des lettres. Gardez à l’esprit que certains mécanismes, tels que les e-mails, peuvent être affectés lors d’un incident de sécurité. Révisez-le annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Effectuer des exercices d’intervention de routine en cas d’incident :

Planifier et mener des exercices et des scénarios d’intervention en cas d’incident de routine pour le personnel clé impliqué dans le processus d’intervention en cas d’incident afin de se préparer à répondre à des incidents réels. Les exercices doivent tester les canaux de communication, la prise de décision et les flux de travail. Effectuer des tests sur une base annuelle, au minimum.

Effectuer des examens post-incident :

Effectuer des examens post-incident. Les examens post-incident permettent d’éviter la récurrence des incidents en identifiant les leçons apprises et en prenant des mesures de suivi.

Établir et maintenir des seuils d’incidents de sécurité :

Établir et maintenir des seuils d’incident de sécurité, y compris, au minimum, faire la différence entre un incident et un événement. Les exemples peuvent inclure : activité anormale, vulnérabilité de sécurité, faiblesse de sécurité, violation de données, incident de confidentialité, et autres. Révisez-le annuellement, ou lorsque des changements importants dans l’entreprise se produisent et pourraient avoir un impact sur cette garantie.

Établir et maintenir un programme de tests d’intrusion :

Établir et maintenir un programme de tests d’intrusion adapté à la taille, à la complexité et à la maturité de l’entreprise. Les caractéristiques du programme de test d’intrusion comprennent la portée, comme le réseau, l’application Web, l’interface de programmation d’application (API), les services hébergés et les contrôles des locaux physiques ; fréquence; les limitations, telles que les heures acceptables et les types d’attaques exclus ; les coordonnées du point de contact ; les mesures correctives, par exemple la façon dont les résultats seront acheminés à l’interne ; et les exigences rétrospectives.

Effectuer des tests de pénétration externes périodiques :

Effectuer des tests de pénétration externes périodiques en fonction des exigences du programme, au moins une fois par année. Les tests d’intrusion externes doivent inclure une reconnaissance de l’entreprise et de l’environnement pour détecter les informations exploitables. Les tests d’intrusion nécessitent des compétences et une expérience spécialisées et doivent être effectués par une partie qualifiée. Il peut s’agir d’une boîte transparente ou d’une boîte opaque.

Conclusions du test de pénétration de rattrapage :

Corrigez les conclusions du test de pénétration en fonction de la politique de l’entreprise en matière de périmètre et de priorité de rattrapage.

Valider les mesures de sécurité :

Validez les mesures de sécurité après chaque test d’intrusion. Si nécessaire, modifiez les ensembles de règles et les options pour détecter les techniques utilisées pendant les tests.

Utilisez un outil de détection actif pour identifier les appareils connectés au réseau de l’organisation et mettre à jour l’inventaire des actifs matériels.

Utilisez un outil de détection passif pour identifier les appareils connectés au réseau de l’organisation et mettre à jour automatiquement l’inventaire des actifs matériels de l’organisation.

Tenir un inventaire précis et à jour de tous les actifs technologiques ayant le potentiel de stocker ou de traiter des informations. Cet inventaire doit inclure tous les actifs matériels, qu’ils soient connectés ou non au réseau de l’organisation.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse réseau, l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données et le département pour chaque actif, et indique si l’actif matériel a été approuvé pour se connecter au réseau.

Utilisez le contrôle d’accès au niveau du port, conformément à la norme 802.1x, pour contrôler quels périphériques peuvent s’authentifier au réseau. Le système d’authentification doit être lié aux données de l’inventaire des actifs matériels afin de s’assurer que seuls les appareils autorisés peuvent se connecter au réseau.

Utilisez des certificats clients pour authentifier les actifs matériels qui se connectent au réseau approuvé de l’organisation.

Tenir à jour une liste de tous les logiciels autorisés dans l’entreprise à des fins professionnelles sur n’importe quel système d’entreprise.

