Établir et tenir à jour un inventaire détaillé des actifs d’entreprise :

Établir et maintenir un inventaire précis, détaillé et à jour de tous les actifs de l’entreprise susceptibles de stocker ou de traiter des données, y compris les appareils de l’utilisateur final (y compris les appareils portables et mobiles), les appareils réseau, les appareils non informatiques/IoT et les serveurs. Assurez-vous que l’inventaire enregistre l’adresse réseau (s’il est statique), l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données, le département de chaque actif et si l’actif a été approuvé pour se connecter au réseau. Pour les appareils mobiles des utilisateurs finaux, des outils de type MDM peuvent prendre en charge ce processus, le cas échéant. Cet inventaire comprend les actifs connectés à l’infrastructure physiquement, virtuellement, à distance et ceux dans des environnements cloud. En outre, elle inclut les actifs qui sont régulièrement connectés à l’infrastructure réseau de l’entreprise, même s’ils ne sont pas sous le contrôle de l’entreprise. Examiner et mettre à jour l’inventaire de tous les actifs de l’entreprise deux fois par an ou plus fréquemment.

Traiter les actifs non autorisés :

Assurez-vous qu’il existe un processus pour traiter les actifs non autorisés sur une base hebdomadaire. L’entreprise peut choisir de supprimer l’actif du réseau, d’empêcher l’actif de se connecter à distance au réseau ou de mettre l’actif en quarantaine.

Utilisez un outil de découverte active :

Utilisez un outil de découverte active pour identifier les actifs connectés au réseau de l’entreprise. Configurez l’outil de détection actif pour qu’il s’exécute quotidiennement ou plus fréquemment.

Utilisez la journalisation DHCP (Dynamic Host Configuration Protocol) pour mettre à jour l’inventaire des actifs d’entreprise :

Utilisez la connexion DHCP sur tous les serveurs DHCP ou les outils de gestion des adresses IP (Internet Protocol) pour mettre à jour l’inventaire des actifs de l’entreprise. Examinez et utilisez des journaux pour mettre à jour l’inventaire des actifs de l’entreprise chaque semaine, ou plus fréquemment.

Utilisez un outil de découverte d’actifs passifs :

Utilisez un outil de détection passive pour identifier les actifs connectés au réseau de l’entreprise. Examinez et utilisez des analyses pour mettre à jour l’inventaire des actifs de l’entreprise au moins une fois par semaine, ou plus fréquemment.

Établir et maintenir un inventaire logiciel :

Établir et tenir à jour un inventaire détaillé de tous les logiciels sous licence installés sur les actifs de l’entreprise. L’inventaire des logiciels doit documenter le titre, l’éditeur, la date d’installation/utilisation initiale et l’objectif commercial de chaque entrée ; s’il y a lieu, indiquez l’URL, le ou les magasins d’applications, la ou les versions, le mécanisme de déploiement et la date de mise hors service. Examinez et mettez à jour l’inventaire logiciel deux fois par an, ou plus fréquemment.

Assurez-vous que le logiciel autorisé est actuellement pris en charge

Assurez-vous que seuls les logiciels actuellement pris en charge sont désignés comme autorisés dans l’inventaire des logiciels pour les actifs de l’entreprise. Si le logiciel n’est pas pris en charge, mais nécessaire à l’accomplissement de la mission de l’entreprise, documentez une exception détaillant les contrôles d’atténuation et l’acceptation des risques résiduels. Pour tout logiciel non pris en charge sans documentation d’exception, indiquez-le comme non autorisé. Passez en revue la liste des logiciels pour vérifier la prise en charge logicielle au moins tous les mois, ou plus fréquemment.

Résoudre le problème de logiciel non autorisé :

Assurez-vous que les logiciels non autorisés sont retirés de l’utilisation sur les actifs d’entreprise ou reçoivent une exception documentée. Examen mensuel ou plus fréquent.

Utilisez les outils automatisés d’inventaire logiciel :

Utilisez des outils d’inventaire logiciel, si possible, dans l’ensemble de l’entreprise pour automatiser la découverte et la documentation des logiciels installés.

Liste d’autorisation des logiciels autorisés :

Utilisez des contrôles techniques, tels que la liste d’autorisation d’applications, pour vous assurer que seuls les logiciels autorisés peuvent s’exécuter ou être accessibles. Réévaluez deux fois par an ou plus fréquemment.

Liste d’autorisation des bibliothèques autorisées :

Utilisez des contrôles techniques pour vous assurer que seules les bibliothèques de logiciels autorisées, telles que des fichiers spécifiques .dll, .ocx, .so, etc., sont autorisées à être chargées dans un processus système. Bloquez le chargement des bibliothèques non autorisées dans un processus système. Réévaluez deux fois par an ou plus fréquemment.

Liste d’autorisation des scripts autorisés :

Utilisez des contrôles techniques, tels que les signatures numériques et le contrôle de version, pour vous assurer que seuls les scripts autorisés, tels que des fichiers .ps1, .py, etc., spécifiques sont autorisés à s’exécuter. Bloquez l’exécution de scripts non autorisés. Réévaluez deux fois par an ou plus fréquemment.

Établir et maintenir un processus de gestion des données :

Établir et maintenir un processus de gestion des données. Dans le processus, abordez la sensibilité des données, le propriétaire des données, le traitement des données, les limites de conservation des données et les exigences de mise au rebut, en fonction des normes de sensibilité et de conservation de l’entreprise. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Chiffrer les données sensibles en transit :

Chiffrer les données sensibles en transit. Les exemples d’implémentation peuvent inclure TLS (Transport Layer Security) et Open Secure Shell (OpenSSH).

Chiffrer les données sensibles au repos :

Chiffrez les données sensibles au repos sur les serveurs, les applications et les bases de données contenant des données sensibles. Le chiffrement de la couche de stockage, également connu sous le nom de chiffrement côté serveur, répond aux exigences minimales de cette garantie. D’autres méthodes de chiffrement peuvent inclure le chiffrement de la couche d’application, également appelé chiffrement côté client, où l’accès au(x) appareil(s) de stockage de données ne permet pas d’accéder aux données en texte brut.

Segmenter le traitement et le stockage des données en fonction de la sensibilité :

Segmentez le traitement et le stockage des données en fonction de leur sensibilité. Ne traitez pas les données sensibles sur les actifs d’entreprise destinées aux données moins sensibles.

Déployez une solution de prévention des pertes de données :

Implémentez un outil automatisé, tel qu’un outil de prévention des pertes de données (DLP) basé sur l’hôte, pour identifier toutes les données sensibles stockées, traitées ou transmises via les actifs de l’entreprise, y compris celles situées sur site ou chez un fournisseur de service distant, et mettre à jour l’inventaire des données sensibles de l’entreprise.

Consigner l’accès aux données sensibles :

Consigner l’accès aux données sensibles, y compris la modification et l’élimination.

Établir et tenir à jour un inventaire de données :

Établir et tenir à jour un inventaire des données, basé sur le processus de gestion des données de l’entreprise. Inventaire des données sensibles, au minimum. Examinez et mettez à jour l’inventaire une fois par an, au minimum, en donnant la priorité aux données sensibles.

Configurez les listes de contrôle d’accès aux données :

Configurez les listes de contrôle d’accès aux données en fonction du besoin de connaissances d’un utilisateur. Appliquer des listes de contrôle d’accès aux données, également appelées autorisations d’accès, aux systèmes de fichiers, bases de données et applications locaux et distants.

Appliquer la conservation des données :

Conservez les données conformément au processus de gestion des données de l’entreprise. La conservation des données doit inclure des délais minimaux et maximums.

Éliminez les données en toute sécurité :

Éliminez les données en toute sécurité comme indiqué dans le processus de gestion des données de l’entreprise. Assurez-vous que le processus et la méthode d’élimination correspondent à la sensibilité des données.

Chiffrer les données sur les appareils de l’utilisateur final :

Chiffrez les données sur les appareils de l’utilisateur final contenant des données sensibles. Des exemples d’implémentations peuvent inclure Windows BitLocker™, Apple FileVault™ , Linux dm-crypt™.

