{"id":198,"date":"2024-07-18T12:22:10","date_gmt":"2024-07-18T10:22:10","guid":{"rendered":"https:\/\/bonneville.expert\/?page_id=198"},"modified":"2024-07-18T13:59:03","modified_gmt":"2024-07-18T11:59:03","slug":"les-12-travaux-de-votre-securite","status":"publish","type":"page","link":"https:\/\/bonneville.expert\/index.php\/les-12-travaux-de-votre-securite\/","title":{"rendered":"Les bonnes questions !"},"content":{"rendered":"\n

La gestion des risques<\/strong><\/p>\n\n\n\n

1\/12 – P\u00e9rim\u00e8tre – Internet. <\/strong><\/p>\n\n\n\n

Audit de s\u00e9curit\u00e9 sur la navigation internet des utilisateurs :<\/strong><\/p>\n\n\n\n

Le r\u00e9seau informatique dispose-t-il d’un \u00e9quipement capable de filtrer les URL visit\u00e9es (proxy ou firewall) ? <\/p>\n\n\n\n

Dispose-t-il de cat\u00e9gories \u00e0 risques bloqu\u00e9es comme Phishing, Command and Control, Malware, Hacking, Proxy, Adulte, etc. ?  <\/p>\n\n\n\n

Est-il capable d’authentifier les utilisateurs (couplage AD, Kerberos, portail captif, etc.) ?<\/p>\n\n\n\n

Y a-t-il des logs des URL visit\u00e9es qui sont conserv\u00e9es et analysables (rapport sur l’usage, etc.) ?<\/p>\n\n\n\n

L’\u00e9quipement de filtrage est-il capable de faire de la d\u00e9tection applicative ?<\/p>\n\n\n\n

Le r\u00e9seau dispose-t-il d’un \u00e9quipement capable de faire de la d\u00e9tection antimalware ?<\/p>\n\n\n\n

La d\u00e9tection est-elle active sur les principaux vecteurs de propagation (http, smtp, imap, pop, ftp, smb, etc.) ?<\/p>\n\n\n\n

L’analyse supporte-t-elle diff\u00e9rents formats de fichiers (exe, doc, excel, pdf, apk, jar, archives, flash, etc.) ?  L’\u00e9quipement est-il capable de faire du decrypt SSL et celui-ci est-il activ\u00e9 ?<\/p>\n\n\n\n

La solution est-elle capable de faire une analyse dynamique du fichier et non statique bas\u00e9e sur un hash ?Le r\u00e9seau dispose-t-il d’un \u00e9quipement capable de faire de la d\u00e9tection contre les intrusions ?<\/p>\n\n\n\n

2\/12 – P\u00e9rim\u00e8tre – DMZ. <\/strong><\/p>\n\n\n\n

Si des services sont publi\u00e9s \u00e0 destination d’internet, il est important d’assurer la s\u00e9curit\u00e9 informatique contre les attaques opportunistes comme les attaques cibl\u00e9es. <\/strong><\/p>\n\n\n\n

Une zone cloisonn\u00e9e appel\u00e9e DMZ est-elle en place pour isoler les serveurs publi\u00e9s sur internet du LAN ?<\/p>\n\n\n\n

Les ports ouverts sur internet sont-ils identifi\u00e9s, limit\u00e9s et n\u00e9cessaires ?<\/p>\n\n\n\n

Un filtre IPS strict est-il en place sur le trafic entrant ? <\/p>\n\n\n\n

Voire un Web Application Firewall dans le cadre d’une application web ?  <\/p>\n\n\n\n

3\/12 – Cloisonnement LAN. <\/strong><\/p>\n\n\n\n

Un ransomware type Wannacry ou tout autre piratage peut arriver m\u00eame si on se pense \u00e0 l’abri. Par cons\u00e9quent, il est primordial de limiter l’impact de l’intrusion par un cloisonnement r\u00e9seau. Quel que soit le sc\u00e9nario, l’intrusion doit \u00eatre limit\u00e9e \u00e0 un pourcentage raisonnable de postes et de serveurs afin de ne pas mettre en p\u00e9ril votre entreprise.<\/strong><\/p>\n\n\n\n

