anssi-guide-hygiene-detail.yaml

urn: urn:intuitem:risk:library:anssi-guide-hygiene-detail
locale: fr
ref_id: ANSSI-GUIDE-HYGIENE-DETAIL
name: "ANSSI - Guide d'hygi\xE8ne informatique - version d\xE9taill\xE9e"
description: "Renforcer la s\xE9curit\xE9 de son syst\xE8me d\u2019information en\
  \ 42 mesures\nVersion d\xE9taill\xE9e\n https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf"
copyright: Licence Ouverte/Open Licence (Etalab - V1)
version: 2
provider: ANSSI
packager: intuitem
dependencies:
- urn:intuitem:risk:library:doc-pol
objects:
  framework:
    urn: urn:intuitem:risk:framework:anssi-guide-hygiene-detail
    ref_id: ANSSI-GUIDE-HYGIENE-DETAIL
    name: "ANSSI - Guide d'hygi\xE8ne informatique - version d\xE9taill\xE9e"
    description: "Renforcer la s\xE9curit\xE9 de son syst\xE8me d\u2019information\
      \ en 42 mesures\nVersion d\xE9taill\xE9e\n https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf"
    implementation_groups_definition:
    - ref_id: S
      name: standard
      description: null
    - ref_id: R
      name: "renforc\xE9"
      description: null
    requirement_nodes:
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i
      assessable: false
      depth: 1
      ref_id: I
      name: Sensibiliser et former
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i
      ref_id: '1'
      name: "Former les \xE9quipes op\xE9rationnelles \xE0 la s\xE9curit\xE9 des syst\xE8\
        mes d\u2019information"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1
      description: "Les \xE9quipes op\xE9rationnelles (administrateurs r\xE9seau,\
        \ s\xE9curit\xE9 et syst\xE8me, chefs de projet, d\xE9veloppeurs, RSSI) ont\
        \ des acc\xE8s privil\xE9gi\xE9s au syst\xE8me d\u2019information. Elles peuvent,\
        \ par inadvertance ou par m\xE9connaissance des cons\xE9quences de certaines\
        \ pratiques, r\xE9aliser des op\xE9rations g\xE9n\xE9ratrices de vuln\xE9\
        rabilit\xE9s.\nCitons par exemple l\u2019affectation de comptes disposant\
        \ de trop nombreux privil\xE8ges par rapport \xE0 la t\xE2che \xE0 r\xE9aliser,\
        \ l\u2019utilisation de comptes personnels pour ex\xE9cuter des services ou\
        \ t\xE2ches p\xE9riodiques, ou encore le choix de mots de passe peu robustes\
        \ donnant acc\xE8s \xE0 des comptes privil\xE9gi\xE9s.\nLes \xE9quipes op\xE9\
        rationnelles, pour \xEAtre \xE0 l\u2019\xE9tat de l\u2019art de la s\xE9curit\xE9\
        \ des syst\xE8mes d\u2019information, doivent donc suivre - \xE0 leur prise\
        \ de poste puis \xE0 intervalles r\xE9guliers - des formations sur :"
      annotation: "V\xE9rifier que les formations sont bien dispens\xE9es aux populations\
        \ suivantes :\n- administrateurs r\xE9seau\n- \xE9quipes s\xE9curit\xE9\n\
        - chefs de projets\n- d\xE9veloppeurs\n- RSSI"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.educ
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
      - urn:intuitem:risk:function:doc-pol:doc.educ_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 la l\xE9gislation en vigueur ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.legal
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 les principaux risques et menaces ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.threat
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 le maintien en condition de s\xE9curit\xE9 ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.mcs
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 l\u2019authentification et le contr\xF4le d\u2019acc\xE8\
        s ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.iam
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 le param\xE9trage fin et le durcissement des syst\xE8mes\
        \ ; "
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.hardening
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 le cloisonnement r\xE9seau ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.network_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1
      description: "\u2022 et la journalisation. "
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:train.logging
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1
      description: "Cette liste doit \xEAtre pr\xE9cis\xE9e selon le m\xE9tier des\
        \ collaborateurs en consid\xE9rant des aspects tels que l\u2019int\xE9gration\
        \ de la s\xE9curit\xE9 pour les chefs de projet, le d\xE9veloppement s\xE9\
        curis\xE9 pour les d\xE9veloppeurs, les r\xE9f\xE9rentiels de s\xE9curit\xE9\
        \ pour les RSSI, etc. "
      annotation: "En plus des formations g\xE9n\xE9rales ci-dessus, v\xE9rifier les\
        \ formations sp\xE9cifiques suivantes :\n- int\xE9gration de la s\xE9curit\xE9\
        \ pour les chefs de projet\n- d\xE9veloppement s\xE9curis\xE9 pour les d\xE9\
        veloppeurs\n- r\xE9f\xE9rentiels de s\xE9curit\xE9 pour les RSSI"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1
      description: "Il est par ailleurs n\xE9cessaire de faire mention de clauses\
        \ sp\xE9cifiques dans les contrats de prestation pour garantir une formation\
        \ r\xE9guli\xE8re \xE0 la s\xE9curit\xE9 des syst\xE8mes d\u2019information\
        \ du personnel externe et notamment les infog\xE9rants."
      annotation: "V\xE9rifier que les contrats avec les infog\xE9rants et autres\
        \ sous-traitants intervenant sur le SI ont bien une clause exigeant le m\xEA\
        me type de formations pour leurs \xE9quipes op\xE9rationnelles."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.supplier
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i
      ref_id: '2'
      name: "Sensibiliser les utilisateurs aux bonnes pratiques \xE9l\xE9mentaires\
        \ de s\xE9curit\xE9 informatique"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2
      description: "Chaque utilisateur est un maillon \xE0 part enti\xE8re de la cha\xEE\
        ne des syst\xE8mes d\u2019information. \xC0 ce titre et d\xE8s son arriv\xE9\
        e dans  l\u2019entit\xE9, il doit \xEAtre inform\xE9 des enjeux de s\xE9curit\xE9\
        , des r\xE8gles \xE0 respecter et des bons comportements \xE0 adopter en mati\xE8\
        re de s\xE9curit\xE9 des syst\xE8mes d\u2019information \xE0 travers des actions\
        \ de sensibilisation et de formation."
      annotation: "V\xE9rifier que les documents remis aux nouveaux arrivants contiennent\
        \ bien une sensibilisation \xE0 la cybers\xE9curit\xE9 et les r\xE8gles \xE0\
        \ respecter."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.accept
      - urn:intuitem:risk:function:doc-pol:pol.educ
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
      - urn:intuitem:risk:function:doc-pol:doc.educ_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2
      description: "Ces derni\xE8res doivent \xEAtre r\xE9guli\xE8res, adapt\xE9es\
        \ aux utilisateurs cibl\xE9s, peuvent prendre diff\xE9rentes formes (mails,\
        \ affichage, r\xE9unions, espace intranet d\xE9di\xE9, etc.) et aborder au\
        \ minimum les sujets suivants :"
      annotation: "V\xE9rifier la r\xE9gularit\xE9 des actions de sensibilisation\
        \ en contr\xF4lant les registres de pr\xE9sence et/ou comptes-rendus."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2
      description: "\u2022 les objectifs et enjeux que rencontre l\u2019entit\xE9\
        \ en mati\xE8re de s\xE9curit\xE9 des syst\xE8mes d\u2019information ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2
      description: "\u2022 les informations consid\xE9r\xE9es comme sensibles ;\n"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2
      description: "\u2022 les r\xE9glementations et obligations l\xE9gales ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2
      description: "\u2022 les r\xE8gles et consignes de s\xE9curit\xE9 r\xE9gissant\
        \ l\u2019activit\xE9 quotidienne : respect de la politique de s\xE9curit\xE9\
        , non-connexion d\u2019\xE9quipements personnels au r\xE9seau de l\u2019entit\xE9\
        , non-divulgation de mots de passe \xE0 un tiers, non-r\xE9utilisation de\
        \ mots de passe professionnels dans la sph\xE8re priv\xE9e et inversement,\
        \ signalement d\u2019\xE9v\xE9nements suspects, etc. ;"
      annotation: "V\xE9rifier qu'il y a bien les consignes suivantes : \n- obligation\
        \ de respect de la politique de s\xE9curit\xE9 ;\n- interdiction de connexion\
        \ d\u2019\xE9quipements personnels au r\xE9seau de l\u2019entit\xE9 ;\n- interdiction\
        \ de partage du mot de passe personnel \xE0 quiconque ; \n- interdiction de\
        \ partage des mots de passe g\xE9n\xE9riques \xE0 un tiers non habilit\xE9\
        \ ;\n- ne pas utiliser le m\xEAme mot de passe dans diff\xE9rents contextes,\
        \ notamment pro/perso ;\n- signaler les \xE9v\xE9nements suspects par un moyen\
        \ qui doit \xEAtre pr\xE9cis\xE9ment d\xE9fini."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2
      description: "\u2022 les moyens disponibles et participant \xE0 la s\xE9curit\xE9\
        \ du syst\xE8me : verrouillage syst\xE9matique de la session lorsque l\u2019\
        utilisateur quitte son poste, outil de protection des mots de passe, etc. "
      annotation: "V\xE9rifier qu'il y a bien les consignes suivantes :\n- verrouiller\
        \ son poste syst\xE9matiquement quand on le quitte ;\n- utiliser le gestionnaire\
        \ de mot de passe fourni par l'entit\xE9 pour g\xE9rer les mots de passe des\
        \ diff\xE9rents comptes g\xE9r\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2
      description: "Pour renforcer ces mesures, l\u2019\xE9laboration et la signature\
        \ d\u2019une charte des moyens informatiques pr\xE9cisant les r\xE8gles et\
        \ consignes que doivent respecter les utilisateurs peut \xEAtre envisag\xE9\
        e."
      annotation: "Utiliser le r\xE8glement int\xE9rieur en y annexant la charte d'utilisation\
        \ \xE9vite de devoir recueillir des signatures."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.internal_rules
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i
      ref_id: '3'
      name: "Ma\xEEtriser les risques de l\u2019infog\xE9rance"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3
      description: "Lorsqu\u2019une entit\xE9 souhaite externaliser son syst\xE8me\
        \ d\u2019information ou ses donn\xE9es, elle doit en amont \xE9valuer les\
        \ risques sp\xE9cifiques \xE0 l\u2019infog\xE9rance (ma\xEEtrise du syst\xE8\
        me d\u2019information, actions \xE0 distance, h\xE9bergement mutualis\xE9\
        , etc.) afin de prendre en compte, d\xE8s la r\xE9daction des exigences applicables\
        \ au futur prestataire, les besoins et mesures de s\xE9curit\xE9 adapt\xE9\
        s. "
      annotation: "V\xE9rifier l'existence, la coh\xE9rence d'une analyse de risque\
        \ sur les risques sp\xE9cifiques li\xE9s \xE0 l'infog\xE9rance, avec notamment\
        \ des mesures de s\xE9curit\xE9 applicables.\nV\xE9rifier la prise en compte\
        \ des mesures de s\xE9curit\xE9 applicables dans les cahiers des charges transmis\
        \ aux prestataires d'infog\xE9rance.\nV\xE9rifier la prise en compte des mesures\
        \ de s\xE9curit\xE9 applicables dans la politique de s\xE9curit\xE9 des fournisseurs\
        \ tiers."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.supplier
      - urn:intuitem:risk:function:doc-pol:doc.risk_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3
      description: "Les risques SSI inh\xE9rents \xE0 ce type de d\xE9marche peuvent\
        \ \xEAtre li\xE9s au contexte de  l\u2019op\xE9ration d\u2019externalisation\
        \ mais aussi \xE0 des sp\xE9cifications contractuelles d\xE9ficientes ou incompl\xE8\
        tes.\nEn faveur du bon d\xE9roulement des op\xE9rations, il s\u2019agit donc\
        \ :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2
      description: "\u2022 d\u2019\xE9tudier attentivement les conditions des offres,\
        \ la possibilit\xE9 de les adapter \xE0 des besoins sp\xE9cifiques et les\
        \ limites de responsabilit\xE9 du prestataire ;"
      annotation: "V\xE9rifier que les \xE9quipes s\xE9curit\xE9 sont bien impliqu\xE9\
        es dans la r\xE9daction des cahiers des charges de prestation d'infog\xE9\
        rance."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.supplier
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2
      description: "\u2022 d\u2019imposer une liste d\u2019exigences pr\xE9cises au\
        \ prestataire : r\xE9versibilit\xE9 du contrat, r\xE9alisation d\u2019audits,\
        \ sauvegarde et restitution des donn\xE9es dans un format ouvert normalis\xE9\
        , maintien \xE0 niveau de la s\xE9curit\xE9 dans le temps, etc."