Établir et tenir à jour un système de classification des données :

Établir et maintenir un schéma global de classification des données pour l’entreprise. Les entreprises peuvent utiliser des étiquettes, telles que « sensible », « confidentiel » et « public », et classer leurs données en fonction de ces étiquettes. Examinez et mettez à jour le système de classification chaque année, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Flux de données du document :

Flux de données des documents. La documentation sur les flux de données inclut les flux de données des fournisseurs de services et doit être basée sur le processus de gestion des données de l’entreprise. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Chiffrer les données sur un support amovible :

Chiffrez les données sur des supports amovibles.

Établissez et maintenez un processus de configuration sécurisé :

Établissez et maintenez un processus de configuration sécurisé pour les actifs de l’entreprise (appareils de l’utilisateur final, y compris les appareils portables et mobiles, les appareils non informatiques/IoT et les serveurs) et les logiciels (systèmes d’exploitation et applications).Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Appliquez le verrouillage automatique des appareils sur les appareils portables des utilisateurs finaux :

Appliquez le verrouillage automatique des appareils en fonction d’un seuil prédéterminé d’échecs de tentatives d’authentification locales échouées sur les appareils portables des utilisateurs finaux, le cas échéant. Pour les ordinateurs portables, n’autorisez pas plus de 20 tentatives d’authentification échouées ; Pour les tablettes et les smartphones, pas plus de 10 tentatives d’authentification échouées. Parmi les exemples d’implémentations, citons Microsoft InTune Device Lock et Apple le profil de configuration maxFailedAttempts.

Appliquez la fonctionnalité d’effacement à distance sur les appareils portables des utilisateurs finaux :

Effacez à distance les données d’entreprise des appareils portables des utilisateurs finaux appartenant à l’entreprise lorsque cela est jugé approprié, comme les appareils perdus ou volés, ou lorsqu’une personne ne prend plus en charge l’entreprise.

Séparez les espaces de travail d’entreprise sur les appareils mobiles des utilisateurs finaux :

Assurez-vous que des espaces de travail d’entreprise distincts sont utilisés sur les appareils mobiles des utilisateurs finaux, lorsqu’ils sont pris en charge. L’utilisation d’un profil de configuration ou Android d’un Apple profil de travail pour séparer les applications et les données d’entreprise des applications et des données personnelles est un exemple d’implémentation.

Établissez et maintenez un processus de configuration sécurisé pour l’infrastructure réseau :

Établissez et gérez un processus de configuration sécurisé pour les appareils réseau. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Configurez le verrouillage automatique de session sur les actifs d’entreprise :

Configurez le verrouillage automatique de session sur les actifs d’entreprise après une période d’inactivité définie. Pour les systèmes d’exploitation à usage général, la période ne doit pas dépasser 15 minutes. Pour les appareils mobiles des utilisateurs finaux, la période ne doit pas dépasser 2 minutes.

Implémenter et gérer un pare-feu sur les serveurs :

Implémenter et gérer un pare-feu sur les serveurs, le cas échéant. Les exemples d’implémentation incluent un pare-feu virtuel, un pare-feu de système d’exploitation ou un agent de pare-feu tiers.

Implémenter et gérer un pare-feu sur les appareils de l’utilisateur final :

Implémentez et gérez un pare-feu basé sur l’hôte ou un outil de filtrage de port sur les appareils de l’utilisateur final, avec une règle de refus par défaut qui supprime tout le trafic à l’exception des services et des ports explicitement autorisés.

Gérez en toute sécurité les actifs et les logiciels de l’entreprise :

Gérez en toute sécurité les actifs et les logiciels de l’entreprise. Les exemples d’implémentation incluent la gestion de la configuration via une infrastructure en tant que code contrôlée par version et l’accès aux interfaces administratives via des protocoles réseau sécurisés, tels que Secure Shell (SSH) et Hypertext Transfer Protocol Secure (HTTPS). N’utilisez pas de protocoles de gestion non sécurisés, tels que Telnet (Teletype Network) et HTTP, sauf si cela est essentiel sur le plan opérationnel.

Gérez les comptes par défaut sur les actifs et logiciels d’entreprise :

Gérez les comptes par défaut sur les actifs et les logiciels de l’entreprise, tels que les comptes racine, administrateur et autres comptes de fournisseur préconfigurés. Des exemples d’implémentation peuvent inclure : la désactivation ou l’inutilisation des comptes par défaut.

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels de l’entreprise :

Désinstallez ou désactivez les services inutiles sur les actifs et les logiciels de l’entreprise, tels qu’un service de partage de fichiers, un module d’application Web ou une fonction de service inutilisés.

Configurez les serveurs DNS approuvés sur les actifs d’entreprise :

Configurez des serveurs DNS approuvés sur les actifs d’entreprise. Exemples d’implémentations : configuration d’actifs pour utiliser des serveurs DNS contrôlés par l’entreprise et/ou des serveurs DNS réputés accessibles de l’extérieur.

Établir et tenir un inventaire des comptes :

Établir et tenir à jour un inventaire de tous les comptes gérés dans l’entreprise. L’inventaire doit inclure à la fois des comptes d’utilisateur et des comptes administrateur. L’inventaire, au minimum, doit contenir le nom de la personne, le nom d’utilisateur, les dates de début/fin et le département. Validez le fait que tous les comptes actifs sont autorisés, selon un calendrier récurrent au moins une fois par trimestre ou plus fréquemment.

Utilisez des mots de passe uniques :

Utilisez des mots de passe uniques pour tous les actifs de l’entreprise. L’implémentation des bonnes pratiques inclut, au minimum, un mot de passe de 8 caractères pour les comptes utilisant la MFA et un mot de passe de 14 caractères pour les comptes n’utilisant pas la MFA.

Désactiver les comptes dormants :

Supprimez ou désactivez tous les comptes dormants après une période d’inactivité de 45 jours, le cas échéant.

Limitez les privilèges d’administrateur aux comptes d’administrateur dédiés :

Limitez les privilèges d’administrateur aux comptes d’administrateur dédiés sur les actifs d’entreprise. Effectuer des activités informatiques générales, telles que la navigation sur Internet, les e-mails et l’utilisation de la suite de productivité, à partir du compte principal non privilégié de l’utilisateur.

Établir et tenir à jour un inventaire des comptes de service :

Établir et tenir à jour un inventaire des comptes de services. L’inventaire doit contenir au minimum le propriétaire du département, la date de révision et l’objectif. Effectuez des examens des comptes de service pour vérifier que tous les comptes actifs sont autorisés, selon un calendrier récurrent au moins une fois par trimestre ou plus fréquemment.

Centralisez la gestion des comptes :

Centralisez la gestion des comptes grâce à un service d’annuaire ou d’identité.

Établissez un processus d’octroi d’accès :

Établissez et suivez un processus, de préférence automatisé, pour accorder l’accès aux actifs de l’entreprise lors d’une nouvelle embauche, de l’octroi de droits ou d’un changement de rôle d’un utilisateur.

Établir un processus de révocation de l’accès :

Établissez et suivez un processus, de préférence automatisé, pour révoquer l’accès aux actifs de l’entreprise, en désactivant les comptes immédiatement après la résiliation, la révocation des droits ou le changement de rôle d’un utilisateur. La désactivation des comptes, au lieu de supprimer des comptes, peut être nécessaire pour préserver les pistes d’audit.

Exigez l’authentification multifacteur pour les applications exposées en externe :

Exigez que toutes les applications d’entreprise ou tierces exposées en externe appliquent la MFA, le cas échéant. L’application de l’authentification multifacteur par l’intermédiaire d’un service d’annuaire ou d’un fournisseur SSO est une mise en œuvre satisfaisante de cette garantie.

Exiger la MFA pour l’accès au réseau distant :

Demandez l’authentification multifacteur pour l’accès au réseau distant.

Exiger la MFA pour l’accès administratif :

Demandez l’authentification multifacteur pour tous les comptes d’accès administratif, lorsqu’ils sont pris en charge, sur tous les actifs de l’entreprise, qu’ils soient gérés sur site ou par l’intermédiaire d’un fournisseur tiers.