Assurez-vous que seules les applications logicielles ou les systèmes d’exploitation actuellement pris en charge par le fournisseur du logiciel sont ajoutés à l’inventaire de logiciels autorisé de l’organisation. Les logiciels non pris en charge doivent être marqués comme non pris en charge dans le système d’inventaire.

Utilisez des outils d’inventaire logiciel dans l’ensemble de l’organisation pour automatiser la documentation de tous les logiciels sur les systèmes d’entreprise.

Le système d’inventaire logiciel doit suivre le nom, la version, l’éditeur et la date d’installation de tous les logiciels, y compris les systèmes d’exploitation autorisés par l’organisation.

Le système d’inventaire logiciel doit être lié à l’inventaire des actifs matériels afin que tous les appareils et les logiciels associés soient suivis à partir d’un emplacement unique.

Utilisez un outil d’analyse des vulnérabilités à jour conforme au SCAP pour analyser automatiquement tous les systèmes du réseau sur une base hebdomadaire ou plus fréquente afin d’identifier toutes les vulnérabilités potentielles sur les systèmes de l’organisation.

Effectuez une analyse de vulnérabilité authentifiée avec des agents s’exécutant localement sur chaque système ou avec des scanners distants configurés avec des droits élevés sur le système testé.

Comparez régulièrement les résultats des analyses de vulnérabilité consécutives pour vérifier que les vulnérabilités ont été corrigées en temps opportun.

Avant de déployer un nouvel actif, changez tous les mots de passe par défaut pour avoir des valeurs cohérentes avec les comptes de niveau administratif.

Lorsque l’authentification multifacteur n’est pas prise en charge (tels que les comptes d’administrateur local, racine ou de service), les comptes utilisent des mots de passe propres à ce système.

Configurez les systèmes pour qu’ils émettent une entrée de journal et émettent une alerte lorsqu’un compte est ajouté ou supprimé d’un groupe auquel des privilèges administratifs sont affectés.

Configurez les systèmes pour émettre une entrée de journal et émettre une alerte en cas d’échec de connexion à un compte administratif.

Assurez-vous que la journalisation locale a été activée sur tous les systèmes et appareils réseau.

Activez la journalisation système pour inclure des informations détaillées telles qu’une source d’événement, une date, un utilisateur, un horodatage, des adresses source, des adresses de destination et d’autres éléments utiles.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

N’importe quel logiciel antivirus d’entreprise disposera de cette capacité. En disposant d’un antivirus géré de manière centralisée, vous pouvez facilement répondre aux exigences individuelles.

La qualité de l’antivirus dépend de ses signatures. Bien que la détection purement basée sur les signatures ne soit plus viable, même les moteurs basés sur les anomalies doivent être mis à jour régulièrement. Assurez-vous que les mises à jour sont déployées automatiquement et utilisez des outils pour vérifier que les signatures sont réellement à jour.

Les guides de durcissement DISA fournissent des instructions étape par étape sur l’activation de ces paramètres et bien plus encore.

La plupart des antivirus ont cette fonctionnalité activée par défaut, mais il est toujours important de vérifier qu’elle est bien toujours activée. Les logiciels malveillants entrant via une clé USB sont un vecteur d’attaque viable pour presque toutes les organisations.

Pour la même raison pour laquelle vous ne voulez pas l’analyser, vous ne voulez pas non plus qu’il s’exécute lorsqu’il est monté. Il s’agit d’un paramètre assez rapide à activer, et les guides de renforcement CIS et DISA contiennent des instructions étape par étape sur la désactivation de l’exécution automatique. Certains outils SCM peuvent rapidement vérifier chaque point de terminaison de votre environnement pour s’assurer que ce paramètre est désactivé.

Effectuez régulièrement des analyses automatisées des ports sur tous les systèmes et alertez si des ports non autorisés sont détectés sur un système.