      annotation: "V\xE9rifier la pr\xE9sence des exigences suivantes dans les cahiers\
        \ des charges d'infog\xE9rance :\n- r\xE9versibilit\xE9 du contrat ;\n- possibilit\xE9\
        \ de r\xE9alisation d\u2019audits ;\n- sauvegarde et restitution des donn\xE9\
        es dans un format ouvert normalis\xE9 ;\n- maintien \xE0 niveau de la s\xE9\
        curit\xE9 dans le temps."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.supplier
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3
      description: "Pour formaliser ces engagements, le prestataire fournira au commanditaire\
        \ un plan d\u2019assurance s\xE9curit\xE9 (PAS)  pr\xE9vu par l\u2019appel\
        \ d\u2019offre. Il s\u2019agit d\u2019un document contractuel d\xE9crivant\
        \ l\u2019ensemble des dispositions sp\xE9cifiques que les candidats s\u2019\
        engagent \xE0 mettre en \u0153uvre pour garantir le respect des exigences\
        \ de s\xE9curit\xE9 sp\xE9cifi\xE9es par l\u2019entit\xE9."
      annotation: "V\xE9rifier l'existence du PAS pour chaque prestataire d'infog\xE9\
        rance, et sa compl\xE9tude par rapport aux exigences ci-dessus."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.sap
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3
      description: "Le recours \xE0 des solutions ou outils non ma\xEEtris\xE9s (par\
        \ exemple h\xE9berg\xE9s dans le nuage) n\u2019est pas ici consid\xE9r\xE9\
        \ comme \xE9tant du ressort de l\u2019infog\xE9rance et par ailleurs d\xE9\
        conseill\xE9 en cas de traitement d\u2019informations sensibles."
      annotation: "V\xE9rifier que les biens sensibles ne sont pas stock\xE9s dans\
        \ des environnements non ma\xEEtris\xE9s, en contr\xF4lant le registre des\
        \ biens sensibles."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.asset_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii
      assessable: false
      depth: 1
      ref_id: II
      name: "Conna\xEEtre le syst\xE8me d'information"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii
      ref_id: '4'
      name: " Identifier les informations et serveurs les plus sensibles et maintenir\
        \ un sch\xE9ma du r\xE9seau"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4
      description: "Chaque entit\xE9 poss\xE8de des donn\xE9es sensibles. Ces derni\xE8\
        res peuvent porter sur son activit\xE9 propre (propri\xE9t\xE9 intellectuelle,\
        \ savoir-faire, etc.) ou sur ses clients, administr\xE9s ou usagers (donn\xE9\
        es personnelles, contrats, etc.). Afin de pouvoir les prot\xE9ger efficacement,\
        \ il est indispensable de les identifier."
      annotation: "V\xE9rifier l'existence d'un registre des biens sensibles. Ce registre\
        \ peut \xE9galement inclure des biens non sensibles, \xE0 condition qu'une\
        \ distinction claire soit effectu\xE9e entre les deux.\nV\xE9rifier qu'une\
        \ politique de s\xE9curit\xE9 couvre  la classification des biens sensibles.\n\
        V\xE9rifier qu'une politique de s\xE9curit\xE9 couvre la gestion des biens\
        \ sensibles."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.asset
      - urn:intuitem:risk:function:doc-pol:pol.classif
      - urn:intuitem:risk:function:doc-pol:doc.asset_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4
      description: "\xC0 partir de cette liste de donn\xE9es sensibles, il sera possible\
        \ de d\xE9terminer sur quels composants du syst\xE8me d\u2019information elles\
        \ se localisent (bases de donn\xE9es, partages de fichiers, postes de travail,\
        \ etc.). Ces composants correspondent aux serveurs et postes critiques pour\
        \ l\u2019entit\xE9. \xC0 ce titre, ils devront faire l\u2019objet de mesures\
        \ de s\xE9curit\xE9 sp\xE9cifiques pouvant porter sur la sauvegarde, la journalisation,\
        \ les acc\xE8s, etc."
      annotation: "V\xE9rifier qu'il est possible de lister les biens supports li\xE9\
        s aux biens sensibles.\nV\xE9rifier que ces biens supports font l'objets de\
        \ mesures de s\xE9curit\xE9 adapt\xE9es \xE0 la sensibilit\xE9 des biens sensibles\
        \ qui y sont attach\xE9s, notamment sur les points suivants :\n- sauvegarde\
        \ et restauration ;\n- journalisation ;\n- contr\xF4le d'acc\xE8s.\n"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.proc_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4
      description: "Il s\u2019agit donc de cr\xE9er et de maintenir \xE0 jour un sch\xE9\
        ma simplifi\xE9 du r\xE9seau (ou cartographie) repr\xE9sentant les diff\xE9\
        rentes zones IP et le plan d\u2019adressage associ\xE9, les \xE9quipements\
        \ de routage et de s\xE9curit\xE9 (pare-feu, relais applicatifs, etc.) et\
        \ les interconnexions avec l\u2019ext\xE9rieur (Internet, r\xE9seaux priv\xE9\
        s, etc.) et les partenaires."
      annotation: "V\xE9rifier l'existence d'une cartographie du SI contenant les\
        \ points suivants :\n- les diff\xE9rentes zones IP et le plan d\u2019adressage\
        \ associ\xE9 ;\n- les \xE9quipements de routage et de s\xE9curit\xE9 (pare-feu,\
        \ relais applicatifs, etc.) ;\n- les interconnexions avec l\u2019ext\xE9rieur\
        \ (Internet, r\xE9seaux priv\xE9s, etc.) et les partenaires."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.is_map
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4
      description: " Ce sch\xE9ma doit \xE9galement permettre de localiser les serveurs\
        \ d\xE9tenteurs d\u2019informations sensibles de l\u2019entit\xE9."
      annotation: "V\xE9rifier que la cartographie du SI permet de localiser les biens\
        \ supports aux biens sensibles."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.is_map
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii
      ref_id: '5'
      name: "Disposer d\u2019un inventaire exhaustif des comptes privil\xE9gi\xE9\
        s et le maintenir \xE0 jour"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5
      description: "Les comptes b\xE9n\xE9ficiant de droits sp\xE9cifiques sont des\
        \ cibles privil\xE9gi\xE9es par les attaquants qui souhaitent obtenir un acc\xE8\
        s le plus large possible au syst\xE8me d\u2019information. Ils doivent donc\
        \ faire l\u2019objet d\u2019une attention toute particuli\xE8re. Il s\u2019\
        agit pour cela d\u2019effectuer un inventaire de ces comptes, de le mettre\
        \ \xE0 jour r\xE9guli\xE8rement et d\u2019y renseigner les informations suivantes\
        \ :"
      annotation: "V\xE9rifier l'existence d'une proc\xE9dure de gestion des comptes\
        \ \xE0 privil\xE8ges, et la pr\xE9sence d'un processus de mise \xE0 jour r\xE9\
        guli\xE8re.\nV\xE9rifier l'existence d'un registre des comptes \xE0 privil\xE8\
        ges, et la fr\xE9quence des mises \xE0 jour."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1
      description: "\u2022 les utilisateurs ayant un compte administrateur ou des\
        \ droits sup\xE9rieurs \xE0 ceux d\u2019un utilisateur standard sur le syst\xE8\
        me d\u2019information ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1
      description: "\u2022 les utilisateurs disposant de suffisamment de droits pour\
        \ acc\xE9der aux r\xE9pertoires de travail des responsables ou de l\u2019\
        ensemble des utilisateurs ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1
      description: "\u2022 les utilisateurs utilisant un poste non administr\xE9 par\
        \ le service informatique et qui ne fait pas l\u2019objet de mesures de s\xE9\
        curit\xE9 \xE9dict\xE9es par la politique de s\xE9curit\xE9 g\xE9n\xE9rale\
        \ de l\u2019entit\xE9. "
      annotation: "V\xE9rifier que de tels postes n'existent pas (recommand\xE9),\
        \ ou qu'\xE0 d\xE9faut ils sont bien recens\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5
      description: "Il est fortement recommand\xE9 de proc\xE9der \xE0 une revue p\xE9\
        riodique de ces comptes afin de s\u2019assurer que les acc\xE8s aux \xE9l\xE9\
        ments sensibles (notamment les r\xE9pertoires de travail et la messagerie\
        \ \xE9lectronique des responsables) soient maitris\xE9s. Ces revues permettront\
        \ \xE9galement de supprimer les acc\xE8s devenus obsol\xE8tes suite au d\xE9\
        part d\u2019un utilisateur par exemple. "
      annotation: "V\xE9rifier l'existence d'une proc\xE9dure de recertification p\xE9\
        riodique des comptes.\nV\xE9rifier l'efficacit\xE9 de la pr\xE9c\xE9dente\
        \ campagne de recertification, notamment la proportion de comptes supprim\xE9\
        s, qui doit \xEAtre coh\xE9rente avec le taux de d\xE9part sur les fonctions\
        \ concern\xE9es."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.recertification
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5
      description: "Enfin, il est souhaitable de d\xE9finir et d\u2019utiliser une\
        \ nomenclature simple et claire pour identifier les comptes de services et\
        \ les comptes d\u2019administration. \nCela facilitera notamment leur revue\
        \ et la d\xE9tection d\u2019intrusion."
      annotation: "V\xE9rifier l'existence d'une r\xE8gle de nommage pour les comptes\
        \ \xE0 privil\xE8ge.\nV\xE9rifier le respect de cette r\xE8gle."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii
      ref_id: '6'
      name: " Organiser les proc\xE9dures d\u2019arriv\xE9e, de d\xE9part et de changement\
        \ de fonction des utilisateurs"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6
      description: "Les effectifs d\u2019une entit\xE9, qu\u2019elle soit publique\
        \ ou priv\xE9e, \xE9voluent sans cesse : arriv\xE9es, d\xE9parts, mobilit\xE9\
        \ interne. Il est par cons\xE9quent n\xE9cessaire que les droits et les acc\xE8\
        s au syst\xE8me d\u2019information soient mis \xE0 jour en fonction de ces\
        \ \xE9volutions. Il est notamment essentiel que l\u2019ensemble des droits\
        \ affect\xE9s \xE0 une personne soient r\xE9voqu\xE9s lors de son d\xE9part\
        \ ou en cas de changement de fonction. Les proc\xE9dures d\u2019arriv\xE9\
        e et de d\xE9part doivent donc \xEAtre d\xE9finies, en lien avec la fonction\
        \ ressources humaines. Elles doivent au minimum prendre en compte :"
      annotation: "V\xE9rifier la prise en compte en lien avec les processus RH des\
        \ d\xE9parts et des arriv\xE9es dans la politique de contr\xF4le d'acc\xE8\
        s et les proc\xE9dures correspondantes.\nV\xE9rifier que les employ\xE9s et\
        \ prestataires ont bien des exigences de confidentialit\xE9 s'appliquant apr\xE8\
        s leur d\xE9part, soit au travers du contrat de travail, soit d'un autre contrat\
        \ (NDA).\nV\xE9rifier que la proc\xE9dure de d\xE9part contient bien un rappel\
        \ des r\xE8gles de confidentialit\xE9 s'appliquant apr\xE8s le d\xE9part."