Établir et tenir à jour un inventaire des systèmes d’authentification et d’autorisation :

Établir et tenir à jour un inventaire des systèmes d’authentification et d’autorisation de l’entreprise, y compris ceux hébergés sur site ou chez un fournisseur de services à distance. Examinez et mettez à jour l’inventaire, au minimum, une fois par an ou plus fréquemment.

Centraliser le contrôle d’accès :

Centralisez le contrôle d’accès pour tous les actifs de l’entreprise via un service d’annuaire ou un fournisseur SSO, le cas échéant.

Définir et maintenir le contrôle d’accès basé sur les rôles :

Définissez et maintenez le contrôle d’accès basé sur les rôles, en déterminant et en documentant les droits d’accès nécessaires pour que chaque rôle au sein de l’entreprise puisse mener à bien les tâches qui lui sont affectées. Effectuez des examens de contrôle d’accès des actifs d’entreprise pour valider que tous les privilèges sont autorisés, selon un calendrier récurrent au moins une fois par an ou plus fréquemment.

Établissez et maintenez un processus de gestion des vulnérabilités :

Établissez et maintenez un processus documenté de gestion des vulnérabilités pour les actifs d’entreprise. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Établissez et maintenez un processus de rattrapage :

Établissez et maintenez une stratégie de rattrapage basée sur les risques documentée dans le cadre d’un processus de rattrapage, avec des examens mensuels ou plus fréquents.

Effectuez la gestion automatisée des correctifs du système d’exploitation :

Effectuez des mises à jour du système d’exploitation sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuer une gestion automatisée des correctifs d’application :

Effectuez des mises à jour d’application sur les actifs de l’entreprise via la gestion automatisée des correctifs sur une base mensuelle ou plus fréquente.

Effectuez des analyses de vulnérabilité automatisées des actifs d’entreprise internes :

Effectuez des analyses de vulnérabilité automatisées des actifs internes de l’entreprise tous les trimestres ou plus fréquemment. Effectuez des analyses authentifiées et non authentifiées à l’aide d’un outil d’analyse des vulnérabilités conforme à SCAP.

Effectuez des analyses automatisées de vulnérabilité des actifs d’entreprise exposés en externe :

Effectuez des analyses de vulnérabilité automatisées des actifs d’entreprise exposés en externe à l’aide d’un outil d’analyse des vulnérabilités compatible SCAP. Effectuer des analyses sur une base mensuelle ou plus fréquente.

Rattraper les vulnérabilités détectées :

Corrigez les vulnérabilités détectées dans les logiciels par le biais de processus et d’outils sur une base mensuelle, ou plus fréquemment, en fonction du processus de correction.

Établir et maintenir un processus de gestion des journaux d’audit :

Établir et maintenir un processus de gestion des journaux d’audit qui définit les besoins de journalisation de l’entreprise. Au minimum, abordez la collecte, la révision et la conservation des journaux d’audit pour les actifs d’entreprise. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Conserver les journaux d’audit :

Conservez les journaux d’audit des actifs de l’entreprise pendant au moins 90 jours.

Effectuer des examens du journal d’audit :

Examinez les journaux d’audit pour détecter les anomalies ou les événements anormaux qui pourraient indiquer une menace potentielle. Effectuer des examens sur une base hebdomadaire ou plus fréquente.

Collecter les journaux des fournisseurs de services :

Collecter les journaux des fournisseurs de services, le cas échéant. Les exemples d’implémentation incluent la collecte d’événements d’authentification et d’autorisation, les événements de création et de suppression de données et les événements de gestion des utilisateurs.

Collecter les journaux d’audit :

Collecter les journaux d’audit. Assurez-vous que la connexion, conformément au processus de gestion des journaux d’audit de l’entreprise, a été activée dans l’ensemble des actifs de l’entreprise.

Assurez un stockage adéquat des journaux d’audit :

Assurez-vous que les destinations de journalisation conservent un stockage adéquat pour se conformer au processus de gestion des journaux d’audit de l’entreprise.

Standardiser la synchronisation temporelle :

Standardiser la synchronisation temporelle. Configurez au moins deux sources de temps synchronisées entre les actifs d’entreprise, le cas échéant.

Collecter les journaux d’audit détaillés :

Configurez la journalisation d’audit détaillée pour les actifs d’entreprise contenant des données sensibles. Incluez la source de l’événement, la date, le nom d’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles qui pourraient aider à une enquête médico-légale.

Collecter les journaux d’audit des requêtes DNS :

Collecter les journaux d’audit des requêtes DNS sur les actifs de l’entreprise, le cas échéant et pris en charge.

Collecter les journaux d’audit des demandes d’URL :

La collecte d’URL demande des journaux d’audit sur les actifs de l’entreprise, le cas échéant et pris en charge.

Collecter les journaux d’audit de ligne de commande :

Collecter les journaux d’audit de ligne de commande. Les exemples d’implémentation incluent la collecte des journaux d’audit à partir de PowerShell™, BASH™ et des terminaux d’administration distants.

Centralisez les journaux d’audit :

Centralisez, dans la mesure du possible, la collecte et la conservation des journaux d’audit sur l’ensemble des actifs de l’entreprise.

Assurez-vous d’utiliser uniquement des navigateurs et des clients de messagerie entièrement pris en charge :

Assurez-vous que seuls les navigateurs et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’entreprise, uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Utiliser les services de filtrage DNS :

Utilisez les services de filtrage DNS sur tous les actifs de l’entreprise pour bloquer l’accès aux domaines malveillants connus.

Gérer et appliquer les filtres d’URL basés sur le réseau :

Appliquez et mettez à jour des filtres URL basés sur le réseau pour empêcher un actif d’entreprise de se connecter à des sites web potentiellement malveillants ou non approuvés. Les exemples d’implémentation incluent le filtrage basé sur les catégories, le filtrage basé sur la réputation ou l’utilisation de listes de blocage. Appliquer des filtres pour tous les actifs d’entreprise.

Limitez les extensions inutiles ou non autorisées du navigateur et du client de messagerie :

Restreignez, en désinstallant ou en désactivant, les modules d’extension, extensions et applications complémentaires de navigateur ou de client de messagerie non autorisés ou non nécessaires.

Implémenter DMARC :

Pour réduire le risque d’e-mails usurpés ou modifiés à partir de domaines valides, mettez en œuvre la politique et la vérification DMARC, en commençant par la mise en œuvre du cadre de politique de l’expéditeur (SPF) et des normes DKIM (DomainKeys Identified Mail).

Bloquer les types de fichiers inutiles :

Bloquez les types de fichiers inutiles qui tentent d’entrer dans la passerelle de messagerie de l’entreprise.

Déployez et maintenez les protections anti-programme malveillant du serveur de messagerie :

Déployez et maintenez les protections contre les programmes malveillants des serveurs de messagerie, telles que l’analyse des pièces jointes et/ou le sandboxing.

Déployez et maintenez un logiciel anti-programme malveillant :

Déployez et maintenez un logiciel anti-programme malveillant sur tous les actifs de l’entreprise.

Configurez les mises à jour automatiques de signature anti-programme malveillant :

Configurez les mises à jour automatiques des fichiers de signature anti-programme malveillant sur tous les actifs de l’entreprise.

Désactiver l’exécution automatique et la lecture automatique pour les supports amovibles :

Désactivez les fonctionnalités d’exécution automatique et d’exécution automatique pour les supports amovibles.

Configurez l’analyse anti-programme malveillant automatique des supports amovibles :

Configurez un logiciel anti-programme malveillant pour analyser automatiquement les supports amovibles.

Activer les fonctionnalités anti-exploitation :

Activez les fonctionnalités anti-exploitation sur les actifs et les logiciels de l’entreprise, dans la mesure du possible, telles que Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG) ou Apple System Integrity Protection (SIP) et Gatekeeper™.

Gestion centralisée des logiciels anti-malware :

Gérez de manière centralisée les logiciels anti-malware.

Utilisez un logiciel anti-malware basé sur le comportement :

Utilisez un logiciel anti-programme malveillant basé sur le comportement.