Comparez toute la configuration de l’appareil réseau aux configurations de sécurité approuvées définies pour chaque appareil réseau en cours d’utilisation et alertez lorsque des écarts sont détectés.

Installez la dernière version stable de toutes les mises à jour liées à la sécurité sur tous les appareils réseau.

Déployez des capteurs de systèmes de détection d’intrusion (IDS) basés sur le réseau pour rechercher des mécanismes d’attaque inhabituels et détecter la compromission de ces systèmes à chacune des limites du réseau de l’organisation.

Supprimez du réseau les données ou les systèmes sensibles auxquels l’organisation n’accède pas régulièrement. Ces systèmes ne doivent être utilisés qu’en tant que systèmes autonomes (déconnectés du réseau) par l’unité commerciale qui a besoin d’utiliser occasionnellement le système ou complètement virtualisés et éteints jusqu’à ce qu’ils soient nécessaires.

Offrez la formation aux employés afin qu’ils soient conscients des risques liés aux données sur les clés USB. Ensuite, fournissez-leur les outils nécessaires pour sécuriser les données critiques de votre organisation.

Chiffrez toutes les informations sensibles en transit.

Tenir à jour un inventaire des points d’accès sans fil autorisés connectés au réseau câblé.

Tenir un inventaire de chacun des systèmes d’authentification de l’organisation, y compris ceux situés sur place ou chez un fournisseur de services à distance.

Chiffrez ou hachez avec un salage toutes les informations d’identification d’authentification lorsqu’elles sont stockées.

Assurez-vous que tous les noms d’utilisateur de compte et les informations d’identification d’authentification sont transmis sur les réseaux à l’aide de canaux chiffrés.

Verrouillez automatiquement les sessions du poste de travail après une période standard d’inactivité.

Alertez lorsque les utilisateurs s’écartent du comportement de connexion normal, comme l’heure de la journée, l’emplacement du poste de travail et la durée.

N’utilisez que des algorithmes de cryptage normalisés et largement examinés.

Établissez un processus pour accepter et traiter les rapports de vulnérabilités logicielles, notamment en fournissant un moyen aux entités externes de contacter votre groupe de sécurité.

Attribuez des titres de poste et des fonctions pour la gestion des incidents informatiques et réseau à des personnes spécifiques et assurez le suivi et la documentation tout au long de l’incident jusqu’à sa résolution.

Désignez du personnel de gestion, ainsi que des remplaçants, qui soutiendront le processus de gestion des incidents en assumant des rôles décisionnels clés.

Publier des informations pour tous les membres des effectifs concernant le signalement des anomalies et des incidents informatiques à l’équipe de gestion des incidents. De telles informations devraient être incluses dans les activités de sensibilisation de routine des employés.

Définir une « politique de sécurité de l’information » qui est approuvée par la direction et qui définit l’approche de l’organisation en matière de gestion de ses objectifs de sécurité de l’information. La politique de sécurité de l’information est appuyée par des politiques thématiques, qui rendent également obligatoire la mise en œuvre de contrôles de sécurité de l’information, notamment : le contrôle d’accès ; la classification (et le traitement de l’information) ; la sécurité physique et environnementale ; sauvegarde; le transfert d’informations ; protection contre les logiciels malveillants ; la gestion des vulnérabilités techniques ; les contrôles cryptographiques ; la sécurité des communications ; la confidentialité et la protection des renseignements personnels identifiables ; les relations avec les fournisseurs et les sujets axés sur l’utilisateur final tels que : 1) l’utilisation acceptable des actifs ; 2) un bureau clair et un écran clair ; 3) le transfert d’informations ; 4) les appareils mobiles et le télétravail ; 5) Restrictions sur l’installation et l’utilisation de logiciels.

Veiller à ce que les responsabilités en matière de protection des biens individuels soient définies dans l’inventaire des biens. Veiller à ce que les rôles et les responsabilités pour l’élaboration et la mise en œuvre de la sécurité de l’information soient clairement définis.