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1
      description: "\u2022 la cr\xE9ation et la suppression des comptes informatiques\
        \ et bo\xEEtes aux lettres associ\xE9es ;"
      annotation: "V\xE9rifier la suppression effective des comptes et boites aux\
        \ lettres lors d'un d\xE9part."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
      - urn:intuitem:risk:function:doc-pol:proc.hr_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1
      description: "\u2022 la gestion des acc\xE8s physiques aux locaux (attribution,\
        \ restitution des badges et des cl\xE9s, etc.) ;"
      annotation: "V\xE9rifier la suppression effective des moyens d'acc\xE8s phyisques\
        \ (neutralisation du badge, r\xE9cup\xE9ration des cl\xE9s, \u2026).\nV\xE9\
        rifier que cette mesure prend en compte le cas o\xF9 l'utilisateur ne restitue\
        \ pas ses moyens d'acc\xE8s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.physical_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1
      description: "\u2022 l\u2019affectation des \xE9quipements mobiles (ordinateur\
        \ portable, cl\xE9 USB, disque dur, ordiphone, etc.) ;"
      annotation: "V\xE9rifier que les \xE9quipements confi\xE9s aux utilisateurs\
        \ sont bien r\xE9pertori\xE9s.\nV\xE9rifier que la proc\xE9dure RH pr\xE9\
        voit et contr\xF4le la restitution de ces biens lors du d\xE9part.\nV\xE9\
        rifier que des mesures sont pr\xE9vues en cas de non-restitution.\nV\xE9rifier\
        \ que les droits d'acc\xE8s au SI sont r\xE9voqu\xE9s imm\xE9diatement lors\
        \ du d\xE9part, m\xEAme si les \xE9quipements en dotation ne sont pas restitu\xE9\
        s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1
      description: "\u2022 la gestion des documents et informations sensibles (transfert\
        \ de mots de passe, changement des mots de passe ou des codes sur les syst\xE8\
        mes existants)."
      annotation: "V\xE9rifier que la proc\xE9dure d'arriv\xE9e contient bien les\
        \ actions de sensibilisation mentionn\xE9es dans la mesure n\xB02."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.classif
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6
      description: "Les proc\xE9dures doivent \xEAtre formalis\xE9es et mises \xE0\
        \ jour en fonction du contexte."
      annotation: "V\xE9rifier l'exigence de revue des proc\xE9dures RH et la r\xE9\
        gularit\xE9 effective de leur mise \xE0 jour."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.proc_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii
      ref_id: '7'
      name: "Autoriser la connexion au r\xE9seau de l\u2019entit\xE9 aux seuls \xE9\
        quipements ma\xEEtris\xE9s"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7
      description: "Pour garantir la s\xE9curit\xE9 de son syst\xE8me d\u2019information,\
        \ l\u2019entit\xE9 doit ma\xEEtriser les \xE9quipements qui s\u2019y connectent,\
        \ chacun constituant un point d\u2019entr\xE9e potentiellement vuln\xE9rable.\
        \ Les \xE9quipements personnels (ordinateurs portables, tablettes, ordiphones,\
        \ etc.) sont, par d\xE9finition, difficilement ma\xEEtrisables dans la mesure\
        \ o\xF9 ce sont les utilisateurs qui d\xE9cident de leur niveau de s\xE9curit\xE9\
        . De la m\xEAme mani\xE8re, la s\xE9curit\xE9 des \xE9quipements dont sont\
        \ dot\xE9s les visiteurs \xE9chappe \xE0 tout contr\xF4le de l\u2019entit\xE9\
        ."
      annotation: "V\xE9rifier l'existence d'une politique prenant en compte la s\xE9\
        curit\xE9 du r\xE9seau."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7
      description: "Seule la connexion de terminaux ma\xEEtris\xE9s par l\u2019entit\xE9\
        \ doit \xEAtre autoris\xE9e sur ses diff\xE9rents r\xE9seaux d\u2019acc\xE8\
        s, qu\u2019ils soient filaire ou sans fil. Cette recommandation, avant tout\
        \ d\u2019ordre organisationnel, est souvent per\xE7ue comme inacceptable ou\
        \ r\xE9trograde. Cependant, y d\xE9roger fragilise le r\xE9seau de l\u2019\
        entit\xE9 et sert ainsi les int\xE9r\xEAts d\u2019un potentiel attaquant."
      annotation: "V\xE9rifier que cette politique n'autorise que la connexion d'\xE9\
        quipements ma\xEEtris\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.accept
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7
      description: "La sensibilisation des utilisateurs doit donc s\u2019accompagner\
        \ de solutions pragmatiques r\xE9pondant \xE0 leurs besoins. Citons par exemple\
        \ la mise \xE0 disposition d\u2019un r\xE9seau Wi-Fi avec SSID d\xE9di\xE9\
        \ pour les terminaux personnels ou visiteurs."
      annotation: "V\xE9rifier que les \xE9ventuelles d\xE9rogations sont accompagn\xE9\
        es de mesures de s\xE9curit\xE9 adapt\xE9es (par exemple r\xE9seau Wi-Fi invit\xE9\
        )."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7
      description: "Ces am\xE9nagements peuvent \xEAtre compl\xE9t\xE9s par des mesures\
        \ techniques telles que l\u2019authentification des postes sur le r\xE9seau\
        \ (par exemple \xE0 l\u2019aide du standard 802.1X ou d\u2019un \xE9quivalent)."
      annotation: "802.1X est le standard incontournable pour le contr\xF4le d'acc\xE8\
        s r\xE9seau, aussi bien en LAN qu'en Wi-Fi. V\xE9rifier qu'il est bien mis\
        \ en \u0153uvre."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
      - urn:intuitem:risk:function:doc-pol:tech.nac
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      assessable: false
      depth: 1
      ref_id: III
      name: "Authentifier et contr\xF4ler les acc\xE8s"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      ref_id: '8'
      name: "Identifier nomm\xE9ment chaque personne acc\xE9dant au syst\xE8me et\
        \ distinguer les r\xF4les utilisateur/administrateur"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8
      description: "Afin de faciliter l\u2019attribution d\u2019une action sur le\
        \ syst\xE8me d\u2019information en cas d\u2019incident ou d\u2019identifier\
        \ d\u2019\xE9ventuels comptes compromis, les comptes d\u2019acc\xE8s doivent\
        \ \xEAtre nominatifs."
      annotation: "V\xE9rifier que la r\xE8gle de base est l'utilisation de comptes\
        \ nominatifs."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8
      description: "L\u2019utilisation de comptes g\xE9n\xE9riques (ex : admin, user)\
        \ doit \xEAtre marginale et ceux-ci doivent pouvoir \xEAtre rattach\xE9s \xE0\
        \ un nombre limit\xE9 de personnes physiques.\nBien entendu, cette r\xE8gle\
        \ n\u2019interdit pas le maintien de comptes de service, rattach\xE9s \xE0\
        \ un processus informatique (ex : apache, mysqld).\nDans tous les cas, les\
        \ comptes g\xE9n\xE9riques et de service doivent \xEAtre g\xE9r\xE9s selon\
        \ une politique au moins aussi stricte que celle des comptes nominatifs. "
      annotation: "V\xE9rifier que l'utilisation de compte g\xE9n\xE9riques est ma\xEE\
        tris\xE9e. C'est notamment le cas si un bastion est mis en \u0153uvre."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8
      description: "Par ailleurs, un compte d\u2019administration nominatif, distinct\
        \ du compte utilisateur, doit \xEAtre attribu\xE9 \xE0 chaque administrateur.\
        \ Les identifiants et secrets d\u2019authentification doivent \xEAtre diff\xE9\
        rents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant\
        \ administrateur). Ce compte d\u2019administration, disposant de plus de privil\xE8\
        ges, doit \xEAtre d\xE9di\xE9 exclusivement aux actions d\u2019administration.\
        \ De plus, il doit \xEAtre utilis\xE9 sur des environnements d\xE9di\xE9s\
        \ \xE0 l\u2019administration afin de ne pas laisser de traces de connexion\
        \ ni de condensat de mot de passe sur un environnement plus expos\xE9."
      annotation: "V\xE9rifier que les administrateurs ont bien un compte s\xE9par\xE9\
        \ pour r\xE9aliser les actions d'administration.\nV\xE9rifier que les comptes\
        \ normaux des administrateurs n'ont pas de privil\xE8ges d'administration.\n\
        V\xE9rifier que les administrateurs n'utilisent pas leur compte administrateur\
        \ pour effectuer leurs t\xE2ches standard de bureautique.\nV\xE9rifier que\
        \ les administrateurs utilisent leur compte d'administration sur un environnement\
        \ adapt\xE9 (terminal d\xE9di\xE9).\nOn pourra se r\xE9f\xE9rer au guide de\
        \ l'ANSSI : https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8
      description: "D\xE8s que possible la journalisation li\xE9e aux comptes (ex\
        \ : relev\xE9 des connexions r\xE9ussies/\xE9chou\xE9es) doit \xEAtre activ\xE9\
        e."