Établir et maintenir un processus de récupération des données :

Établir et maintenir un processus de récupération des données. Dans le processus, abordez le périmètre des activités de récupération des données, la hiérarchisation de la récupération et la sécurité des données de sauvegarde. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Effectuer des sauvegardes automatisées :

Effectuez des sauvegardes automatisées des actifs d’entreprise dans le champ d’application. Exécuter des sauvegardes hebdomadaires, ou plus fréquemment, en fonction de la sensibilité des données.

Protégez les données de récupération :

Protégez les données de récupération avec des contrôles équivalents aux données d’origine. Chiffrement de référence ou séparation des données, en fonction des besoins.

Établir et gérer une instance isolée de données de récupération :

Établissez et gérez une instance isolée de données de récupération. Les exemples d’implémentation incluent le contrôle de version des destinations de sauvegarde via des systèmes ou des services hors ligne, cloud ou hors site.

Récupération des données de test :

Testez la restauration des copies de sauvegarde tous les trimestres, ou plus fréquemment, pour un échantillon des actifs d’entreprise dans le périmètre.

Assurez-vous que l’infrastructure réseau est à jour :

Assurez-vous que l’infrastructure réseau est tenue à jour. Les exemples d’implémentation incluent l’exécution de la dernière version stable du logiciel et/ou l’utilisation des offres de réseau en tant que service (NaaS) actuellement prises en charge. Examinez les versions logicielles tous les mois, ou plus fréquemment, pour vérifier la prise en charge du logiciel.

Établissez et maintenez une architecture réseau sécurisée :

Établir et maintenir une architecture réseau sécurisée. Une architecture réseau sécurisée doit tenir compte au minimum de la segmentation, des privilèges minimum et de la disponibilité.

Gérez l’infrastructure réseau en toute sécurité :

Gérez l’infrastructure réseau en toute sécurité. Les exemples d’implémentation incluent l’infrastructure contrôlée par version en tant que code et l’utilisation de protocoles réseau sécurisés, tels que SSH et HTTPS.

Établir et maintenir le(s) diagramme(s) d’architecture :

Établir et tenir à jour le(s) diagramme(s) d’architecture et/ou toute autre documentation du système réseau. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Centralisez l’authentification, l’autorisation et l’audit réseau (AAA) :

Centralisez le réseau AAA.

Utilisation de protocoles de gestion et de communication de réseau sécurisés :

Utilisez des protocoles de communication et de gestion de réseau sécurisés (par exemple, 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise ou supérieur).

Assurez-vous que les périphériques distants utilisent un VPN et se connectent à l’infrastructure AAA d’une entreprise :

Exigez des utilisateurs qu’ils s’authentifient auprès des VPN et des services d’authentification gérés par l’entreprise avant d’accéder aux ressources de l’entreprise sur les appareils de l’utilisateur final.

Établir et maintenir des ressources informatiques dédiées pour toutes les tâches administratives :

Établissez et maintenez des ressources informatiques dédiées, physiquement ou logiquement séparées, pour toutes les tâches administratives ou nécessitant un accès administratif. Les ressources informatiques doivent être séparées du réseau principal de l’entreprise et ne pas être autorisées à accéder à Internet.

Centraliser les alertes d’événements de sécurité :

Centralisez les alertes d’événements de sécurité entre les actifs de l’entreprise pour la corrélation et l’analyse des journaux. L’implémentation des bonnes pratiques nécessite l’utilisation d’un SIEM, qui comprend des alertes de corrélation d’événements définies par le fournisseur. Une plateforme d’analyse de journaux configurée avec des alertes de corrélation pertinentes pour la sécurité satisfait également à cette garantie.

Effectuer un filtrage de la couche d’application :

Effectuez un filtrage de la couche d’application. Les exemples d’implémentation incluent un proxy de filtrage, un pare-feu de couche d’application ou une passerelle.

Régler les seuils d’alerte d’événement de sécurité :

Ajustez les seuils d’alerte d’événement de sécurité tous les mois ou plus fréquemment.

Déployez une solution de détection des intrusions basée sur l’hôte :

Déployer une solution de détection des intrusions basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou pris en charge.

Déployez une solution de détection des intrusions réseau :

Déployez une solution de détection des intrusions réseau sur les actifs de l’entreprise, le cas échéant. Parmi les exemples d’implémentation, citons l’utilisation d’un système de détection d’intrusion réseau (NIDS) ou d’un service de fournisseur de services cloud (CSP) équivalent.

Effectuez un filtrage du trafic entre les segments du réseau :

Effectuer un filtrage du trafic entre les segments du réseau, le cas échéant.

Gérer le contrôle d’accès pour les ressources distantes :

Gérez le contrôle d’accès pour les ressources qui se connectent à distance aux ressources de l’entreprise. Déterminer la quantité d’accès aux ressources de l’entreprise en fonction des éléments suivants : logiciel anti-programme malveillant à jour installé ; la conformité de la configuration avec le processus de configuration sécurisé de l’entreprise ; et s’assurer que le système d’exploitation et les applications sont à jour.

Collecter les journaux de flux de trafic réseau :

Collectez les journaux de flux de trafic réseau et/ou le trafic réseau à examiner et à alerter à partir des appareils réseau.

Déployez une solution de prévention des intrusions basée sur l’hôte :

Déployez une solution de prévention des intrusions basée sur l’hôte sur les actifs de l’entreprise, le cas échéant et/ou pris en charge. Les exemples d’implémentation incluent l’utilisation d’un client EDR (Endpoint Detection and Response) ou d’un agent IPS basé sur l’hôte.

Déployez une solution de prévention des intrusions réseau :

Déployez une solution de prévention des intrusions réseau, le cas échéant. L’utilisation d’un système de prévention des intrusions réseau (NIPS) ou d’un service CSP équivalent est un exemple d’implémentation.

Déployer le contrôle d’accès au niveau du port :

Déployez le contrôle d’accès au niveau du port. Le contrôle d’accès au niveau du port utilise 802.1x ou des protocoles de contrôle d’accès réseau similaires, tels que des certificats, et peut intégrer une authentification utilisateur et/ou appareil.

Établir et maintenir un programme de sensibilisation à la sécurité :

Établir et maintenir un programme de sensibilisation à la sécurité. L’objectif d’un programme de sensibilisation à la sécurité est de former le personnel de l’entreprise sur la façon d’interagir avec les actifs et les données de l’entreprise de manière sécurisée. Organisez une formation à l’embauche et, au minimum, une fois par an. Examinez et mettez à jour le contenu chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Former les membres du personnel à reconnaître les attaques d’ingénierie sociale :

Formez les membres du personnel à reconnaître les attaques d’ingénierie sociale, telles que le phishing, le pre-texting et le talonnage. 

Formez les membres du personnel aux bonnes pratiques d’authentification :

Former les membres du personnel aux bonnes pratiques d’authentification. Les exemples de rubriques incluent la MFA, la composition des mots de passe et la gestion des informations d’identification.

Former les effectifs aux bonnes pratiques de traitement des données :

Formez les membres du personnel sur la façon d’identifier et de stocker, transférer, archiver et détruire correctement les données sensibles. Cela comprend également la formation des membres du personnel sur les meilleures pratiques en matière d’écran et de bureau, telles que le verrouillage de leur écran lorsqu’ils s’éloignent de leur actif d’entreprise, l’effacement des tableaux blancs physiques et virtuels à la fin des réunions et le stockage sécurisé des données et des actifs.

Former les membres du personnel sur les causes de l’exposition involontaire des données :

Formez les membres du personnel pour qu’ils soient conscients des causes de l’exposition involontaire des données. Les exemples de rubriques incluent la livraison incorrecte de données sensibles, la perte d’un appareil portable d’utilisateur final ou la publication de données à des audiences non prévues.

Former les membres du personnel à la reconnaissance et au signalement des incidents de sécurité :

Formez les membres du personnel afin qu’ils soient capables de reconnaître un incident potentiel et de signaler un tel incident. 

Former les effectifs à l’identification et à la génération de rapports sur l’absence de mises à jour de sécurité des actifs de leur entreprise :

Formez le personnel pour qu’il comprenne comment vérifier et signaler les correctifs logiciels obsolètes ou toute défaillance des processus et outils automatisés. Une partie de cette formation devrait inclure la notification au personnel informatique de toute défaillance des processus et outils automatisés.