Utilisez un logiciel de chiffrement de disque entier approuvé pour chiffrer le disque dur de tous les appareils mobiles.

Appliquez des politiques d’accès à distance pour les employés et les sous-traitants.

Assurez-vous que la vérification des antécédents est effectuée pour tous les employés et sous-traitants avant d’accorder l’accès aux actifs de la société.

Assurez-vous que tous les nouveaux employés ou sous-traitants ont signé et accepté les conditions d’emploi, y compris leur responsabilité en matière de sécurité de l’information.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse réseau, l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données et le département pour chaque actif, et indique si l’actif matériel a été approuvé pour se connecter au réseau.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse réseau, l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données et le département pour chaque actif, et indique si l’actif matériel a été approuvé pour se connecter au réseau.

Veiller à ce que les employés et les sous-traitants soient informés des exigences de sécurité de l’information des actifs de l’organisation associés à l’information et aux installations et ressources de traitement de l’information. Ils doivent être responsables de l’utilisation qu’ils font de toute ressource de traitement de l’information et de toute utilisation de ce type effectuée sous leur responsabilité.

Utilisez des certificats clients pour authentifier les actifs matériels qui se connectent au réseau approuvé de l’organisation.

Exigez tout accès de connexion à distance au réseau de l’organisation pour chiffrer les données en transit et utilisez l’authentification multifacteur.

Lorsque l’authentification multifacteur n’est pas prise en charge (tels que les comptes d’administrateur local, racine ou de service), les comptes utilisent des mots de passe propres à ce système.

Assurez-vous que les politiques relatives au chiffrement existent et qu’elles sont appliquées, mises en œuvre et appliquées conformément aux exigences de classification des données.

Assurez-vous que la gestion des clés de chiffrement est gérée conformément à une politique et une procédure officielles pour l’ensemble du cycle de vie de la clé.

S’assurer que la politique de bureau claire est adaptée par les employés et les sous-traitants.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement en utilisant uniquement la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que la journalisation locale a été activée sur tous les systèmes et appareils réseau.

Assurez-vous que les journaux sont protégés en toute sécurité contre tout accès non autorisé.

Appliquez une journalisation d’audit détaillée pour l’accès aux données sensibles ou les modifications apportées aux données sensibles (à l’aide d’outils tels que la surveillance de l’intégrité des fichiers ou la surveillance des informations et des événements de sécurité).

S’assurer que des politiques, des procédures et des contrôles officiels de transfert sont en place pour protéger le transfert d’information par l’utilisation de tous les types d’installations de communication.

Veiller à ce que les exigences relatives à la sécurité de l’information soient incluses dans les exigences relatives aux nouveaux systèmes d’information ou aux améliorations apportées aux systèmes d’information existants.

Assurez-vous que les applications critiques pour l’entreprise sont examinées et testées pour vous assurer qu’il n’y a aucun impact négatif sur les opérations ou la sécurité de l’organisation chaque fois qu’il y a des changements apportés aux plateformes d’exploitation.

S’assurer que les modifications apportées aux progiciels sont découragées ou limitées aux changements nécessaires et que toutes les modifications sont strictement contrôlées.

Assurez-vous que les tests de sécurité, tels que les revues de code sécurisé et l’analyse des vulnérabilités, sont effectués pendant le cycle de développement Assurez-vous que les vulnérabilités identifiées sont documentées et que des mesures correctives sont effectuées.

S’assurer que les tests d’acceptation du système comprennent le test des exigences en matière de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

S’assurer que les tests d’acceptation du système comprennent le test des exigences en matière de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

Assurez-vous que les contrôles de sécurité de l’information sont traités et résolus avec le fournisseur avant de mener des activités ou d’accorder au fournisseur l’accès aux actifs.