      annotation: "Un EDR pourra g\xE9rer la journalisation des \xE9checs de connexion."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.monitor
      - urn:intuitem:risk:function:doc-pol:tech.access_log
      - urn:intuitem:risk:function:doc-pol:tech.edr
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      ref_id: '9'
      name: "Attribuer les bons droits sur les ressources sensibles du syst\xE8me\
        \ d\u2019information"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9
      description: "Certaines des ressources du syst\xE8me peuvent constituer une\
        \ source d\u2019information pr\xE9cieuse aux yeux d\u2019un attaquant  (r\xE9\
        pertoires contenant des donn\xE9es sensibles, bases de donn\xE9es, bo\xEE\
        tes aux lettres \xE9lectroniques, etc.). Il est donc primordial d\u2019\xE9\
        tablir une liste pr\xE9cise de ces ressources et pour chacune d\u2019entre\
        \ elles :"
      annotation: "V\xE9rifier l'existence d'un registre des biens sensibles. Ce registre\
        \ peut \xE9galement inclure des biens non sensibles, \xE0 condition qu'une\
        \ distinction claire soit effectu\xE9e entre les deux."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.asset_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1
      description: "\u2022 de d\xE9finir quelle population peut y avoir acc\xE8s ;"
      annotation: "V\xE9rifier que ce registre indique les persones ayant acc\xE8\
        s \xE0 chaque bien sensible."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1
      description: "\u2022 de contr\xF4ler strictement son acc\xE8s, en s\u2019assurant\
        \ que les utilisateurs sont authentifi\xE9s et font partie de la population\
        \ cibl\xE9e ;"
      annotation: "V\xE9rifier la coh\xE9rence des r\xE8gles de contr\xF4le d'acc\xE8\
        s avec ce registre."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
      - urn:intuitem:risk:function:doc-pol:proc.pam
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1
      description: "\u2022 d\u2019\xE9viter sa dispersion et sa duplication \xE0 des\
        \ endroits non ma\xEEtris\xE9s ou soumis \xE0 un contr\xF4le d\u2019acc\xE8\
        s moins strict."
      annotation: "V\xE9rifier que les utilisateurs sont sensibilis\xE9s au fait de\
        \ ne pas diminuer la s\xE9curit\xE9 des biens sensibles, notamment en \xE9\
        vitant de les diffuser par mail  ou de les copier dans des endroits non appropri\xE9\
        s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.accept
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9
      description: "Par exemple, les r\xE9pertoires des administrateurs regroupant\
        \ de nombreuses informations sensibles doivent faire l\u2019objet d\u2019\
        un contr\xF4le d\u2019acc\xE8s pr\xE9cis."
      annotation: "V\xE9rifier que les droits d'acc\xE8s aux r\xE9pertoires des administrateurs\
        \ sont configur\xE9s de fa\xE7on restrictive. "
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9
      description: "Il en va de m\xEAme pour les informations sensibles pr\xE9sentes\
        \ sur des partages r\xE9seau : exports de fichiers de configuration, documentation\
        \ technique du syst\xE8me d\u2019information, bases de donn\xE9es m\xE9tier,\
        \ etc."
      annotation: "V\xE9rifier que les partages r\xE9seau ne contiennent pas d'information\
        \ sensible, ou que le contr\xF4le d'acc\xE8s correspondant est effectif pour\
        \ limiter le besoin d'en conna\xEEtre."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9
      description: "Une revue r\xE9guli\xE8re des droits d\u2019acc\xE8s doit par\
        \ ailleurs \xEAtre r\xE9alis\xE9e afin d\u2019identifier les acc\xE8s non\
        \ autoris\xE9s."
      annotation: "V\xE9rifier qu'une revue p\xE9riodique des droits d'acc\xE8s est\
        \ r\xE9alis\xE9e."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.recertification
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      ref_id: '10'
      name: "D\xE9finir et v\xE9rifier des r\xE8gles de choix et de dimensionnement\
        \ des mots de passe"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10
      description: "L\u2019ANSSI \xE9nonce un ensemble de r\xE8gles et de bonnes pratiques\
        \ en mati\xE8re de choix et de dimensionnement des mots de passe. Parmi les\
        \ plus critiques de ces r\xE8gles figure la sensibilisation des utilisateurs\
        \ aux risques li\xE9s au choix d\u2019un mot de passe qui serait trop facile\
        \ \xE0 deviner, ou encore la r\xE9utilisation de mots de passe d\u2019une\
        \ application \xE0 l\u2019autre et plus particuli\xE8rement entre messageries\
        \ personnelles et professionnelles."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 couvre bien la gestion\
        \ des mots de passe et qu'elle est mise en oeuvre.\nVoir le guide ANSSI :\
        \ Recommandations relatives \xE0 l'authentification multifacteur et aux mots\
        \ de passe.\nDepuis 2024, il est important de prendre en compte les recommandations\
        \ NIST-SP800-63B sur le renouvellement des mots de passe. En particulier,\
        \ il n'est plus recommand\xE9 d'exiger une rotation p\xE9riodique, car cette\
        \ approche s'av\xE8re contre-productive."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10
      description: "Pour encadrer et v\xE9rifier l\u2019application de ces r\xE8gles\
        \ de choix et de dimensionnement, l\u2019entit\xE9 pourra recourir \xE0 diff\xE9\
        rentes mesures parmi lesquelles :"
      annotation: "V\xE9rifier la mise en \u0153uvre de mesures techniques correpondant\
        \ \xE0 la politique de gestion des mots de passe, quand cela est techniquement\
        \ possible."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2
      description: "\u2022 le blocage des comptes \xE0 l\u2019issue de plusieurs \xE9\
        checs de connexion ;"
      annotation: "V\xE9rifier que les comptes sont bloqu\xE9s temporairement ou d\xE9\
        finitivement apr\xE8s un certain nombre d'\xE9checs (par exemple 10)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2
      description: "\u2022 la d\xE9sactivation des options de connexion anonyme ;"
      annotation: "V\xE9rifier que les connexions anonymes sont impossibles."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2
      description: "\u2022 l\u2019utilisation d\u2019un outil d\u2019audit de la robustesse\
        \ des mots de passe."
      annotation: "V\xE9rifier que les mots de passe sont r\xE9guli\xE8rement v\xE9\
        rifi\xE9s par un outil de d\xE9tection de mots de passe faibles.\nV\xE9rifier\
        \ qu'en cas de d\xE9tection d'un mot de passe faible, l'utilisateur est bien\
        \ contraint de le changer."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10
      description: "En amont de telles proc\xE9dures, un effort de communication visant\
        \ \xE0 expliquer le sens de ces r\xE8gles et \xE9veiller les consciences sur\
        \ leur importance est fondamental."
      annotation: "V\xE9rifier que le plan de sensibilisation de la mesure n\xB02\
        \ prend bien en compte les r\xE8gles de gestion des mots de passe."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      ref_id: '11'
      name: "Prot\xE9ger les mots de passe stock\xE9s sur les syst\xE8mes"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11
      description: "La complexit\xE9, la diversit\xE9 ou encore l\u2019utilisation\
        \ peu fr\xE9quente de certains mots de passe, peuvent encourager leur stockage\
        \ sur un support physique\n(m\xE9mo, post-it) ou num\xE9rique (fichiers de\
        \ mots de passe, envoi par mail \xE0 soi-m\xEAme, recours aux boutons \xAB\
        \ Se souvenir du mot de passe \xBB) afin de pallier\ntout oubli ou perte.\n\
        Or, les mots de passe sont une cible privil\xE9gi\xE9e par les attaquants\
        \ d\xE9sireux d\u2019acc\xE9der au syst\xE8me, que cela fasse suite \xE0 un\
        \ vol ou \xE0 un \xE9ventuel partage du support de stockage. C\u2019est pourquoi\
        \ ils doivent imp\xE9rativement \xEAtre prot\xE9g\xE9s au moyen de solutions\
        \ s\xE9curis\xE9es au premier rang desquelles figurent l\u2019utilisation\
        \ d\u2019un coffre-fort num\xE9rique et le recours \xE0 des m\xE9canismes\
        \ de chiffrement."
      annotation: "En 2025, l'usage d'un gestionnaire de mots de passe est primordiale.\
        \ Les mots de passe doivent \xEAtre g\xE9n\xE9r\xE9s et avoir plus de 17 caract\xE8\
        res (>100 bits d'entropie).\nV\xE9rifier la mise en \u0153uvre effective d'un\
        \ gestionnaire de mots de passe.\nV\xE9rifier que le gestionnaire de mot de\
        \ passe s\xE9curise les informations par chiffrement."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.password_manager
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11
      description: "Bien entendu, le choix d\u2019un mot de passe pour ce coffre-fort\
        \ num\xE9rique doit respecter les r\xE8gles \xE9nonc\xE9es pr\xE9c\xE9demment\
        \ et \xEAtre m\xE9moris\xE9 par l\u2019utilisateur, qui n\u2019a plus que\
        \ celui-ci \xE0 retenir."
      annotation: "V\xE9rifier que les utilisateurs sont sensibilis\xE9s \xE0 la bonne\
        \ gestion de leur mot de passe ma\xEEtre, notamment l'importance d'une complexit\xE9\
        \ suffisante, et la n\xE9cessit\xE9 de le changer en cas de compromission\
        \ (mais pas forc\xE9ment de fa\xE7on r\xE9guli\xE8re, ce qui est contre-productif)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      ref_id: '12'
      name: "Changer les \xE9l\xE9ments d\u2019authentification par d\xE9faut sur\
        \ les \xE9quipements et services"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12
      description: "Il est imp\xE9ratif de partir du principe que les configurations\
        \ par d\xE9faut des syst\xE8mes d\u2019information sont syst\xE9matiquement\
        \ connues des attaquants, quand bien m\xEAme celles-ci ne le sont pas du grand\
        \ public. Ces configurations se r\xE9v\xE8lent (trop) souvent triviales (mot\
        \ de passe identique \xE0 l\u2019identifiant, mal dimensionn\xE9 ou commun\
        \ \xE0 l\u2019ensemble des \xE9quipements et services par exemple) et sont,\
        \ la plupart du temps, faciles \xE0 obtenir pour des attaquants capables de\
        \ se faire passer pour un utilisateur l\xE9gitime.\nLes \xE9l\xE9ments d\u2019\
        authentification par d\xE9faut des composants du syst\xE8me doivent donc \xEA\
        tre modifi\xE9s d\xE8s leur installation et, s\u2019agissant de mots de passe,\
        \ \xEAtre conformes aux recommandations pr\xE9c\xE9dentes en mati\xE8re de\
        \ choix, de dimensionnement et de stockage."
      annotation: "V\xE9rifier qu'aucun mot de passe par d\xE9faut n'est laiss\xE9\
        \ en place."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12
      description: "Si le changement d\u2019un identifiant par d\xE9faut se r\xE9\
        v\xE8le impossible pour cause, par exemple, de mot de passe ou certificat\
        \  \xAB en dur \xBB dans un \xE9quipement, ce probl\xE8me critique doit \xEA\
        tre signal\xE9 au distributeur du produit afin que cette vuln\xE9rabilit\xE9\
        \ soit corrig\xE9e au plus vite."
      annotation: "Cette position est inacceptable en 2025, et bient\xF4t ill\xE9\
        gale. Elle ne devra donc pas \xEAtre tol\xE9r\xE9e.\nPour des \xE9quipements\
        \ anciens qui ne sont plus maintenus par leur fabricant, on pr\xE9voiera leur\
        \ d\xE9commissionnement et on les isolera dans une zone d\xE9di\xE9e."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12
      description: "Afin de limiter les cons\xE9quences d\u2019une compromission,\
        \ il est par ailleurs essentiel, apr\xE8s changement des \xE9l\xE9ments d\u2019\
        authentification par d\xE9faut, de proc\xE9der \xE0 leur renouvellement r\xE9\
        gulier."