Y a-t-il un cloisonnement strict entre les serveurs support de l’infrastructure et les autres serveurs et utilisateurs ?<\/p>\n\n\n\n

Y a-t-il un cloisonnement ou bien des r\u00e8gles de filtrage fines, voire un IPS entre diff\u00e9rents groupes d’utilisateurs (standard, VIP), entre les utilisateurs et les serveurs m\u00e9tiers, entre les groupes de serveurs m\u00e9tiers ou encore entre les sites ?<\/p>\n\n\n\n

4\/12 – Authentification. <\/strong><\/p>\n\n\n\n

La gestion des acc\u00e8s est au c\u0153ur des probl\u00e9matiques de s\u00e9curit\u00e9. Il s’agit de faciliter l’acc\u00e8s autoris\u00e9 aux diff\u00e9rents services tout en les prot\u00e9geant contre les acc\u00e8s non permis. <\/strong><\/p>\n\n\n\n

Les utilisateurs arrivent-ils facilement \u00e0 retenir leurs mots de passe sans l’\u00e9crire et \u00e0 acc\u00e9der aux diff\u00e9rents services ?  <\/p>\n\n\n\n

Les authentifications sont-elles centralis\u00e9es ?  <\/p>\n\n\n\n

Le nombre de mots de passe \u00e0 conna\u00eetre est-il raisonnable ?<\/p>\n\n\n\n

Les utilisateurs qui ont la n\u00e9cessit\u00e9 d’avoir beaucoup d’identifiants diff\u00e9rents (services externes non maitris\u00e9s par la DSI) ont-ils un gestionnaire de mot de passe robuste ?  <\/p>\n\n\n\n

Les services critiques et les acc\u00e8s externes disposent-ils d’une authentification forte ? Les anciens utilisateurs sont-ils d\u00e9sactiv\u00e9s ?<\/p>\n\n\n\n

5\/12 – Mises \u00e0 jour. <\/strong><\/p>\n\n\n\n

Il est possible de consid\u00e9rer que tout syst\u00e8me logiciel comporte des failles non d\u00e9couvertes. Cependant, les \u00e9diteurs font de plus en plus d’efforts pour chercher les failles sur leurs propres logiciels. Ils proposent m\u00eame des primes en cas de d\u00e9couverte par un tiers ! Il y a donc r\u00e9guli\u00e8rement des mises \u00e0 jour de s\u00e9curit\u00e9 sur les composantes logicielles dont les codes d’exploitation sont connus ou vont le devenir.<\/strong><\/p>\n\n\n\n

Y a-t-il une strat\u00e9gie de mise \u00e0 jour des syst\u00e8mes d’exploitation (clients et serveurs) ?<\/p>\n\n\n\n

Tous les logiciels d’un syst\u00e8me sont-ils ma\u00eetris\u00e9s ?  <\/p>\n\n\n\n

Y a-t-il une strat\u00e9gie de mise \u00e0 jour des logiciels ?<\/p>\n\n\n\n

Les logiciels ne pouvant pas \u00eatre mis \u00e0 jour et comportant des vuln\u00e9rabilit\u00e9s sont-ils connus et y a-t-il une strat\u00e9gie de minimisation du risque ?<\/p>\n\n\n\n

6\/12 – Antivirus et plus. <\/strong><\/p>\n\n\n\n

Un antivirus aujourd’hui est un outil de s\u00e9curit\u00e9 destin\u00e9 \u00e0 prot\u00e9ger le poste de travail et le serveur. Il int\u00e8gre souvent une suite d’outils de s\u00e9curit\u00e9 comme l’antivirus, l’analyse comportementale, l’IPS, la sandbox, l’antispam, l’antiphishing, l’analyse des pages web, l’audit du poste notamment.<\/strong><\/p>\n\n\n\n

