Exploitation et réseaux

Ce thème a pour objectif d’assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information, de garantir un niveau de sécurité de l’information et de service conforme aux accords de prestation conclus avec un tiers, réduire autant que possible le risque de pannes du système, protéger l’intégrité de l’information et des logiciels, de maintenir la disponibilité des informations et moyens de traitements de l’information, et la confidentialité des informations sur les réseaux.

10.1 Procédures et responsabilités liées à l’exploitation

10.1.1 Procédures d’exploitation documentées

On cherche à savoir :

Si les procédures opérationnelles sont documentées, si ces documentations sont maintenues à jour, et si elles sont à disposition des personnels concernés.
Si ces procédures, lorsqu’elles existent, sont formalisées et si elles font l’objet d’un suivi du changement avec un processus de validation.

10.1.2 Gestion des modifications

On cherche à savoir :

Si des contrôles portant sur les modifications des systèmes et des moyens de traitements de l’information existent.

10.1.3 Séparation des tâches

On cherche à savoir :

Si les postes et les domaines de responsabilités sont correctement segmentés afin de réduire les possibilités de modification non autorisé ou d’utilisation incorrectes des informations ou services.

10.1.4 Séparation des équipements de dev, test et exploitation

On cherche à savoir :

S’il existe des environnements différents pour les phases de développement, de test et d’exploitation, et également si ces environnements sont bien isolés les uns des autres. Cela concerne les équipements systèmes comme les équipements réseaux.

10.2 Gestion de la prestation de service par un tiers

10.2.1 Prestation de service

On cherche à savoir :

Si des mesures sont prises pour s’assurer que les contrôles de sécurité, les définitions de service, et les engagements de service, qui sont inclus dans les accords de prestation sont correctement implémentés, effectués et maintenus par le prestataire.

10.2.2 Surveillance et réexamen des services tiers

On cherche à savoir :

Si les services, rapports, et journaux, fournis par le prestataire sont régulièrement surveillés et analysés.
Si ces mêmes éléments font l’objet d’audits réguliers.

10.2.3 Gestion des modifications dans les services tiers

On cherche à savoir :

S’il existe un processus de gestion des changements sur les services fournis, incluant les mises à jour et améliorations des politiques de sécurité, procédures, et contrôles.
Les processus impliqués, la réévaluation du risque, et la criticité « business » des systèmes sont-ils pris en compte.

10.3 Planification et acceptation du système

10.3.1 Dimensionnement

On cherche à savoir :

Si les ressources systèmes sont surveillées (RAM, CPU, espace disque…), et si des projections sur les besoins futurs sont réalisées afin de garantir l’avenir les capacités de traitement de l’information.

10.3.2 Acceptation du système

On cherche à savoir :

Si des critères de capacité d’augmentation de charge sont établis pour les systèmes lors de l’ajout de nouveaux services, de mise à jour, et de changement de version.
Si des tests sont menés avant d’effectuer ces opérations.

10.4 Protection contre les codes malveillants et mobiles

10.4.1 Mesures contre les codes malveillants

On cherche à savoir :

Si des moyens de détections, de protections, et de récupérations contre les codes malveillants sont mis en place. Et si les utilisateurs sont formés à réagir en cas d’attaques.

10.4.2 Mesures contre le code mobiles

On cherche à savoir :

Si seul les codes mobiles autorisés sont utilisés.
Si les configurations garantissent que les codes mobiles sont exécutés en accord avec la politique de sécurité.
Si l’exécution de codes mobiles non autorisés est empêchée.

Un code mobile est un code logiciel qui est transféré d’un ordinateur à un autre et qui s’exécute automatiquement. Il assure certaines fonctions spécifiques avec peu ou pas d’intervention utilisateur. Les ActiveX et codes Java en sont un exemples.

10.5 Sauvegarde

10.5.1 Sauvegarde des informations

On cherche à savoir :

Si des sauvegardes sont effectuées et testées régulièrement en accord avec la politique de sauvegarde.
Si toutes les informations et logiciels critique peuvent être restaurés après un désastre ou une panne des systèmes de stockage.

10.6 Gestion de la sécurité des réseaux

10.6.1 Mesures sur les réseaux

On cherche à savoir :

Si le réseau est bien géré et contrôlé pour le protéger des menaces et maintenir la sécurité des systèmes et application l’utilisant, y compris les données transitant à travers.
Si les contrôles en place permettent d’en maîtriser l’accès.

10.6.2 Sécurité des services réseau

On cherche à savoir :

Si les fonctions de sécurité, les niveaux de services et les pré-requis de gestion de l’ensemble des services réseaux sont identifiés et inclus dans des engagements de services réseaux.
Si les capacités des fournisseurs d’accès à gérer les services fournis de manières sécurisés sont définies et régulièrement surveillées.