      annotation: "V\xE9rifier qu'il existe une proc\xE9dure de rotation des mots\
        \ de passe.\n"
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii
      ref_id: '13'
      name: "Privil\xE9gier lorsque c\u2019est possible une authentification forte"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13
      description: "Il est vivement recommand\xE9 de mettre en \u0153uvre une authentification\
        \ forte n\xE9cessitant l\u2019utilisation de deux facteurs d\u2019authentification\
        \ diff\xE9rents parmi les suivants :\n\u2022 quelque chose que je sais (mot\
        \ de passe, trac\xE9 de d\xE9verrouillage, signature) ;\n\u2022 quelque chose\
        \ que je poss\xE8de (carte \xE0 puce, jeton USB, carte magn\xE9tique, RFID,\
        \ un t\xE9l\xE9phone pour recevoir un code SMS) ;\n\u2022 quelque chose que\
        \ je suis (une empreinte biom\xE9trique)."
      annotation: "En 2025 cette pr\xE9conisation s'impose pour les acc\xE8s \xE0\
        \ des biens sensibles, et est recommand\xE9e partout.\nV\xE9rifier que l'authentification\
        \ forte est en place syst\xE9matiquement pour l'acc\xE8s aux biens sensibles,\
        \ ou qu'\xE0 d\xE9faut l'authentification se fait par un bastion sans que\
        \ l'utilisateur n'ai connaissance du mot de passe.\nV\xE9rifier que les d\xE9\
        rogations font l'objet d'un suivi sp\xE9cifique."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13
      description: "Les cartes \xE0 puces doivent \xEAtre privil\xE9gi\xE9es ou, \xE0\
        \ d\xE9faut, les m\xE9canismes de mots de passe \xE0 usage unique (ou One\
        \ Time Password) avec jeton physique. Les op\xE9rations cryptographiques mises\
        \ en place dans ces deux facteurs offrent g\xE9n\xE9ralement de bonnes garanties\
        \ de s\xE9curit\xE9.\nLes cartes \xE0 puce peuvent \xEAtre plus complexes\
        \ \xE0 mettre en place car n\xE9cessitant une infrastructure de gestion des\
        \ cl\xE9s adapt\xE9e. Elles pr\xE9sentent cependant l\u2019avantage d\u2019\
        \xEAtre r\xE9utilisables \xE0 plusieurs fins : chiffrement, authentification\
        \ de messagerie, authentification sur le poste de travail, etc."
      annotation: "L'utilisation du smartphone comme authentifiant (application OTP\
        \ ou application m\xE9tier) s'av\xE8re en g\xE9n\xE9ral plus pratique que\
        \ la carte \xE0 puce. \nLa carte \xE0 puce reste incontournable pour les environnements\
        \ les plus sensibles."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.access
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv
      assessable: false
      depth: 1
      ref_id: IV
      name: "S\xE9curiser les postes"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv
      ref_id: '14'
      name: "Mettre en place un niveau de s\xE9curit\xE9 minimal sur l\u2019ensemble\
        \ du parc informatique"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14
      description: "L\u2019utilisateur plus ou moins au fait des bonnes pratiques\
        \ de s\xE9curit\xE9 informatique est, dans de tr\xE8s nombreux cas, la premi\xE8\
        re porte d\u2019entr\xE9e des attaquants vers le syst\xE8me. Il est donc fondamental\
        \ de mettre en place un niveau de s\xE9curit\xE9 minimal sur l\u2019ensemble\
        \ du parc informatique de l\u2019entit\xE9 (postes utilisateurs, serveurs,\
        \ imprimantes, t\xE9l\xE9phones, p\xE9riph\xE9riques USB, etc.) en impl\xE9\
        mentant les mesures suivantes :"
      annotation: "V\xE9rifier que les dispositifs suivants sont pris en compte :\n\
        - postes utilisateurs ;\n- serveurs ;\n- imprimantes ;\n- t\xE9l\xE9phones\
        \ ;\n- p\xE9riph\xE9riques USB."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1
      description: "limiter les applications install\xE9es et modules optionnels des\
        \ navigateurs web aux seuls n\xE9cessaires ;"
      annotation: "V\xE9rifier que les applications install\xE9es sont g\xE9r\xE9\
        es et limit\xE9es \xE0 celles autoris\xE9es (via un gestionnaire d'applications\
        \ / magasin d'applications).\nV\xE9rifier que les extensions des navigateurs\
        \ web install\xE9es sont g\xE9r\xE9es et limit\xE9es \xE0 celles autoris\xE9\
        es."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.uem
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1
      description: "doter les postes utilisateurs d\u2019un pare-feu local et d\u2019\
        un anti-virus (ceux-ci sont parfois inclus dans le syst\xE8me d\u2019exploitation)\
        \ ;"
      annotation: "Choisir un antivirus int\xE9grant la fonction firewall.\nUn EDR\
        \ est \xE9galement recommand\xE9 en 2025."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.malware
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1
      description: "chiffrer les partitions o\xF9 sont stock\xE9es les donn\xE9es\
        \ des utilisateurs ;"
      annotation: "V\xE9rifier que les disques des postes de travail son chiffr\xE9\
        s (avec par exemple Bitlocker, CRYHOD, MacOS\u2026).\nV\xE9rifier que les\
        \ disques r\xE9seaux o\xF9 sont stock\xE9es des donn\xE9es utilisateur son\
        \ chiffr\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.disk_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1
      description: "d\xE9sactiver les ex\xE9cutions automatiques (autorun)."
      annotation: "V\xE9rifier qu'il y a une GPO de d\xE9sactivation de l'autorun."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.gpo
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14
      description: "En cas de d\xE9rogation n\xE9cessaire aux r\xE8gles de s\xE9curit\xE9\
        \ globales applicables aux postes, ceux-ci doivent \xEAtre isol\xE9s du syst\xE8\
        me (s\u2019il est impossible de mettre \xE0 jour certaines applications pour\
        \ des raisons de compatibilit\xE9 par exemple)."
      annotation: "V\xE9rifier le cloisonnement des \xE9quipements sp\xE9cifiques\
        \ non g\xE9r\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14
      description: "Les donn\xE9es vitales au bon fonctionnement de l\u2019entit\xE9\
        \ que d\xE9tiennent les postes utilisateurs et les serveurs doivent faire\
        \ l\u2019objet de sauvegardes r\xE9guli\xE8res et stock\xE9es sur des \xE9\
        quipements d\xE9connect\xE9s, et leur restauration doit \xEAtre v\xE9rifi\xE9\
        e de mani\xE8re p\xE9riodique. En effet, de plus en plus de petites structures\
        \ font l\u2019objet d\u2019attaques rendant ces donn\xE9es indisponibles (par\
        \ exemple pour exiger en contrepartie de leur restitution le versement d\u2019\
        une somme cons\xE9quente (ran\xE7ongiciel))."
      annotation: "Cette recommandation s'impose en 2025 pour couvrir le risque ransomware.\n\
        V\xE9rifier la pr\xE9sence d'un syst\xE8me de sauvegarde immutable sur site\
        \ ou dans le cloud.\nV\xE9rifier que des tests de restauration p\xE9riodiques\
        \ sont men\xE9s."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
      - urn:intuitem:risk:function:doc-pol:tech.immutable_backup
      - urn:intuitem:risk:function:doc-pol:pol.bcp
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv
      ref_id: '15'
      name: "Se prot\xE9ger des menaces relatives \xE0 l\u2019utilisation de supports\
        \ amovibles"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15
      description: "Les supports amovibles peuvent \xEAtre utilis\xE9s afin de propager\
        \ des virus, voler des informations sensibles et strat\xE9giques ou encore\
        \ compromettre le r\xE9seau de l\u2019entit\xE9. De tels agissements peuvent\
        \ avoir des cons\xE9quences d\xE9sastreuses pour l\u2019activit\xE9 de la\
        \ structure cibl\xE9e.\nS\u2019il n\u2019est pas question d\u2019interdire\
        \ totalement l\u2019usage de supports amovibles au sein de l\u2019entit\xE9\
        , il est n\xE9anmoins n\xE9cessaire de traiter ces risques en identifiant\
        \ des mesures ad\xE9quates et en sensibilisant les utilisateurs aux risques\
        \ que ces supports peuvent v\xE9hiculer."
      annotation: "En 2025 il est viable d'interdire totalement le transfert d'information\
        \ par cl\xE9 USB dans le cas g\xE9n\xE9ral, avec une gestion d'exceptions.\n\
        V\xE9rifier que la politique de gestion des postes de travail couvre la gestion\
        \ des supports amovibles."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15
      description: "Il convient notamment de proscrire le branchement de cl\xE9s USB\
        \ inconnues (ramass\xE9es dans un lieu public par exemple) et de limiter au\
        \ maximum celui de cl\xE9s non ma\xEEtris\xE9es (dont on connait la provenance\
        \ mais pas l\u2019int\xE9grit\xE9) sur le syst\xE8me d\u2019information \xE0\
        \ moins, dans ce dernier cas, de faire inspecter leur contenu par l\u2019\
        antivirus du poste de travail."
      annotation: "V\xE9rifier que les supports inconnus sont bloqu\xE9s, ou a minima\
        \ contr\xF4l\xE9s par l'antivirus. \nOn peut choisir un antivirus int\xE9\
        grant la gestion des ports USB."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15
      description: "Sur les postes utilisateur, il est recommand\xE9 d\u2019utiliser\
        \ des solutions permettant d\u2019interdire l\u2019ex\xE9cution de programmes\
        \ sur les p\xE9riph\xE9riques amovibles (par exemple Applocker sous Windows\
        \ ou des options de montage noexec sous Unix). "
      annotation: "V\xE9rifier que l'ex\xE9cution depuis un support amovible est bloqu\xE9\
        e.\nOn peut choisir un antivirus int\xE9grant la gestion des ports USB."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15
      description: "Lors de la fin de vie des supports amovibles, il sera n\xE9cessaire\
        \ d\u2019impl\xE9menter et de respecter une proc\xE9dure de mise au rebut\
        \ stricte pouvant aller jusqu\u2019\xE0 leur destruction s\xE9curis\xE9e afin\
        \ de limiter la fuite d\u2019informations sensibles."
      annotation: "V\xE9rifier la proc\xE9dure de mise au rebut."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.disposal
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv
      ref_id: '16'
      name: "Utiliser un outil de gestion centralis\xE9e afin d\u2019homog\xE9n\xE9\
        iser les politiques de s\xE9curit\xE9"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16
      description: "La s\xE9curit\xE9 du syst\xE8me d\u2019information repose sur\
        \ la s\xE9curit\xE9 du maillon le plus faible. Il est donc n\xE9cessaire d\u2019\
        homog\xE9n\xE9iser la gestion des politiques de s\xE9curit\xE9 s\u2019appliquant\
        \ \xE0 l\u2019ensemble du parc informatique de l\u2019entit\xE9.\nL\u2019\
        application de ces politiques (gestion des mots de passe, restrictions de\
        \ connexions sur certains postes sensibles, configuration des navigateurs\
        \ Web, etc.) doit \xEAtre simple et rapide pour les administrateurs, en vue\
        \ notamment de faciliter la mise en \u0153uvre de contre-mesures en cas de\
        \ crise informatique.\nPour cela, l\u2019entit\xE9 pourra se doter d\u2019\
        un outil de gestion centralis\xE9e (par exemple Active Directory en environnement\
        \ Microsoft) auquel il s\u2019agit d\u2019inclure le plus grand nombre d\u2019\
        \xE9quipements informatiques possible. Les postes de travail et les serveurs\
        \ sont concern\xE9s par cette mesure qui n\xE9cessite \xE9ventuellement en\
        \ amont un travail d\u2019harmonisation des choix de mat\xE9riels et de syst\xE8\
        mes d\u2019exploitation.\nAinsi, des politiques de durcissement du syst\xE8\
        me d\u2019exploitation ou d\u2019applications pourront facilement s\u2019\
        appliquer depuis un point central tout en favorisant la r\xE9activit\xE9 attendue\
        \ en cas de besoin de reconfiguration."