Formez votre personnel aux dangers de la connexion et de la transmission de données d’entreprise sur des réseaux non sécurisés :

Former les membres du personnel aux dangers de la connexion et de la transmission de données sur des réseaux non sécurisés pour les activités de l’entreprise. Si l’entreprise a des travailleurs à distance, la formation doit inclure des conseils pour s’assurer que tous les utilisateurs configurent en toute sécurité leur infrastructure réseau domestique.

Organiser une formation de sensibilisation et d’acquisition de compétences en matière de sécurité spécifique au rôle :

Organiser une formation spécifique à la sensibilisation et aux compétences en matière de sécurité. Les exemples d’implémentation incluent des cours d’administration de système sécurisé pour les professionnels de l’informatique, (OWASP ™ Top 10 formation de sensibilisation et de prévention des vulnérabilités pour les développeurs d’applications Web) et une formation avancée de sensibilisation à l’ingénierie sociale pour les rôles de haut niveau.

Établir et tenir à jour un inventaire des fournisseurs de services :

Établir et tenir à jour un inventaire des fournisseurs de services. L’inventaire consiste à répertorier tous les fournisseurs de services connus, à inclure la ou les classifications et à désigner une personne-ressource d’entreprise pour chaque fournisseur de services. Examinez et mettez à jour l’inventaire chaque année, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Établir et maintenir une politique de gestion des fournisseurs de services :

Établir et maintenir une politique de gestion des fournisseurs de services. S’assurer que la politique traite de la classification, de l’inventaire, de l’évaluation, de la surveillance et de la mise hors service des fournisseurs de services. Examinez et mettez à jour la politique chaque année, ou lorsque des changements importants de l’entreprise se produisent et susceptibles d’avoir une incidence sur cette garantie.

Classer les fournisseurs de services :

Classez les fournisseurs de services. La prise en compte de la classification peut inclure une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume des données, les exigences de disponibilité, les réglementations applicables, le risque inhérent et le risque atténué. Mettre à jour et réviser les classifications chaque année, ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Assurez-vous que les contrats des fournisseurs de services incluent des exigences de sécurité :

Assurez-vous que les contrats des fournisseurs de services incluent des exigences de sécurité. Des exemples d’exigences peuvent inclure des exigences minimales de programme de sécurité, la notification et l’intervention en cas d’incident de sécurité et/ou de violation de données, des exigences en matière de chiffrement des données et des engagements d’élimination des données. Ces exigences de sécurité doivent être cohérentes avec la politique de gestion des fournisseurs de services de l’entreprise. Examinez les contrats des fournisseurs de services chaque année pour vous assurer que les contrats ne manquent pas d’exigences de sécurité.

Évaluez les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. La portée de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation standardisés, tels que le contrôle de l’organisation de services 2 (SOC 2) et l’attestation de conformité (AoC) de l’industrie des cartes de paiement (PCI), des questionnaires personnalisés ou d’autres processus rigoureux appropriés. Réévaluer les fournisseurs de services une fois par an, au minimum, ou avec des contrats nouveaux et renouvelés.

Évaluez les fournisseurs de services :

Évaluez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. La portée de l’évaluation peut varier en fonction de la ou des classifications et peut inclure l’examen de rapports d’évaluation standardisés, tels que le contrôle de l’organisation de services 2 (SOC 2) et l’attestation de conformité (AoC) de l’industrie des cartes de paiement (PCI), des questionnaires personnalisés ou d’autres processus rigoureux appropriés. Réévaluer les fournisseurs de services une fois par an, au minimum, ou avec des contrats nouveaux et renouvelés.

Surveiller les fournisseurs de services :

Surveillez les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l’entreprise. La surveillance peut inclure une réévaluation périodique de la conformité du fournisseur de services, la surveillance des notes de version du fournisseur de services et la surveillance du dark web.

Désactivez en toute sécurité les fournisseurs de services :

Désactivez les fournisseurs de services en toute sécurité. Par exemple, la désactivation des comptes d’utilisateurs et de services, l’arrêt des flux de données et l’élimination sécurisée des données d’entreprise au sein des systèmes des fournisseurs de services.

Établissez et maintenez un processus de développement d’applications sécurisé :

Établissez et maintenez un processus de développement d’application sécurisé. Dans le processus, abordez des éléments tels que : les normes de conception d’applications sécurisées, les pratiques de codage sécurisées, la formation des développeurs, la gestion des vulnérabilités, la sécurité du code tiers et les procédures de test de la sécurité des applications. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Appliquez les principes de conception sécurisée dans les architectures d’applications :

Appliquez les principes de conception sécurisée dans les architectures d’applications. Les principes de conception sécurisée incluent le concept de moindre privilège et l’application de la médiation pour valider chaque opération effectuée par l’utilisateur, promouvant le concept de « ne jamais faire confiance à l’entrée de l’utilisateur ». Par exemple, s’assurer qu’une vérification explicite des erreurs est effectuée et documentée pour toutes les entrées, y compris pour la taille, le type de données et les plages ou formats acceptables. La conception sécurisée signifie également minimiser la surface d’attaque de l’infrastructure applicative, par exemple en désactivant les ports et services non protégés, en supprimant les programmes et les fichiers inutiles et en renommant ou en supprimant les comptes par défaut.

Exploitez des modules ou des services approuvés pour les composants de sécurité des applications :

Exploitez des modules ou services approuvés pour les composants de sécurité des applications, tels que la gestion des identités, le chiffrement, l’audit et la connexion. L’utilisation des fonctionnalités de la plateforme dans les fonctions de sécurité critiques réduira la charge de travail des développeurs et minimisera la probabilité d’erreurs de conception ou de mise en œuvre. Les systèmes d’exploitation modernes fournissent des mécanismes efficaces d’identification, d’authentification et d’autorisation et mettent ces mécanismes à la disposition des applications. Utilisez uniquement des algorithmes de chiffrement standardisés, actuellement acceptés et faisant l’objet d’un examen approfondi. Les systèmes d’exploitation fournissent également des mécanismes pour créer et maintenir des journaux d’audit sécurisés.

Implémenter des contrôles de sécurité au niveau du code :

Appliquez des outils d’analyse statique et dynamique tout au long du cycle de vie de l’application pour vérifier que les pratiques de codage sécurisé sont suivies.

Effectuer un test de pénétration de l’application :

Effectuez des tests de pénétration de l’application. Pour les applications critiques, les tests de pénétration authentifiés sont mieux adaptés à la recherche de vulnérabilités de logique métier que l’analyse de code et les tests de sécurité automatisés.Le test de pénétration repose sur la capacité du testeur à manipuler manuellement une application en tant qu’utilisateur authentifié et non authentifié. 

Modéliser les menaces de conduite :

Effectuez une modélisation des menaces. La modélisation des menaces est le processus qui consiste à identifier et à traiter les failles de conception de la sécurité des applications au sein d’une conception, avant la création du code. Elle est menée par des personnes spécialement formées qui évaluent la conception de l’application et évaluent les risques de sécurité pour chaque point d’entrée et niveau d’accès. L’objectif est de cartographier l’application, l’architecture et l’infrastructure de manière structurée pour comprendre ses faiblesses.

Établissez et maintenez un processus pour accepter et traiter les vulnérabilités logicielles :

Établir et maintenir un processus pour accepter et traiter les rapports de vulnérabilités logicielles, y compris en fournissant un moyen aux entités externes de les signaler. Le processus doit inclure des éléments tels que : une politique de gestion des vulnérabilités qui identifie le processus de génération de rapports, la partie responsable du traitement des rapports de vulnérabilité et un processus d’admission, d’affectation, de correction et de tests de rattrapage. Dans le cadre du processus, utilisez un système de suivi des vulnérabilités qui comprend des évaluations de gravité et des mesures pour mesurer les délais d’identification, d’analyse et de correction des vulnérabilités. Examiner et mettre à jour la documentation annuellement, ou lorsque des changements organisationnels importants se produisent qui pourraient avoir une incidence sur cette garantie.

