Contrôle d’accès

Ce thème a pour objectif de maîtriser l’accès à l’information, de contrôler l’accès des utilisateurs autorisés et empêcher les accès non-autorisés, d’éviter la compromission ou le vol d’informations ou de moyens de traitement de l’information.

11.1 Exigences métier relatives au contrôle d’accès

11.1.1 Politique de contrôle d’accès

On cherche à savoir :

Si votre politique de contrôle d’accès s’appuie sur vos besoins de sécurité ainsi que sur vos besoins métiers.
Si le deux aspects, physique et logique, sont pris en compte.
Si les utilisateurs et services ont clairement exprimé leurs besoins en terme de contrôle de d’accès.

11.2 Gestion de l’accès utilisateur

11.2.1 Enregistrement des utilisateurs

On cherche à savoir :

Si une procédure formelle d’inscription et de désinscription pour accéder aux ressources du SI est appliquée.

11.2.2 Gestion des privilèges

On cherche à savoir :

Si la distribution des autorisations au sein du SI est restreinte et contrôlée. Par exemple, est-ce que les autorisations sont accordées sur la base de besoins précis, et font-ils l’objet d’un processus d’approbation formel.

11.2.3 Gestion du mot de passe utilisateur

On cherche à savoir :

Si l’initialisation, ainsi que la réinitialisation des mots de passe utilisateur sont régis par une procédure de gestion formalisée.
Si une demande explicite de garantir le secret des mots de passe est exprimée aux utilisateurs.

11.2.4 Réexamen des droits d’accès utilisateurs

On cherche à savoir :

Si des revues de droits accordés sont menées à intervalles réguliers, et si ces intervalles sont cohérents avec les niveaux de sensibilités des privilèges. Par exemple, tous les 6 mois pour les privilèges de bases, et tous les 3 mois pour les privilèges spéciaux.

11.3 Responsabilités utilisateurs

11.3.1 Utilisation du mot de passe

On cherche à savoir :

Si des conseils sont fournis aux utilisateurs sur la manière de construire un mot de passe solide et comment le garantir sa confidentialité.

11.3.2 Matériel utilisateur laissé sans surveillance

On cherche à savoir :

Si les utilisateurs et prestataires sont sensibilisés au fait de verrouiller leur poste de travail lorsqu’ils s’absentent.

11.3.3 Politique du bureau propre

On cherche à savoir :

Si des consignes existent sur le fait de ne pas laisser de documents ou de médias de stockage sur leur bureau lorsqu’ils s’absentent.

11.4 Contrôle d’accès au réseau

11.4.1 Politique relative à l’utilisation des services réseau

On cherche à savoir :

Si les règles de filtrage réseau relatives aux utilisateurs se limitent strictement à leurs besoins.
Si une politique relative à l’utilisation des réseaux est définie.

11.4.2 Authentification de l’utilisateur pour les connexions externes

On cherche à savoir :

Si des mécanismes d’authentification appropriés sont employés pour le contrôle des connexions utilisateurs depuis l’extérieur.

11.4.3 Identification des matériels en réseau

On cherche à savoir :

Si une authentification des matériels (ex. certificat machine) est demandée pour accéder à tout ou partie du réseau.

11.4.4 Protection des ports de diagnostic et de configuration à distance

On cherche à savoir :

Si l’accès aux interfaces physiques de diagnostic et de configuration des équipements est sécurisé.
Si l’accès aux interfaces logiques de diagnostic et de configuration des équipements est sécurisé.

11.4.5 Cloisonnement des réseaux

On cherche à savoir :

Si les réseaux de développement, de recette, et de production sont isolés les uns des autres.
Si l’administration des systèmes s’effectue par l’intermédiaire d’un réseau dédié.
Si le trafic entre le ou les réseaux wifi et le réseau physique est filtré.
Si un réseau « Invité » dédié existe.

11.4.6 Mesure relative à la connexion réseau

On cherche à savoir :

Si une politique encadre le contrôle des accès depuis des environnements réseaux partagés et particulièrement ceux s’étendant en-dehors du périmètre de l’entreprise.

11.4.7 Contrôle du routage réseau

On cherche à savoir :

Si les moyens de contrôle du routage sont en place et s’ils sont définis par une politique de contrôle d’accès.

11.5 Contrôle d’accès au système d’exploitation

11.5.1 Ouverture de session sécurisée

On cherche à savoir :

Si l’ouverture de session est sécurisée.

11.5.2 Identification et authentification de l’utilisateur

On cherche à savoir :

Si un identifiant unique est fourni à chaque utilisateurs, opérateurs, et administrateurs.
Si des techniques d’authentification forte sont employées.
Si l’utilisation de compte générique se limite à quelques cas exceptionnels justifiés par un besoin métier fort.

11.5.3 Système de gestion des mots de passe

On cherche à savoir :

Si des systèmes de gestion des mots de passe sont employés pour imposer certaines actions comme leur renouvellement régulier, leur stockage sous forme chiffré, etc…

11.5.4 Emploi des utilitaires systèmes

On cherche à savoir :

Si l’utilisation des utilitaires systèmes pouvant outrepasser certains contrôles systèmes et applicatifs est restreinte et finement contrôlée.

11.5.5 Déconnexion automatique des sessions inactives

On cherche à savoir :

Si des mécanismes de déconnexion automatique des sessions inactives sont en place.

11.5.6 Limitation du temps de connexion

On cherche à savoir :

Si des restrictions sont appliquées par rapport aux heures et durées de connexion pour les applications sensibles.

11.6 Contrôle d’accès aux applications et à l’information

11.6.1 Restriction d’accès à l’information

On cherche à savoir :

Si les restrictions d’accès aux informations et applications sont cohérentes vis-à-vis de la politique de contrôle d’accès.

11.6.2 Isolement des systèmes sensibles

On cherche à savoir :

Si les systèmes sensibles opèrent dans des environnements dédiés.

11.7 Informatique mobile et télétravail

11.7.1 Informatique mobile et télécommunications

On cherche à savoir :

Si une politique formelle encadre l’utilisation d’équipement mobile comme les notebook, laptop, et smartphone.
Si des mesures appropriées sont adopté quant à l’utilisation de ces équipements dans des environnements non-maîtrisé.

11.7.2 Télétravail

On cherche à savoir :

Si une politique et des procédures encadrent le télétravail.
Si le télétravail fait l’objet d’autorisation spécifique et formelle par la direction.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


− sept = 1

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>