      annotation: "V\xE9rifier la pr\xE9sence d'un outil de gestion centralis\xE9\
        e pour les postes de travail et les serveurs.\nV\xE9rifier la mise en place\
        \ de r\xE8gles de durcissement des postes et servers via l'outil de gestion\
        \ centralis\xE9e.\nAD est incontournable en environnement Windows.\nDe nombreuses\
        \ solutions multi-plateformes existent."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.uem
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv
      ref_id: '17'
      name: Activer et configurer le pare-feu local des postes de travail
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17
      description: "Apr\xE8s avoir r\xE9ussi \xE0 prendre le contr\xF4le d\u2019un\
        \ poste de travail (\xE0 cause, par exemple, d\u2019une vuln\xE9rabilit\xE9\
        \ pr\xE9sente dans le navigateur Internet), un attaquant cherchera souvent\
        \ \xE0 \xE9tendre son intrusion aux autres postes de travail pour, in fine,\
        \ acc\xE9der aux documents des utilisateurs.\nAfin de rendre plus difficile\
        \ ce d\xE9placement lat\xE9ral de l\u2019attaquant, il est n\xE9cessaire d\u2019\
        activer le pare-feu local des postes de travail au moyen de logiciels int\xE9\
        gr\xE9s (pare-feu local Windows) ou sp\xE9cialis\xE9s.\nLes flux de poste\
        \ \xE0 poste sont en effet tr\xE8s rares dans un r\xE9seau bureautique classique\
        \ : les fichiers sont stock\xE9s dans des serveurs de fichiers, les applications\
        \ accessibles sur des serveurs m\xE9tier, etc."
      annotation: "V\xE9rifier la mise en \u0153uvre d'un pare-feu sur les postes\
        \ de travail.\nOn peut choisir un antivirus int\xE9grant la fonction firewall.\n\
        Un EDR est \xE9galement recommand\xE9 en 2025."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17
      description: "Le filtrage le plus simple consiste \xE0 bloquer l\u2019acc\xE8\
        s aux ports d\u2019administration par d\xE9faut des postes de travail (ports\
        \ TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), except\xE9 depuis\
        \ les ressources explicitement identifi\xE9es (postes d\u2019administration\
        \ et d\u2019assistance utilisateur, \xE9ventuels serveurs de gestion requ\xE9\
        rant l\u2019acc\xE8s \xE0 des partages r\xE9seau sur les postes, etc.)."
      annotation: "V\xE9rifier que le pare-feu du poste de travail bloque les acc\xE8\
        s aux ports d'administration depuis un poste non sp\xE9cifiquement autoris\xE9\
        ."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17
      description: "Une analyse des flux entrants utiles (administration, logiciels\
        \ d\u2019infrastructure, applications particuli\xE8res, etc.) doit \xEAtre\
        \ men\xE9e pour d\xE9finir la liste des autorisations \xE0 configurer. Il\
        \ est pr\xE9f\xE9rable de bloquer l\u2019ensemble des flux par d\xE9faut et\
        \ de n\u2019autoriser que les services n\xE9cessaires depuis les \xE9quipements\
        \ correspondants (\xAB liste blanche \xBB)."
      annotation: "V\xE9rifier l'existence d'une matrice de flux pour les postes de\
        \ travail.\nV\xE9rifier que le pare-feu du poste de travail prend en compte\
        \ cette matrice de flux, en bloquant les flux non r\xE9pertori\xE9s."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.flow_matrix
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17
      description: "Le pare-feu doit \xE9galement \xEAtre configur\xE9 pour journaliser\
        \ les flux bloqu\xE9s, et ainsi identifier les erreurs de configuration d\u2019\
        applications ou les tentatives d\u2019intrusion."
      annotation: "V\xE9rifier que les tentatives d'acc\xE8s bloqu\xE9es font bien\
        \ l'objet d'une journalisation.\nV\xE9rifier que les tentatives d'acc\xE8\
        s bloqu\xE9es font bien l'objet d'une d\xE9tection.\nLes antivirus et EDR\
        \ g\xE8rent nativement la d\xE9tection des incidents r\xE9seau."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
      - urn:intuitem:risk:function:doc-pol:tech.edr
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv
      ref_id: '18'
      name: "Chiffrer les donn\xE9es sensibles transmises par voie Internet"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18
      description: "Internet est un r\xE9seau sur lequel il est quasi impossible d\u2019\
        obtenir des garanties sur le trajet que vont emprunter les donn\xE9es que\
        \ l\u2019on y envoie. Il est donc tout \xE0 fait possible qu\u2019un attaquant\
        \ se trouve sur le trajet de donn\xE9es transitant entre deux correspondants.\n\
        Toutes les donn\xE9es envoy\xE9es par courriel ou transmises au moyen d\u2019\
        outils d\u2019h\xE9bergement en ligne (Cloud) sont par cons\xE9quent vuln\xE9\
        rables. Il s\u2019agit donc de proc\xE9der \xE0 leur chiffrement syst\xE9\
        matique avant de les adresser \xE0 un correspondant ou de les h\xE9berger."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 couvre bien le chiffrement\
        \ des informations transf\xE9r\xE9es avec l'ext\xE9rieur.\nV\xE9rifier que\
        \ des outils de chiffrement des fichiers sont mis \xE0 disposition des utilisateurs\
        \ et mis en oeuvre.\nOn pourra utiliser 7zip, ZOD, pour l'envoi par mail.\n\
        Les messageries instantan\xE9es s\xE9curis\xE9es comme Signal, Olvid, s'av\xE8\
        rent encore plus pratiques."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.transfer
      - urn:intuitem:risk:function:doc-pol:pol.crypto
      - urn:intuitem:risk:function:doc-pol:tech.file_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18
      description: "La transmission du secret (mot de passe, cl\xE9, etc.) permettant\
        \ alors de d\xE9chiffrer les donn\xE9es, si elle est n\xE9cessaire, doit \xEA\
        tre effectu\xE9e via un canal de confiance ou, \xE0 d\xE9faut, un canal distinct\
        \ du canal de transmission des donn\xE9es. Ainsi, si les donn\xE9es chiffr\xE9\
        es sont transmises par courriel, une remise en main propre du mot de passe\
        \ ou, \xE0 d\xE9faut, par t\xE9l\xE9phone doit \xEAtre privil\xE9gi\xE9e."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 traite bien la transmission\
        \ des cl\xE9s de chiffrement de fichiers.\nLes messageries instantan\xE9es\
        \ s\xE9curis\xE9es comme Signal ou Olvid sont une tr\xE8s bonne solution."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.transfer
      - urn:intuitem:risk:function:doc-pol:pol.crypto
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      assessable: false
      depth: 1
      ref_id: V
      name: "S\xE9curiser le r\xE9seau"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '19'
      name: "Segmenter le r\xE9seau et mettre en place un cloisonnement entre ces\
        \ zones"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19
      description: "Lorsque le r\xE9seau est  \xAB \xE0 plat \xBB, sans aucun m\xE9\
        canisme de cloisonnement, chaque machine du r\xE9seau peut acc\xE9der \xE0\
        \ n\u2019importe quelle autre machine. La compromission de l\u2019une d\u2019\
        elles met alors en p\xE9ril l\u2019ensemble des machines connect\xE9es. Un\
        \ attaquant peut ainsi compromettre un poste utilisateur et ensuite \xAB rebondir\
        \ \xBB jusqu\u2019\xE0 des serveurs critiques.\nIl est donc important, d\xE8\
        s la conception de l\u2019architecture r\xE9seau, de raisonner par segmentation\
        \ en zones compos\xE9es de syst\xE8mes ayant des besoins de s\xE9curit\xE9\
        \ homog\xE8nes. On pourra par exemple regrouper distinctement des serveurs\
        \ d\u2019infrastructure, des serveurs m\xE9tiers, des postes de travail utilisateurs,\
        \ des postes de travail administrateurs, des postes de t\xE9l\xE9phonie sur\
        \ IP, etc."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 r\xE9seau prenne\
        \ bien en compte le cloisonnement du r\xE9seau.\nV\xE9rifier l'application\
        \ de ces principes dans la documentation d'architecture r\xE9seau."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19
      description: "Une zone se caract\xE9rise alors par des VLAN et des sous-r\xE9\
        seaux IP d\xE9di\xE9s voire par des infrastructures d\xE9di\xE9es selon sa\
        \ criticit\xE9. Ainsi, des mesures de cloisonnement telles qu\u2019un filtrage\
        \ IP \xE0 l\u2019aide d\u2019un pare-feu peuvent \xEAtre mises en place entre\
        \ les diff\xE9rentes zones. On veillera en particulier \xE0 cloisonner autant\
        \ que possible les \xE9quipements et flux associ\xE9s aux t\xE2ches d\u2019\
        administration."
      annotation: "V\xE9rifier que les zones les plus sensibles sont cloisonn\xE9\
        es par des VLANs d\xE9di\xE9s et des pare-feu internes.\nV\xE9rifier que c'est\
        \ le cas en particulier pour le r\xE9seau d'administration."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.vlan
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19
      description: "Pour les r\xE9seaux dont le cloisonnement a posteriori ne serait\
        \ pas ais\xE9, il est recommand\xE9 d\u2019int\xE9grer cette d\xE9marche dans\
        \ toute nouvelle extension du r\xE9seau ou \xE0 l\u2019occasion d\u2019un\
        \ renouvellement d\u2019\xE9quipements."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 r\xE9seau pr\xE9\
        voit bien une prise en compte obligatoire du cloisonnement lors des extensions\
        \ et renouvellements.\nLa microsegmentation permet d'agir a posteriori quand\
        \ il n'est pas possible de cloisonner par VLAN."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.microsegmentation
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '20'
      name: "S'assurer de la s\xE9curit\xE9 des r\xE9seaux d'acc\xE8s Wi-Fi et de\
        \ la s\xE9paration des usages"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20
      description: "L\u2019usage du Wi-Fi en milieu professionnel est aujourd\u2019\
        hui d\xE9mocratis\xE9 mais pr\xE9sente toujours des risques de s\xE9curit\xE9\
        \ bien sp\xE9cifiques : faibles garanties en mati\xE8re de disponibilit\xE9\
        , pas de ma\xEEtrise de la zone de couverture pouvant mener \xE0 une attaque\
        \ hors du p\xE9rim\xE8tre g\xE9ographique de l\u2019entit\xE9, configuration\
        \ par d\xE9faut des points d\u2019acc\xE8s peu s\xE9curis\xE9e, etc.\nLa segmentation\
        \ de l\u2019architecture r\xE9seau doit permettre de limiter les cons\xE9\
        quences d\u2019une intrusion par voie radio \xE0 un p\xE9rim\xE8tre d\xE9\
        termin\xE9 du syst\xE8me d\u2019information. Les flux en provenance des postes\
        \ connect\xE9s au r\xE9seau d\u2019acc\xE8s Wi-Fi doivent donc \xEAtre filtr\xE9\
        s et restreints aux seuls flux n\xE9cessaires."
