L'approche RSSI: Contrôle d'accès

Politique de contrôle d’accès

L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées comme importantes ou vitales, est réservé aux personnes autorisées et est interdit à toute autre personne, qu’elle soit interne ou externe à “l’organisation”.

e droit d’accès à chacune des ressources est accordé par le responsable des données, tel que défini dans la section 2 “Attributions des responsabilités”. Il définit également le type d’accès aux informations: lecture seule, modification ou droit de suppression.

C’est lui qui peut accorder, faire modifier ou supprimer tout droit d’accès à ces données.

La création du droit d’accès est techniquement mise en œuvre par le responsable de l’informatique.

Appliquer des mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Mesures organisationnelles directement liées:

• Classification et maîtrise des ressources
• Classification et responsabilité des ressources
• Sécurité physique et environnementale
• Périmètre de sécurité physique
• Aspects opérationnels et communications
• Procédures documentées
• Contrôle d’accès
• Gestion des droits d’accès
• Séparation de réseaux
• Procédure de connexion
• Conformité
• Protection des données opérationnelles
• Protection des données à caractère personnel

Mesures techniques:

• l’authentification

Gestion des droits d’accès

Avant de créer un compte personnel pour un utilisateur, le responsable informatique s’assure que les gestionnaires des données ont donné leur accord pour l’accès aux différents groupes d’utilisateurs, disques, répertoires et applications. Il en profite pour passer en revue les membres des groupes et leurs droits.

Appliquer des mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Mesures organisationnelles directement liées:

• Classification et maîtrise des ressources
• Classification et responsabilité des ressources
• Aspects opérationnels et communications
• Procédures documentées
• Protection contre les logiciels malveillants
• Contrôle d’accès
• Politique de contrôle d’accès
• Gestion des mots de passe
• Séparation de réseaux
• Procédure de connexion

Mesures techniques:

• l’authentification

Gestion des mots de passe

Appliquer des mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Mesures organisationnelles directement liées:

• Aspects humains
• La formation et l’information
• Contrôle d’accès
• Politique de contrôle d’accès
• Gestion des droits d’accès
• Procédure de connexion

Mesures techniques:

• l’authentification
• les mots de passe

Utilisation de réseaux externes

La connexion à des réseaux externes, et en particulier à l’Internet, doit se faire dans des conditions appropriées.

Voici quelques scénarios possibles:

Appliquer dans mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Mesures organisationnelles directement liées:

• les sites web malicieux

Mesures organisationnelles directement liées:

• Aspects humains
• La formation et l’information
• La réponse aux incidents et dysfonctionnements de sécurité
• Aspects opérationnels et communications
• Procédures documentées
• Protection contre les logiciels malveillants
• Courrier électronique
• Contrôle d’accès
• Politique de contrôle d’accès
• Gestion des droits d’accès
• Séparation de réseaux
• Développement et maintenance des systèmes
• Utilisation du chiffrement
• Gestion des vulnérabilités techniques
• Gestion des incidents liés à la sécurité
• Signalement des événements liés à la sécurité de l’information

Mesures techniques:

• l’anti-virus
• le pare-feu
• le firewall entreprise
• le filtre web

Connexion de l’extérieur

La connexion depuis un réseau extérieur vers les systèmes de “l’organisation” doit être restreinte aux cas indispensables. A ces occasions, la connexion se fait de façon préférentielle via VPN.

Appliquer des mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Mesures organisationnelles directement liées:

• Organisation de la sécurité
• Accès par des tiers et sous-traitance
• Aspects humains
• La formation et l’information
• La réponse aux incidents et dysfonctionnements de sécurité
• Aspects opérationnels et communications
• Procédures documentées
• Contrôle d’accès
• Politique de contrôle d’accès
• Gestion des droits d’accès
• Séparation de réseaux
• Procédure de connexion
• Développement et maintenance des systèmes
• Utilisation du chiffrement
• Gestion des vulnérabilités techniques
• Gestion des incidents liés à la sécurité
• Signalement des événements liés à la sécurité de l’information
• Conformité
• Protection des données opérationnelles
• Protection des données à caractère personnel

Mesures techniques:

• le firewall entreprise
• VPN

Séparation de réseaux

Dans le cadre de réseaux plus complexes comprenant différentes zones de sécurité, le pare-feu est utilisé pour séparer ces différents réseaux.

Le pare-feu est configuré de façon à laisser uniquement passer les flux et les utilisateurs autorisés.

Si une machine est trop sensible, elle est isolée du reste des systèmes, physiquement et/ou logiquement.

Voir aussi: La segmentation de réseau

Appliquer des mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Procédures de connexion

Les écrans d’accueil sur les différents systèmes sont configurés de manière à:

• donner le minimum d’informations, et de préférence aucune sur le système, l’application et “l’organisation”, tant que l’utilisateur ne s’est pas correctement identifié;
• afficher un message du type “Accès interdit à toute personne non autorisée”;
• limiter le nombre de tentatives à 3 essais avant de refuser l’utilisateur;
• afficher, si possible, la date et l’heure de la dernière connexion, ainsi que les tentatives de connexion. Ces informations sont à vérifier par l’utilisateur pour s’assurer qu’il n’y a pas eu de connexion frauduleuse à son insu.