Les postes de travail et les serveurs sont-ils prot\u00e9g\u00e9s contre les codes malveillants connus ? <\/p>\n\n\n\n

La solution d\u00e9ploy\u00e9e dispose-t-elle d’une suite d’outils de s\u00e9curit\u00e9 renfor\u00e7ant son efficacit\u00e9 au-del\u00e0 de la base de signatures connues ? <\/p>\n\n\n\n

Une console de gestion centralis\u00e9e permet-elle le d\u00e9ploiement de strat\u00e9gie de s\u00e9curit\u00e9 et autres fonctions avanc\u00e9es (audit, monitoring, d\u00e9ploiement de mise \u00e0 jour, etc.) ?<\/p>\n\n\n\n

7\/12 – Chiffrement. <\/strong><\/p>\n\n\n\n

En cas de perte\/vol d’un p\u00e9riph\u00e9rique (T\u00e9l\u00e9phone, PC portable), le chiffrement est le rempart qui permet de limiter la perte \u00e0 un cout mat\u00e9riel. M\u00eame chose dans un r\u00e9seau, le chiffrement point \u00e0 point est ce qui permet d’emp\u00eacher l’interception de donn\u00e9es et l’usurpation.<\/strong><\/p>\n\n\n\n

Tous les p\u00e9riph\u00e9riques nomades embarquant potentiellement des donn\u00e9es ou identifiants de l’entreprise sont-ils chiffr\u00e9s ?  <\/p>\n\n\n\n

Les acc\u00e8s distants sont-ils chiffr\u00e9s (VPN) ?  <\/p>\n\n\n\n

Les acc\u00e8s m\u00e9tiers de l’entreprise sont-ils chiffr\u00e9s ?<\/p>\n\n\n\n

8\/12 – Sauvegarde \/ PRA \/ PCA. <\/strong><\/p>\n\n\n\n

La sauvegarde est \u00e0 cat\u00e9goriser dans \u00ab r\u00e9cup\u00e9ration \u00bb et non pas \u00ab pr\u00e9vention \u00bb ou \u00ab protection \u00bb. C’est \u00e9videmment une des solutions qui permet \u00e0 l’entreprise de reprendre son activit\u00e9 en cas d’incident majeur.<\/strong><\/p>\n\n\n\n

Les donn\u00e9es les plus importantes sont-elles biens incluses dans les jeux de sauvegarde ? <\/p>\n\n\n\n

Les RTO (dur\u00e9e de restauration donc temps d’indisponibilit\u00e9) et RPO (temps depuis la derni\u00e8re sauvegarde, donc donn\u00e9es perdues) sont-ils en ad\u00e9quation avec le besoin ?<\/p>\n\n\n\n

La sauvegarde est-elle supervis\u00e9e ?  <\/p>\n\n\n\n

La sauvegarde fonctionne-t-elle ?<\/p>\n\n\n\n

Arrive-t-on \u00e0 restaurer les diff\u00e9rents types de donn\u00e9es ? <\/p>\n\n\n\n

La sauvegarde est-elle externalis\u00e9e ? <\/p>\n\n\n\n

Y a-t-il un Plan de Reprise d’Activit\u00e9 (PRA) pour tous les sc\u00e9narios probables ?<\/p>\n\n\n\n

Les RTO et RPO sont-ils en ad\u00e9quation avec le besoin ?<\/p>\n\n\n\n

9\/12 – BYOD (Bring Your Own Device). <\/strong><\/p>\n\n\n\n

Avec la multiplication des acc\u00e8s cloud et la mobilit\u00e9, la situation d’un utilisateur qui utilise un appareil personnel \u00e0 des fins professionnelles est courante. Cependant, cet usage pr\u00e9sente un risque, car l’appareil n’est pas ma\u00eetris\u00e9 et s\u00e9curis\u00e9 alors qu’il poss\u00e8de des acc\u00e8s et des donn\u00e9es de l’entreprise.<\/strong><\/p>\n\n\n\n