      annotation: "\nV\xE9rifier le cloisonnement et le filtrage des acc\xE8s Wi-Fi.\n\
        V\xE9rifier que les syst\xE8mes les plus sensibles ne sont pas accessibles\
        \ directement depuis un acc\xE8s Wi-Fi. Les acc\xE8s d'administration via\
        \ un VPN par-dessus le r\xE9seau Wi-Fi sont acceptables."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.vlan
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20
      description: "De plus, il est important d\u2019avoir recours prioritairement\
        \ \xE0 un chiffrement robuste (mode WPA2, algorithme AES CCMP) et \xE0 une\
        \ authentification centralis\xE9e, si possible par certificats clients des\
        \ machines."
      annotation: "V\xE9rifier la mise en oeuvre d'un protocole Wi-Fi robuste et d'une\
        \ authentification centralis\xE9e.\nWPA3-Entreprise est.\xE0 l'\xE9tat de\
        \ l'art. WPA2-Entreprise est acceptable, mais on pr\xE9voiera une migration\
        \ vers WPA3-Entreprise.\nWPA3/WPA2-Entreprise s'appuient sur la gestion de\
        \ certificats poste de travail.\nSur Windows Server on pourra utiliser directement\
        \ NPS (Network Policy Server). Il existe d'autres solutions comme CISCO ISE,\
        \ Ivanti, FreeRadius, ..."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.wifi_sec
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20
      description: "La protection du r\xE9seau Wi-Fi par un mot de passe unique et\
        \ partag\xE9 est d\xE9conseill\xE9e. \xC0 d\xE9faut, il doit \xEAtre complexe\
        \ et son renouvellement pr\xE9vu mais il ne doit en aucun cas \xEAtre diffus\xE9\
        \ \xE0 des tiers non autoris\xE9s."
      annotation: "V\xE9rifier l'interdiction d'une authentification Wi-Fi par mot\
        \ de passe.\nEn cas de d\xE9rogation, v\xE9rifier la pr\xE9sence de mesures\
        \ compensatoires (renouvellement fr\xE9quent, interdiction de partage \xE0\
        \ des tiers)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20
      description: "Les points d\u2019acc\xE8s doivent par ailleurs \xEAtre administr\xE9\
        s de mani\xE8re s\xE9curis\xE9e (ex : interface d\xE9di\xE9e, modification\
        \ du mot de passe administrateur par d\xE9faut)."
      annotation: "V\xE9rifier que l'administration des \xE9quipements r\xE9seau ne\
        \ peut se faire que depuis le NOC.\nUn NOC (Network Operating Center) est\
        \ la tour de contr\xF4le du r\xE9seau, et doit \xEAtre b\xE2ti sur un r\xE9\
        seau d\xE9di\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20
      description: "Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs\
        \ (ordinateurs portables, ordiphones) doit \xEAtre s\xE9par\xE9e des connexions\
        \ Wi-Fi des terminaux de l\u2019entit\xE9 (ex : SSID et VLAN distincts, acc\xE8\
        s Internet d\xE9di\xE9)."
      annotation: "V\xE9rifier qu'une connexion depuis le r\xE9seau d\xE9di\xE9 aux\
        \ visiteurs ne permet aucun acc\xE8s au SI. Un acc\xE8s par VPN reste toutefois\
        \ possible.\nL'utilisation d'\xE9quipements s\xE9par\xE9s pour le r\xE9seau\
        \ d\xE9di\xE9 aux visiteurs \xE9vite tout risque de confusion."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '21'
      name: "Utiliser des protocoles r\xE9seaux s\xE9curis\xE9s d\xE8s qu'ils existent"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21
      description: "Si aujourd\u2019hui la s\xE9curit\xE9 n\u2019est plus optionnelle,\
        \ cela n\u2019a pas toujours \xE9t\xE9 le cas. C\u2019est pourquoi de nombreux\
        \ protocoles r\xE9seaux ont d\xFB \xE9voluer pour int\xE9grer cette composante\
        \ et r\xE9pondre aux besoins de confidentialit\xE9 et d\u2019int\xE9grit\xE9\
        \ qu\u2019impose l\u2019\xE9change de donn\xE9es. Les protocoles r\xE9seaux\
        \ s\xE9curis\xE9s doivent \xEAtre utilis\xE9s d\xE8s que possible, que ce\
        \ soit sur des r\xE9seaux publics (Internet par exemple) ou sur le r\xE9seau\
        \ interne de l\u2019entit\xE9.\nBien qu\u2019il soit difficile d\u2019en dresser\
        \ une liste exhaustive, les protocoles les plus courants reposent sur l\u2019\
        utilisation de TLS et sont souvent identifiables par l\u2019ajout de la lettre\
        \ \xAB s \xBB (pour secure en anglais) \xE0 l\u2019acronyme du protocole.\
        \ Citons par exemple HTTPS pour la navigation Web ou IMAPS, SMTPS ou POP3S\
        \ pour la messagerie.\nD\u2019autres protocoles ont \xE9t\xE9 con\xE7us de\
        \ mani\xE8re s\xE9curis\xE9e d\xE8s la conception pour se substituer \xE0\
        \ d\u2019anciens protocoles non s\xE9curis\xE9s. Citons par exemple SSH (Secure\
        \ SHell) venu remplacer les protocoles de communication historiques TELNET\
        \ et RLOGIN."
      annotation: "V\xE9rifier que tous les protocoles non chiffr\xE9s sont bloqu\xE9\
        s.\nV\xE9rifier que les exceptions sont g\xE9r\xE9es.\nEn 2025 les flux non\
        \ chiffr\xE9s peuvent \xEAtre quasiment \xE9radiqu\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.transfer
      - urn:intuitem:risk:function:doc-pol:pol.crypto
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '22'
      name: "Mettre en place une passerelle d'acc\xE8s s\xE9curis\xE9 \xE0 Internet"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "L\u2019acc\xE8s \xE0 Internet, devenu indispensable, pr\xE9sente\
        \ des risques importants : sites Web h\xE9bergeant du code malveillant, t\xE9\
        l\xE9chargement de fichiers \xAB toxiques \xBB et, par cons\xE9quent, possible\
        \ prise de contr\xF4le du terminal, fuite de donn\xE9es sensibles, etc. Pour\
        \ s\xE9curiser cet usage, il est donc indispensable que les terminaux utilisateurs\
        \ n\u2019aient pas d\u2019acc\xE8s r\xE9seau direct \xE0 Internet."
      annotation: "V\xE9rifier que les postes de travail n'ont pas d'acc\xE8s direct\
        \ \xE0 Internet.\nIl est opportun d'appliquer cette mesure \xE0 l'ensemble\
        \ des \xE9quipements (serveurs notamment)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "C\u2019est pourquoi il est recommand\xE9 de mettre en \u0153uvre\
        \ une passerelle s\xE9curis\xE9e d\u2019acc\xE8s \xE0 Internet comprenant\
        \ au minimum un pare-feu au plus pr\xE8s de l\u2019acc\xE8s Internet pour\
        \ filtrer les connexions et un serveur mandataire (proxy) embarquant diff\xE9\
        rents m\xE9canismes de s\xE9curit\xE9. Celui-ci assure notamment l\u2019authentification\
        \ des utilisateurs et la journalisation des requ\xEAtes."
      annotation: "V\xE9rifier la pr\xE9sence d'une passerelle  web dans une zone\
        \ DMZ.\nV\xE9rifier que cette passerelle assure l'autentification des utilisateurs.\n\
        V\xE9rifier que cette passerelle assure la journalisation des acc\xE8s.\n\
        Certains firewalls int\xE8grent un proxy Internet. Il est n\xE9anmoins recommand\xE9\
        \ d'utiliser des \xE9quipements distincts."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
      - urn:intuitem:risk:function:doc-pol:tech.web_proxy
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "Des m\xE9canismes compl\xE9mentaires sur le serveur mandataire\
        \ pourront \xEAtre activ\xE9s selon les besoins de l\u2019entit\xE9 : analyse\
        \ antivirus du contenu, filtrage par cat\xE9gories d\u2019URLs, etc."
      annotation: "V\xE9rifier que la passerelle met en \u0153uvre un antivirus.\n\
        V\xE9rifier que la passerelle met en \u0153uvre un filtrage d'URLs (par cat\xE9\
        gorie, listes d'autorisation, \u2026)."
      implementation_groups:
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "Le maintien en condition de s\xE9curit\xE9 des \xE9quipements\
        \ de la passerelle est essentiel, il fera donc l\u2019objet de proc\xE9dures\
        \ \xE0 respecter. "
      annotation: "V\xE9rifier que la proc\xE9dure de maintenance couvre le maintien\
        \ en conditions de s\xE9curit\xE9 du proxy et les \xE9quipements compl\xE9\
        mentaires \xE9ventuels (antivirus, filtrage d'URLs, \u2026)."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.maintenance
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "Suivant le nombre de collaborateurs et le besoin de disponibilit\xE9\
        ,  ces \xE9quipements pourront \xEAtre redond\xE9s. "
      annotation: "V\xE9rifier que la passerelle est redond\xE9e."
      implementation_groups:
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "Par ailleurs, pour les terminaux utilisateurs, les r\xE9solutions\
        \ DNS en direct de noms de domaines publics seront par d\xE9faut d\xE9sactiv\xE9\
        es, celles-ci \xE9tant d\xE9l\xE9gu\xE9es au serveur mandataire."
      annotation: "V\xE9rifier que les poste de travail n'ont pas acc\xE8s \xE0 la\
        \ r\xE9solution DNS des noms de domaine publics."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
      - urn:intuitem:risk:function:doc-pol:tech.web_proxy
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22
      description: "Enfin, il est fortement recommand\xE9 que les postes nomades \xE9\
        tablissent au pr\xE9alable une connexion s\xE9curis\xE9e au syst\xE8me d\u2019\
        information de l\u2019entit\xE9 pour naviguer de mani\xE8re s\xE9curis\xE9\
        e sur le Web \xE0 travers la passerelle."
      annotation: "V\xE9rifier que les postes nomades ne peuvent atteindre Internet\
        \ qu'au travers d'un acc\xE8s VPN et de la passerelle web.\nLa plupart des\
        \ firewalls int\xE8grent une passerelle VPN."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.vpn
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '23'
      name: "Cloisonner les services visibles depuis Internet du reste du syst\xE8\
        me d'information"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23
      description: "Une entit\xE9 peut choisir d\u2019h\xE9berger en interne des services\
        \ visibles sur Internet (site web, serveur de messagerie, etc.). Au regard\
        \ de l\u2019\xE9volution et du perfectionnement des cyberattaques sur Internet,\
        \ il est essentiel de garantir un haut niveau de protection de ce service\
        \ avec des administrateurs comp\xE9tents, form\xE9s de mani\xE8re continue\
        \ (\xE0 l\u2019\xE9tat de l\u2019art des technologies en la mati\xE8re) et\
        \ disponibles. Dans le cas contraire, le recours \xE0 un h\xE9bergement externalis\xE9\
        \ aupr\xE8s de professionnels est \xE0 privil\xE9gier."