10.7 Manipulation des supports

10.7.1 Gestion des supports amovibles

On cherche à savoir :

S’il existe des procédures quant à la gestion des supports amovibles (cartouches de sauvegardes, disques externes, etc…) et si ces manipulations font l’objet de rapports.
Si toutes ces procédures, et niveaux d’autorisation sont clairement définis et documentés.

10.7.2 Mise au rebut des supports

On cherche à savoir :

Si les supports de stockage obsolètes sont détruits de façon sécurisées.
Si la destruction de ces supports s’appuie sur des procédures formalisées.

10.7.3 Procédures de manipulation des informations

On cherche à savoir :

S’il existe des procédures portant sur l’exploitation des moyens de stockage de l’information.
Si ces procédures traitent des questions de la protection de l’information contre des divulgations non autorisé ou d’utilisation incorrecte.

10.7.4 Sécurité de la documentation système

On cherche à savoir :

Si la documentation des systèmes est protégée contre les accès non-autorisés.

10.8 Echange des informations

10.8.1 Politiques et procédures d’échange des informations

On cherche à savoir :

S’il existe des politiques formalisées, des procédures, et contrôles concernant l’échange d’information.
Si ces éléments couvrent les échanges par l’intermédiaire de moyens électroniques.

10.8.2 Accords d’échange

On cherche à savoir :

Si des accords sont établis entre l’entreprise et ses partenaires concernant les échanges d’information.
Si la partie sécurité de ces accords reflète la sensibilité des informations échangées.

10.8.3 Supports physiques en transit

On cherche à savoir :

Si les supports de stockage sont protégés contre des accès non-autorisés, des utilisations incorrectes, et des altérations lors de leur transport hors des locaux de l’entreprise.

10.8.4 Messagerie électronique

On cherche à savoir :

Si les informations impliquées dans les échanges par messageries électronique sont correctement protégées.

Les services de messagerie électronique ne se limitent pas qu’aux e-mail, il s’agit de prendre en compte les messageries instantanées et autres moyens assimilés.

10.8.5 Systèmes d’information d’entreprise

On cherche à savoir :

Si des politiques et des procédures sont établies et appliquées pour protéger l’information à travers les interconnexions extérieures du SI.

10.9 Services de commerces électroniques

10.9.1 Commerce électronique

On cherche à savoir :

Si les informations impliquées dans le commerce électronique et passant par des réseaux publics sont protégées contre les activités frauduleuses et autres accès ou modification non-autorisés.
Si des moyens de chiffrement sont employés.
Si les contrats entre partenaires commerciaux détaillent les aspects sécurité.

10.9.2 Transaction en ligne

On cherche à savoir :

Si les informations impliquées dans des transactions en ligne sont protégées contre les transmissions incomplètes, les erreurs de routages, les modification non-autorisées, les divulgations non-autorisées, les copies ou réutilisations non-autorisées.

10.9.3 Informations à disposition du public

On cherche à savoir :

Si l’intégrité des informations à disposition du public est garantie.

10.10 Surveillance

10.10.1 Journaux d’audits

On cherche à savoir :

Si des journaux d’audits enregistrant l’activité des utilisateurs, les alertes, les évènements de sécurité, sont produits et conservés suffisamment longtemps pour permettre d’investiguer en cas d’incident.
Si des mesures appropriées de protection de la vie privée sont appliquées quant aux contenus des journaux d’audits.

10.10.2 Surveillance de l’exploitation du système

On cherche à savoir :

Si des procédures de supervision des systèmes utilisés dans le traitement d’information sont établies et appliquées.
Si les rapports de supervision sont examinés régulièrement.
Si le niveau de supervision requis par chaque moyen de traitement d’information est déterminé par une analyse de risque.

10.10.3 Protection des informations journalisées

On cherche à savoir :

Si les moyens de journalisation et les journaux sont bien protégés contre les tentatives de falsification et les accès non-autorisés.

10.10.4 Journal administrateur et journal des opérations

On cherche à savoir :

Si l’activité des administrateurs et opérateurs systèmes est journalisée.
Si les activités journalisées sont régulièrement examinées.

10.10.5 Rapports de défaut

On cherche à savoir :

Si les alertes de pannes sont journalisées, analysées, et que les actions appropriées sont engagées.
Si le niveau de journalisation de chaque système est déterminé

10.10.6 Synchronisation des horloges

On cherche à savoir :

Si l’ensemble des systèmes synchronisent leur horloge interne sur une source de temps fiable, précise et commune.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


× 7 = quatorze

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>