Si l’usage BYOD est autoris\u00e9, est-il encadr\u00e9 ?  <\/p>\n\n\n\n

L’usage non maitris\u00e9 ou non autoris\u00e9 du BYOD est-il impossible ?<\/p>\n\n\n\n

10\/12 – Politique de s\u00e9curit\u00e9 informatique. <\/strong><\/p>\n\n\n\n

Une politique de s\u00e9curit\u00e9 est un document (ou un ensemble de documents) qui indique les r\u00e8gles de s\u00e9curit\u00e9 de l’entreprise.<\/strong><\/p>\n\n\n\n

Disposez-vous d’une politique de s\u00e9curit\u00e9 ? <\/p>\n\n\n\n

Couvre-t-elle tous les sujets importants ? <\/p>\n\n\n\n

Est-elle applicable en condition r\u00e9elle ?<\/p>\n\n\n\n

Les personnes concern\u00e9es sont-elles inform\u00e9es de son existence ? <\/p>\n\n\n\n

11\/12 – Sensibilisation. <\/strong><\/p>\n\n\n\n

Il n’y a pas de mise \u00e0 jour de s\u00e9curit\u00e9 pour les humains. Pourtant avec la sensibilisation il est possible de r\u00e9duire le risque humain et de gagner en s\u00e9curit\u00e9. <\/strong><\/p>\n\n\n\n

Les utilisateurs sont-ils sensibilis\u00e9s au risque informatique (phishing, malware, vol de donn\u00e9es, etc.) ? <\/p>\n\n\n\n

Des actions de sensibilisation et des rappels r\u00e9guliers sont-ils effectu\u00e9s ?<\/p>\n\n\n\n

Les nouveaux arrivants sont-ils inform\u00e9s du risque ?<\/p>\n\n\n\n

12\/12 – Prestataires. <\/strong><\/p>\n\n\n\n

Les prestataires n’appartiennent pas directement au syst\u00e8me d’information de l’entreprise et pourtant ils peuvent \u00eatre le maillon faible de la s\u00e9curit\u00e9. <\/strong><\/p>\n\n\n\n

Les prestataires ont-ils ratifi\u00e9 votre politique de s\u00e9curit\u00e9 ? <\/p>\n\n\n\n

Les prestataires ont-ils de la donn\u00e9e ou des acc\u00e8s depuis leur propre mat\u00e9riel ?<\/p>\n\n\n\n

Si oui ont-ils \u00e9t\u00e9 audit\u00e9s ou bien ont-ils montr\u00e9 leur niveau de s\u00e9curit\u00e9 en ad\u00e9quation avec celui de votre syst\u00e8me d’information ? <\/p>\n\n\n\n

Si votre r\u00e9ponse est \u00ab\u00a0oui\u00a0\u00bb \u00e0 tous ces points, bravo ! Sinon, contactez moi …<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

La gestion des risques 1\/12 – P\u00e9rim\u00e8tre – Internet. Audit de s\u00e9curit\u00e9 sur la navigation internet des utilisateurs : Le r\u00e9seau informatique dispose-t-il d’un \u00e9quipement capable de filtrer les URL visit\u00e9es (proxy ou firewall) ? Dispose-t-il de cat\u00e9gories \u00e0 risques bloqu\u00e9es comme Phishing, Command and Control, Malware, Hacking, Proxy, Adulte, etc. ?  Est-il capable d’authentifier […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"","_seopress_social_fb_title":"","_seopress_social_fb_desc":"","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"","_seopress_social_twitter_desc":"","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","footnotes":""},"class_list":["post-198","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/pages\/198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/comments?post=198"}],"version-history":[{"count":11,"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/pages\/198\/revisions"}],"predecessor-version":[{"id":213,"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/pages\/198\/revisions\/213"}],"wp:attachment":[{"href":"https:\/\/bonneville.expert\/index.php\/wp-json\/wp\/v2\/media?parent=198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}