S’assurer que l’évaluation des risques est effectuée avant de faire des affaires et que les fournisseurs et les vendeurs ont accès aux actifs, et que les contrôles et les exigences de sécurité sont convenus et documentés dans l’entente avec les fournisseurs et les vendeurs.

Veiller à ce que les fournisseurs effectuent une surveillance et un examen réguliers pour s’assurer que les termes et conditions des accords en matière de sécurité de l’information sont respectés et que les incidents et problèmes liés à la sécurité de l’information sont gérés correctement.

Assurez-vous qu’une évaluation des risques tiers est effectuée chaque fois qu’il y a des changements à la prestation de services. S’assurer que les changements apportés à la prestation de services par les fournisseurs, y compris le maintien et l’amélioration des politiques, procédures et contrôles existants en matière de sécurité de l’information, sont gérés.

Assurez-vous qu’un programme officiel de gestion des incidents est en place et que tout le personnel et les tiers sont formés sur la façon de reconnaître et de signaler les incidents de sécurité.

Veiller à ce qu’il existe une gestion officielle des événements de sécurité de l’information incluant une échelle de classification des événements de sécurité et des incidents de sécurité convenue pour la génération de rapports et l’escalade. Assurez-vous que le schéma de classification des menaces et des risques est documenté. Assurez-vous que les notifications de réponse aux incidents sont maintenues. Assurez-vous que les seuils d’impact à utiliser pour classer les incidents sont documentés.

S’assurer que les incidents de sécurité de l’information sont traités conformément aux procédures documentées.

Veiller à ce que des procédures de surveillance des incidents soient incluses dans le programme Gestion des incidents afin de documenter les incidents et de s’assurer que les événements de sécurité sont analysés périodiquement afin de réduire les incidents futurs.

Assurer la sécurité de l’information et la continuité de la gestion de la sécurité de l’information sont planifiés et inclus dans le plan de continuité d’activité ou dans le plan de reprise d’activité.

Assurez-vous que les plans de continuité d’activité ou de reprise après sinistre sont officiellement documentés.

Assurez-vous que le plan de continuité d’activité ou de récupération d’urgence est un exercice annuel pour valider que les contrôles de sécurité adéquats sont valides et efficaces dans des situations défavorables.

Assurez-vous que les composants de basculement et de récupération fonctionnent comme prévu.

S’assurer que les dossiers et les données sont protégés contre la perte, la destruction, la falsification, l’accès non autorisé et la divulgation non autorisée, conformément aux exigences du législateur, de la réglementation, des contrats et des affaires.

Veiller à ce que la confidentialité et la protection des renseignements personnels identifiables soient protégées et traitées conformément à la législation et à la réglementation, le cas échéant.

S’assurer que des tests de la configuration des systèmes dans le périmètre par rapport aux exigences de conformité et réglementaires sont régulièrement effectués. Assurez-vous que les normes de configuration de base pour les systèmes sont documentées et basées sur les meilleures pratiques de l’industrie.

Veiller à ce que le processus de résiliation soit officialisé afin d’inclure la restitution de tous les actifs physiques et électroniques précédemment émis appartenant à l’organisation ou confiés à celle-ci.

• Profils RH [sn_hr_core_profile]
• Actif [alm_asset]

Assurez-vous que les actifs logiciels sont gérés et régulièrement mis à jour.

• Gestion des actifs logiciels Core
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Utilisez un processus d’évaluation des risques pour hiérarchiser le rattrapage des vulnérabilités détectées.

Désinstallez ou désactivez tout navigateur ou client de messagerie ou modules d’extension ou applications complémentaires non autorisés.

• Gestion des actifs logiciels Core
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Établir des pratiques de codage sécurisées adaptées au langage de programmation et à l’environnement de développement utilisés.

S’assurer qu’il existe des plans d’intervention en cas d’incident écrits qui définissent les rôles du personnel ainsi que les phases de gestion et de gestion des incidents.