Effectuez une analyse de la cause première des vulnérabilités de sécurité :

Effectuez une analyse de la cause première des vulnérabilités de sécurité. Lors de l’examen des vulnérabilités, l’analyse de la cause première consiste à évaluer les problèmes sous-jacents qui créent des vulnérabilités dans le code et permet aux équipes de développement d’aller au-delà de la simple correction des vulnérabilités individuelles au fur et à mesure qu’elles apparaissent.

Établir et gérer un inventaire des composants logiciels tiers :

Établissez et gérez un inventaire mis à jour des composants tiers utilisés dans le développement, souvent appelé « nomenclature », ainsi que des composants prévus pour une utilisation future.Cet inventaire doit inclure tous les risques que chaque composant de tiers pourrait poser.Évaluez la liste au moins une fois par mois pour identifier les changements ou mises à jour apportés à ces composants et vérifiez que le composant est toujours pris en charge. 

Utilisez des composants logiciels tiers à jour et fiables :

Utilisez des composants logiciels tiers à jour et de confiance. Dans la mesure du possible, choisissez des frameworks et des bibliothèques établis et éprouvés qui offrent une sécurité adéquate.Procurez-vous ces composants auprès de sources fiables ou évaluez les vulnérabilités du logiciel avant de l’utiliser.

Établissez et maintenez un système et un processus d’évaluation de la gravité des vulnérabilités des applications :

Établissez et maintenez un système et un processus d’évaluation de la gravité des vulnérabilités des applications qui facilitent la hiérarchisation de l’ordre de correction des vulnérabilités détectées. Ce processus comprend la définition d’un niveau minimum d’acceptabilité de sécurité pour la publication de code ou d’applications. Les évaluations de gravité apportent un moyen systématique de trier les vulnérabilités qui améliore la gestion des risques et permet de s’assurer que les bogues les plus graves sont corrigés en premier. Examinez et mettez à jour le système et le processus chaque année.

Utilisez des modèles de configuration de sécurisation renforcée standard pour l’infrastructure d’application :

Utilisez des modèles de configuration de sécurisation renforcée standard recommandés par l’industrie pour les composants d’infrastructure d’application. Cela inclut les serveurs, les bases de données et les serveurs Web sous-jacents, et s’applique aux conteneurs cloud, aux composants PaaS (Platform as a Service) et aux composants SaaS. Ne laissez pas les logiciels développés en interne affaiblir le renforcement de la configuration.

Systèmes de production et de non-production distincts :

Maintenez des environnements séparés pour les systèmes de production et de non-production.

Former les développeurs aux concepts de sécurité des applications et au codage sécurisé :

Assurez-vous que tout le personnel de développement logiciel reçoit une formation à l’écriture de code sécurisé pour son environnement de développement et ses responsabilités spécifiques. La formation peut inclure les principes généraux de sécurité et les pratiques standard de sécurité des applications. Organiser une formation au moins une fois par an et concevoir de manière à promouvoir la sécurité au sein de l’équipe de développement et à créer une culture de la sécurité parmi les développeurs.

Désigner le personnel pour gérer la gestion des incidents :

Désignez une personne clé et au moins un remplaçant qui gérera le processus de gestion des incidents de l’entreprise. Le personnel de gestion est responsable de la coordination et de la documentation des efforts de réponse aux incidents et de récupération et peut être composé d’employés internes à l’entreprise, de fournisseurs tiers ou d’une approche hybride. Si vous faites appel à un fournisseur tiers, désignez au moins une personne interne à l’entreprise pour superviser tout travail de tiers. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établir et conserver les coordonnées pour le signalement des incidents de sécurité :

Établir et conserver les coordonnées des parties qui doivent être informées des incidents de sécurité. Les contacts peuvent inclure le personnel interne, les fournisseurs tiers, les forces de l’ordre, les fournisseurs de cyberassurance, les agences gouvernementales compétentes, les partenaires du Centre de partage et d’analyse des informations (ISAC) ou d’autres parties prenantes. Vérifiez les contacts chaque année pour vous assurer que les informations sont à jour.

Établissez et maintenez un processus d’entreprise pour la génération de rapports d’incidents :

Établir et maintenir un processus d’entreprise pour que les effectifs signalent les incidents de sécurité. Le processus comprend le délai de déclaration, le personnel à qui rendre compte, le mécanisme de déclaration et les informations minimales à signaler. S’assurer que le processus est accessible au public à l’ensemble du personnel. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établissez et maintenez un processus de réponse aux incidents :

Établissez et maintenez un processus de réponse aux incidents qui traite des rôles et des responsabilités, des exigences de conformité et d’un plan de communication. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Affectez les rôles et responsabilités clés :

Affectez des rôles et responsabilités clés pour la réponse aux incidents, y compris le personnel des services juridiques, informatiques, de la sécurité de l’information, des installations, des relations publiques, des ressources humaines, des intervenants en cas d’incident et des analystes, le cas échéant. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Définissez les mécanismes de communication pendant la réponse à un incident :

Déterminez les mécanismes primaires et secondaires qui seront utilisés pour communiquer et signaler un incident de sécurité. Les mécanismes peuvent inclure des appels téléphoniques, des e-mails ou des lettres. Gardez à l’esprit que certains mécanismes, tels que les e-mails, peuvent être affectés lors d’un incident de sécurité. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Effectuer des exercices d’intervention de routine en cas d’incident :

Planifiez et menez des exercices et des scénarios de réponse aux incidents de routine pour le personnel clé impliqué dans le processus de réponse aux incidents afin de se préparer à répondre à des incidents réels. Les exercices doivent tester les canaux de communication, la prise de décision et les flux de travail. Effectuer des tests sur une base annuelle, au minimum.

Effectuer des examens post-incident :

effectuer des examens post-incident. Les examens post-incident aident à prévenir la récurrence des incidents en identifiant les leçons apprises et les mesures de suivi.

Établir et maintenir des seuils d’incidents de sécurité :

Établissez et gérez des seuils d’incidents de sécurité, y compris, au minimum, la distinction entre un incident et un événement. Il peut s’agir par exemple d’une activité anormale, d’une vulnérabilité de sécurité, d’une faiblesse de sécurité, d’une violation de données, d’un incident de confidentialité, etc. Examen annuel ou lorsque des changements organisationnels importants se produisent et pourraient avoir une incidence sur cette garantie.

Établir et maintenir un programme de tests de pénétration :

Établir et maintenir un programme de tests de pénétration adapté à la taille, à la complexité et à la maturité de l’entreprise. Les caractéristiques du programme de test de pénétration comprennent le champ d’application, comme le réseau, l’application Web, l’interface de programmation d’application (API), les services hébergés et les contrôles des locaux physiques ; fréquence; les limitations, telles que les heures acceptables et les types d’attaques exclus ; les coordonnées du point de contact ; les mesures correctives, telles que la manière dont les résultats seront acheminés en interne ; et les exigences rétrospectives.

Effectuez des tests de pénétration externes périodiques :

Effectuer des tests d’intrusion externes périodiques en fonction des exigences du programme, au moins une fois par an. Les tests de pénétration externes doivent inclure une reconnaissance de l’entreprise et de l’environnement pour détecter les informations exploitables. Les tests de pénétration nécessitent des compétences et une expérience spécialisées et doivent être effectués par une partie qualifiée. Les tests peuvent être transparents ou opaques.

Conclusions du test de pénétration de correction :

Corrigez les conclusions du test de pénétration en fonction de la politique de l’entreprise en matière de portée et de hiérarchisation du rattrapage.

Valider les mesures de sécurité :

Validez les mesures de sécurité après chaque test de pénétration. Si vous le jugez nécessaire, modifiez les ensembles de règles et les options pour détecter les techniques utilisées pendant les tests.

Utilisez un outil de détection actif pour identifier les équipements connectés au réseau de l’organisation et mettre à jour l’inventaire des actifs matériels.

Utilisez un outil de découverte passive pour identifier les périphériques connectés au réseau de l’organisation et mettre à jour automatiquement l’inventaire des actifs matériels de l’organisation.

Tenir un inventaire précis et à jour de tous les actifs technologiques susceptibles de stocker ou de traiter des informations. Cet inventaire doit inclure tous les actifs matériels, qu’ils soient connectés ou non au réseau de l’organisation.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse du réseau, l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données et le département de chaque actif et si l’actif matériel a été approuvé pour se connecter au réseau.

Utilisez le contrôle d’accès au niveau du port, conformément aux normes 802.1x, pour contrôler les appareils qui peuvent s’authentifier sur le réseau. Le système d’authentification doit être lié aux données de l’inventaire des actifs matériels pour garantir que seuls les appareils autorisés peuvent se connecter au réseau.

Utilisez les certificats clients pour authentifier les ressources matérielles qui se connectent au réseau approuvé de l’organisation.

Tenir à jour une liste de tous les logiciels autorisés requis dans l’entreprise à des fins commerciales sur n’importe quel système d’entreprise.

Assurez-vous que seules les applications logicielles ou les systèmes d’exploitation actuellement pris en charge par le fournisseur du logiciel sont ajoutés à l’inventaire de logiciels autorisés de l’organisation. Le logiciel non pris en charge doit être étiqueté comme non pris en charge dans le système d’inventaire.

Utilisez les outils d’inventaire logiciel dans toute l’organisation pour automatiser la documentation de tous les logiciels sur les systèmes d’entreprise.

Le système d’inventaire des logiciels doit suivre le nom, la version, l’éditeur et la date d’installation de tous les logiciels, y compris les systèmes d’exploitation autorisés par l’organisation.

Le système d’inventaire logiciel doit être lié à l’inventaire des actifs matériels afin que tous les appareils et logiciels associés soient suivis à partir d’un emplacement unique.

Utilisez un outil d’analyse des vulnérabilités à jour et conforme au SCAP pour analyser automatiquement tous les systèmes du réseau sur une base hebdomadaire ou plus fréquente afin d’identifier toutes les vulnérabilités potentielles sur les systèmes de l’organisation.

Effectuez une analyse des vulnérabilités authentifiée avec des agents s’exécutant localement sur chaque système ou avec des scanners distants configurés avec des droits élevés sur le système testé.

Comparez régulièrement les résultats des analyses de vulnérabilité consécutives pour vérifier que les vulnérabilités ont été corrigées en temps opportun.

Avant de déployer un nouvel actif, remplacez tous les mots de passe par défaut par des valeurs cohérentes avec les comptes de niveau administratif.

Lorsque l’authentification multifacteur n’est pas prise en charge (comme les comptes d’administrateur local, racine ou de service), les comptes utilisent des mots de passe uniques à ce système.

Configurez les systèmes pour émettre une entrée de journal et une alerte lorsqu’un compte est ajouté ou supprimé d’un groupe disposant de privilèges administratifs.

Configurez les systèmes pour émettre une entrée de journal et une alerte en cas d’échec de connexion à un compte administratif.

Assurez-vous que la connexion locale a été activée sur tous les systèmes et appareils en réseau.

Activez la journalisation système pour inclure des informations détaillées telles qu’une source d’événement, la date, l’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

N’importe quel logiciel antivirus d’entreprise aura cette capacité. En disposant d’un antivirus géré de manière centralisée, vous pouvez facilement répondre à des exigences individuelles.

L’antivirus n’est aussi bon que ses signatures. Bien que la détection basée sur la signature pure ne soit plus viable, même les moteurs basés sur les anomalies doivent être mis à jour régulièrement. Assurez-vous que les mises à jour sont déployées automatiquement et utilisez des outils pour vérifier que les signatures sont réellement à jour.

Les guides de renforcement DISA fournissent des instructions étape par étape sur l’activation de ces paramètres et bien plus encore.

La plupart des antivirus ont cette capacité activée par défaut, mais il est toujours important de vérifier qu’elle est toujours activée. Les logiciels malveillants provenant d’une clé USB sont un vecteur d’attaque viable pour presque toutes les organisations.

Pour la même raison que vous ne voulez pas l’analyser, vous ne voulez pas non plus qu’il fonctionne lorsqu’il est monté. Il s’agit d’un réglage assez rapide à activer, et les guides de renforcement CIS et DISA ont des instructions étape par étape sur la désactivation de l’exécution automatique. Certains outils SCM peuvent vérifier rapidement chaque point de terminaison de votre environnement pour s’assurer que ce paramètre est désactivé.

Effectuez régulièrement des analyses automatisées des ports sur tous les systèmes et alertez si des ports non autorisés sont détectés sur un système.

Comparez toutes les configurations des appareils réseau aux configurations de sécurité approuvées définies pour chaque appareil réseau en cours d’utilisation et alertez lorsque des écarts sont détectés.

Installez la dernière version stable de toutes les mises à jour liées à la sécurité sur tous les appareils réseau.

Déployez des capteurs de systèmes de détection d’intrusion (IDS) basés sur le réseau pour rechercher des mécanismes d’attaque inhabituels et détecter la compromission de ces systèmes à chacune des limites du réseau de l’organisation.

Supprimez du réseau les données ou systèmes sensibles auxquels l’organisation n’accède pas régulièrement. Ces systèmes ne doivent être utilisés que comme des systèmes autonomes (déconnectés du réseau) par l’unité commerciale ayant besoin d’utiliser occasionnellement le système ou complètement virtualisés et mis hors tension jusqu’à ce qu’ils en aient besoin.

Offrez une formation aux employés afin qu’ils soient conscients des risques liés aux données sur les clés USB. Fournissez-leur ensuite les outils nécessaires pour sécuriser les données critiques de votre organisation.

Chiffrez toutes les informations sensibles en transit.

Tenez un inventaire des points d’accès sans fil autorisés connectés au réseau câblé.

Tenez à jour un inventaire de chacun des systèmes d’authentification de l’organisation, y compris ceux situés sur site ou chez un fournisseur de services à distance.

Chiffrer ou hacher avec un salage toutes les informations d’identification d’authentification lorsqu’elles sont stockées.

Assurez-vous que tous les noms d’utilisateur de compte et les informations d’identification d’authentification sont transmis sur les réseaux à l’aide de canaux chiffrés.

Verrouillez automatiquement les sessions de la station de travail après une période d’inactivité standard.

Alerter lorsque les utilisateurs s’écartent du comportement de connexion normal, comme l’heure de la journée, l’emplacement du poste de travail et la durée.

Utilisez uniquement des algorithmes de chiffrement standardisés et largement révisés.

Établissez un processus pour accepter et traiter les rapports de vulnérabilités logicielles, notamment en fournissant un moyen aux entités externes de contacter votre groupe de sécurité.

Attribuez des titres de poste et des tâches liées à la gestion des incidents informatiques et réseau à des personnes spécifiques et assurez le suivi et la documentation tout au long de l’incident jusqu’à sa résolution.

Désignez le personnel de direction, ainsi que les remplaçants, qui soutiendront le processus de gestion des incidents en jouant des rôles décisionnels clés.

Publier des informations pour tous les membres du personnel concernant le signalement des anomalies et des incidents informatiques à l’équipe de gestion des incidents. Ces informations devraient être incluses dans les activités de sensibilisation courantes des employés.

Définir une « politique de sécurité de l’information » approuvée par la direction et qui définit l’approche de l’organisation pour gérer ses objectifs de sécurité de l’information. La politique de sécurité de l’information s’appuie sur des politiques thématiques, qui prescrivent en outre la mise en œuvre de contrôles de sécurité de l’information pour inclure : le contrôle d’accès ; la classification (et le traitement) de l’information ; la sécurité physique et environnementale ; sauvegarde; le transfert d’informations ; protection contre les logiciels malveillants ; la gestion des vulnérabilités techniques ; contrôles cryptographiques ; la sécurité des communications ; la confidentialité et la protection des informations personnelles identifiables ; les relations avec les fournisseurs et les sujets axés sur l’utilisateur final tels que : 1) l’utilisation acceptable des actifs ; 2) bureau clair et écran clair ; 3) le transfert d’informations ; 4) les appareils mobiles et le télétravail ; 5) les restrictions sur les installations et l’utilisation des logiciels.

Veiller à ce que les responsabilités en matière de protection des actifs individuels soient identifiées dans l’inventaire des actifs. Veiller à ce que les rôles et les responsabilités en matière d’élaboration et de mise en œuvre de la sécurité de l’information soient clairement définis.

Utilisez un logiciel de chiffrement de disque entier approuvé pour chiffrer le disque dur de tous les appareils mobiles.

Appliquez des politiques d’accès à distance pour les employés et les sous-traitants.

Assurez-vous que la vérification des antécédents est effectuée pour tous les employés et sous-traitants avant d’accorder l’accès aux actifs de l’entreprise.

Assurez-vous que tous les nouveaux employés ou sous-traitants ont signé et accepté les conditions d’emploi, y compris leur responsabilité en matière de sécurité de l’information.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse du réseau, l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données et le département de chaque actif et si l’actif matériel a été approuvé pour se connecter au réseau.

Assurez-vous que l’inventaire des actifs matériels enregistre l’adresse du réseau, l’adresse du matériel, le nom de l’ordinateur, le propriétaire de l’actif de données et le département de chaque actif et si l’actif matériel a été approuvé pour se connecter au réseau.

S’assurer que les employés et les sous-traitants sont informés des exigences de l’organisation en matière de sécurité de l’information, des actifs associés à l’information et aux installations et ressources de traitement de l’information. Ils devraient être responsables de l’utilisation qu’ils font des moyens de traitement de l’information et de toute utilisation effectuée sous leur responsabilité.

Utilisez les certificats clients pour authentifier les ressources matérielles qui se connectent au réseau approuvé de l’organisation.

Exigez tous les accès de connexion à distance au réseau de l’organisation pour chiffrer les données en transit et utiliser l’authentification multifacteur.

Lorsque l’authentification multifacteur n’est pas prise en charge (comme les comptes d’administrateur local, racine ou de service), les comptes utilisent des mots de passe uniques à ce système.

Assurez-vous que la politique relative au chiffrement existe et qu’elle est appliquée, implémentée et appliquée conformément aux exigences de classification des données.

Assurez-vous que la gestion des clés de chiffrement est gérée conformément à une politique et à une procédure officielles pour l’ensemble du cycle de vie de la clé.

Assurez-vous que la politique de bureau claire est adaptée par les employés et les sous-traitants.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont autorisés à s’exécuter dans l’organisation, idéalement uniquement à l’aide de la dernière version des navigateurs et des clients de messagerie fournis par le fournisseur.

Assurez-vous que la connexion locale a été activée sur tous les systèmes et appareils en réseau.

Assurez-vous que les journaux sont protégés en toute sécurité contre tout accès non autorisé.

Appliquez une journalisation d’audit détaillée pour accéder aux données sensibles ou les modifications de données sensibles (en utilisant des outils tels que la surveillance de l’intégrité des fichiers ou la surveillance des informations et événements de sécurité).

S’assurer que des politiques, des procédures et des contrôles officiels de transfert sont en place pour protéger le transfert d’information par l’utilisation de tous les types d’installations de communication.

S’assurer que les exigences liées à la sécurité de l’information sont incluses dans les exigences relatives aux nouveaux systèmes d’information ou aux améliorations des systèmes d’information existants.

Assurez-vous que les applications critiques de l’entreprise sont examinées et testées pour garantir qu’elles n’ont aucun impact négatif sur les opérations ou la sécurité de l’organisation en cas de modification des plateformes d’exploitation.

Assurez-vous que les modifications apportées aux progiciels sont découragées ou limitées aux changements nécessaires et que tous les changements sont strictement contrôlés.

Assurez-vous que les tests de sécurité, tels que les revues de code sécurisé et l’analyse des vulnérabilités, sont effectués pendant le cycle de vie du développement. Assurez-vous que les vulnérabilités identifiées sont documentées et que des mesures correctives sont effectuées.

S’assurer que les tests d’acceptation du système comprennent le test des exigences de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

S’assurer que les tests d’acceptation du système comprennent le test des exigences de sécurité de l’information et le respect des pratiques de développement de systèmes sécurisés.

Assurez-vous que les contrôles de sécurité des informations sont abordés et résolus avec le fournisseur avant de mener des activités ou d’accorder au fournisseur l’accès aux actifs.

S’assurer que l’évaluation des risques est effectuée avant de faire des affaires et d’accorder aux fournisseurs l’accès aux actifs et que les contrôles et les exigences de sécurité sont convenus et documentés dans l’entente avec les fournisseurs.

Assurez-vous que les fournisseurs surveillent et examinent régulièrement les conditions générales des accords en matière de sécurité de l’information et que les incidents et les problèmes de sécurité de l’information sont gérés correctement.

Assurez-vous qu’une évaluation des risques par une tierce partie est effectuée chaque fois que des changements sont apportés à la prestation de services. Veiller à ce que les changements apportés à la prestation de services par les fournisseurs, y compris le maintien et l’amélioration des politiques, procédures et contrôles de sécurité de l’information existants, soient gérés.

Assurez-vous qu’il existe un programme officiel de gestion des incidents et que tout le personnel et les tiers sont formés à la façon de reconnaître et de signaler les incidents de sécurité.

Assurez-vous qu’il existe une gestion officielle des événements de sécurité de l’information afin d’inclure une échelle de classification convenue des événements de sécurité et des incidents pour la génération de rapports et l’escalade. Assurez-vous que le schéma de classification des menaces et des risques est documenté. Assurez-vous que les notifications de réponse aux incidents sont conservées. Assurez-vous que les seuils d’impact à utiliser pour classer les incidents sont documentés.

Veiller à ce que les incidents liés à la sécurité de l’information soient traités et gérés conformément aux procédures documentées.

Veiller à ce que des procédures de surveillance des incidents soient incluses dans le programme Gestion des incidents afin de documenter les incidents et de s’assurer que les événements de sécurité sont analysés périodiquement afin de réduire les incidents futurs.

Assurez-vous que la sécurité de l’information et la continuité de la gestion de la sécurité de l’information sont planifiées et incluses dans le plan de continuité des activités ou dans le plan de reprise après sinistre.

Assurez-vous que la continuité d’activité ou le plan de récupération d’urgence sont officiellement documentés.

Assurez-vous que la continuité des activités ou le plan de récupération d’urgence sont un exercice annuel pour valider la validité et l’efficacité des contrôles de sécurité adéquats en cas de situation défavorable.

Assurez-vous que les composants de basculement et de récupération fonctionnent comme prévu.

Assurez-vous que les dossiers et les données sont protégés contre la perte, la destruction, la falsification, l’accès non autorisé et la divulgation non autorisée, conformément aux exigences législatives, réglementaires, contractuelles et commerciales.

Veiller à ce que la confidentialité et la protection des informations personnelles identifiables soient protégées et traitées conformément à la législation et à la réglementation, le cas échéant.

S’assurer que la configuration des systèmes dans le périmètre est testée régulièrement par rapport à la conformité et aux exigences réglementaires. Assurez-vous que les normes de configuration de base pour les systèmes sont documentées et basées sur les meilleures pratiques du secteur.

Veiller à ce que le processus de cessation d’emploi soit officialisé pour inclure la restitution de tous les actifs physiques et électroniques précédemment émis appartenant à l’organisation ou lui ayant été confiés.

• Profils RH [sn_hr_core_profile]
• Actif [alm_asset]

Assurez-vous que les actifs logiciels sont gérés et régulièrement mis à jour.

• Base de Software Asset Management
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Utilisez un processus d’évaluation des risques pour classer par ordre de priorité le rattrapage des vulnérabilités détectées.

Désinstallez ou désactivez les modules d’extension ou les applications complémentaires de navigateur ou de client de messagerie non autorisés.

• Base de Software Asset Management
• Gestion des actifs logiciels Professional Core

• Installation logicielle [cmdb_sam_sw_install]
• Modèles logiciels [cmdb_software_product_model]

Établissez des pratiques de codage sécurisées adaptées au langage de programmation et à l’environnement de développement utilisés.

S’assurer qu’il existe des plans d’intervention écrits qui définissent les rôles du personnel ainsi que les phases de traitement/gestion des incidents.