      annotation: "Si des services du SI sont expos\xE9s sur Internet, v\xE9rifier\
        \ :\n- que les administrateurs sont form\xE9s de mani\xE8re continue ;\n-\
        \ que les administrateurs sont disponibles en permanence (astreintes, \xE9\
        quipes internationales d\xE9cal\xE9es, ...)"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23
      description: "De plus, les infrastructures d\u2019h\xE9bergement Internet doivent\
        \ \xEAtre physiquement cloisonn\xE9es de toutes les infrastructures du syst\xE8\
        me d\u2019information qui n\u2019ont pas vocation \xE0 \xEAtre visibles depuis\
        \ Internet."
      annotation: "Si des services SI sont expos\xE9s sur Internet, v\xE9rifier qu'ils\
        \ sont situ\xE9s dans une DMZ physiquement cloisonn\xE9e \xE0 l'aide d'un\
        \ pare-feu r\xE9seau."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23
      description: "Enfin, il convient de mettre en place une infrastructure d\u2019\
        interconnexion de ces services avec Internet permettant de filtrer les flux\
        \ li\xE9s \xE0 ces services de mani\xE8re distincte des autres flux de l\u2019\
        entit\xE9. Il s\u2019agit \xE9galement d\u2019imposer le passage des flux\
        \ entrants par un serveur mandataire inverse (reverse proxy) embarquant diff\xE9\
        rents m\xE9canismes de s\xE9curit\xE9."
      annotation: "Si des services SI sont expos\xE9s sur Internet, v\xE9rifier :\n\
        - qu'ils sont s\xE9par\xE9s d'Internet par un pare-feu r\xE9seau avec des\
        \ r\xE8gles permettant de s\xE9parer les flux concern\xE9s.\n- que les flux\
        \ pouvant atteindre le c\u0153ur du SI passent par un serveur mandataire inverse.\n"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
      - urn:intuitem:risk:function:doc-pol:tech.reverse_proxy
      - urn:intuitem:risk:function:doc-pol:tech.waf
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '24'
      name: "Prot\xE9ger sa messagerie professionnelle"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "La messagerie est le principal vecteur d\u2019infection du poste\
        \ de travail, qu\u2019il s\u2019agisse de l\u2019ouverture de pi\xE8ces jointes\
        \ contenant un code malveillant ou du clic malencontreux sur un lien redirigeant\
        \ vers un site lui-m\xEAme malveillant.\nLes utilisateurs doivent \xEAtre\
        \ particuli\xE8rement sensibilis\xE9s \xE0 ce sujet : l\u2019exp\xE9diteur\
        \ est-il connu ? Une information de sa part est-elle attendue ? Le lien propos\xE9\
        \ est-il coh\xE9rent avec le sujet \xE9voqu\xE9 ? En cas de doute, une v\xE9\
        rification de l\u2019authenticit\xE9 du message par un autre canal (t\xE9\
        l\xE9phone, SMS, etc.) est n\xE9cessaire. "
      annotation: "V\xE9rifier que les utilisateurs sont bien sensibilis\xE9s aux\
        \ risques li\xE9s \xE0 l'usage de la messagerie.\nLa simuation de phishing\
        \ est un bon moyen de sensibilisation."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "Pour se pr\xE9munir d\u2019escroqueries (ex : demande de virement\
        \ frauduleux \xE9manant vraisemblablement d\u2019un dirigeant), des mesures\
        \ organisationnelles doivent \xEAtre appliqu\xE9es strictement."
      annotation: "V\xE9rifier que les personnes g\xE9rant les paiements sont tout\
        \ particuli\xE8rement sensibilis\xE9es aux escroqueries de plus en plus sophistiqu\xE9\
        es."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.seg_duty
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "Par ailleurs, la redirection de messages professionnels vers une\
        \ messagerie personnelle est \xE0 proscrire car cela constitue une fuite irr\xE9\
        m\xE9diable d\u2019informations de l\u2019entit\xE9. Si n\xE9cessaire des\
        \ moyens ma\xEEtris\xE9s et s\xE9curis\xE9s pour l\u2019acc\xE8s distant \xE0\
        \ la messagerie professionnelle doivent \xEAtre propos\xE9s. "
      annotation: "V\xE9rifier qu'il n'est pas possible de faire une redirection vers\
        \ une adresse de messagerie externe.\nV\xE9rifier que les r\xE8gles d'usage\
        \ interdisent la rediction d'une adresse de messagerie externe."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.accept
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "Que l\u2019entit\xE9 h\xE9berge ou fasse h\xE9berger son syst\xE8\
        me de messagerie, elle doit s\u2019assurer :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4
      description: "\u2022 de disposer d\u2019un syst\xE8me d\u2019analyse antivirus\
        \ en amont des bo\xEEtes aux lettres des utilisateurs pour pr\xE9venir la\
        \ r\xE9ception de fichiers infect\xE9s ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_antivirus
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4
      description: "\u2022 de l\u2019activation du chiffrement TLS des \xE9changes\
        \ entre serveurs de messagerie (de l\u2019entit\xE9 ou publics) ainsi qu\u2019\
        entre les postes utilisateur et les serveurs h\xE9bergeant les bo\xEEtes aux\
        \ lettres."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.transfer
      - urn:intuitem:risk:function:doc-pol:pol.crypto
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "Il est souhaitable de ne pas exposer directement les serveurs\
        \ de bo\xEEte aux lettres sur Internet. Dans ce cas, un serveur relai d\xE9\
        di\xE9 \xE0 l\u2019envoi et \xE0 la r\xE9ception des messages doit \xEAtre\
        \ mis en place en coupure d\u2019Internet."
      annotation: "V\xE9rifier la pr\xE9sence d'une passerelle de messagerie s\xE9\
        curis\xE9e en coupure sur Internet.\nCertains firewalls int\xE8grent la fonction\
        \ de passerelle de messagerie. Toutefois, il est pr\xE9f\xE9rable de s\xE9\
        parer ces fonctions, et de mettre la passerelle de messagerie s\xE9curis\xE9\
        e dans une DMZ."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.mail_gateway
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "Alors que le spam - malveillant ou non - constitue la majorit\xE9\
        \ des courriels \xE9chang\xE9s sur Internet, le d\xE9ploiement d\u2019un service\
        \ anti-spam doit permettre d\u2019\xE9liminer cette source de risques."
      annotation: "V\xE9rifier la pr\xE9sence d'une capacit\xE9 de filtrage anti-spam\
        \ sur la messagerie Internet.\nLes passerelles de messagerie s\xE9curis\xE9\
        es int\xE8grent une fonction anti-spam"
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.mail_gateway
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24
      description: "Enfin, l\u2019administrateur de messagerie s\u2019assurera de\
        \ la mise en place des m\xE9canismes de v\xE9rification d\u2019authenticit\xE9\
        \ et de la bonne configuration des enregistrements DNS publics li\xE9s \xE0\
        \ son infrastructure de messagerie (MX, SPF, DKIM, DMARC)."
      annotation: "V\xE9rifier la bonne configuration MX/SPIF/DKIM/DMARC pour les\
        \ domaines de l'entit\xE9. Il est possible d'utiliser des services de v\xE9\
        rification en ligne bien connus pour obtenir un diagnostic.\nLes m\xE9chanismes\
        \ SPIF, DKIM et DMARC sont indispensables en 2025. Il est possible de les\
        \ d\xE9l\xE9guer \xE0 un mandataire (par exemple avec Office365)."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.email_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '25'
      name: "S\xE9curiser les interconnexions r\xE9seau d\xE9di\xE9es avec les partenaires"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25
      description: "Pour des besoins op\xE9rationnels, une entit\xE9 peut \xEAtre\
        \ amen\xE9e \xE0 \xE9tablir une interconnexion r\xE9seau d\xE9di\xE9e avec\
        \ un fournisseur ou un client (ex : infog\xE9rance, \xE9change de donn\xE9\
        es informatis\xE9es, flux mon\xE9tiques, etc.).\nCette interconnexion peut\
        \ se faire au travers d\u2019un lien sur le r\xE9seau priv\xE9 de l\u2019\
        entit\xE9 ou directement sur Internet. Dans le second cas, il convient d\u2019\
        \xE9tablir un tunnel site \xE0 site, de pr\xE9f\xE9rence IPsec, en respectant\
        \ les pr\xE9conisations de l\u2019ANSSI."
      annotation: "V\xE9rifier que les interconnexions avec des partenaires sont faites\
        \ \xE0 l'aide de tunnels IPSec.\nCette fonction est int\xE9gr\xE9e dans la\
        \ plupart des pare-feu r\xE9seau."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.vpn
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25
      description: "Le partenaire \xE9tant consid\xE9r\xE9 par d\xE9faut comme non\
        \ s\xFBr, il est indispensable d\u2019effectuer un filtrage IP \xE0 l\u2019\
        aide d\u2019un pare-feu au plus pr\xE8s de l\u2019entr\xE9e des flux sur le\
        \ r\xE9seau de l\u2019entit\xE9. La matrice des flux (entrants et sortants)\
        \ devra \xEAtre r\xE9duite au juste besoin op\xE9rationnel, maintenue dans\
        \ le temps et la configuration des \xE9quipements devra y \xEAtre conforme."
      annotation: "V\xE9rifier que les flux \xE9chang\xE9s avec des partenaires document\xE9\
        s dans une matrice de flux valid\xE9e par la s\xE9curit\xE9.\nV\xE9rifier\
        \ que les flux \xE9chang\xE9s avec des partenaires sont filtr\xE9s par un\
        \ pare-feu r\xE9seau conform\xE9ment \xE0 la matrice de flux valid\xE9e."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25
      description: "Pour des entit\xE9s ayant des besoins de s\xE9curit\xE9 plus exigeants,\
        \ il conviendra de s\u2019assurer que l\u2019\xE9quipement de filtrage IP\
        \ pour les connexions partenaires est d\xE9di\xE9 \xE0 cet usage."
      annotation: "V\xE9rifier que le pare-feu pour les flux \xE9chang\xE9s avec des\
        \ partenaires est d\xE9di\xE9 \xE0 cet usage."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25
      description: "L\u2019ajout d\u2019un \xE9quipement de d\xE9tection d\u2019intrusions\
        \ peut \xE9galement constituer une bonne pratique."
      annotation: "V\xE9rifier la pr\xE9sence d'un IDS/IPS surveillant les flux \xE9\
        chang\xE9s avec des partenaires."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.ids
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25
      description: "Par ailleurs la connaissance d\u2019un point de contact \xE0 jour\
        \ chez le partenaire est n\xE9cessaire pour pouvoir r\xE9agir en cas d\u2019\
        incident de s\xE9curit\xE9."
      annotation: "V\xE9rifier que la proc\xE9dure de gestion des incidents permet\
        \ d'acc\xE9der \xE0 un point de contact chez chaque partenaire."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.incident
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v
      ref_id: '26'
      name: "Contr\xF4ler et prot\xE9ger l'acc\xE8s aux salles serveurs et aux locaux\
        \ techniques"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      description: "Les m\xE9canismes de s\xE9curit\xE9 physique doivent faire partie\
        \ int\xE9grante de la s\xE9curit\xE9 des syst\xE8mes d\u2019information et\
        \ \xEAtre \xE0 l\u2019\xE9tat de l\u2019art afin de s\u2019assurer qu\u2019\
        ils ne puissent pas \xEAtre contourn\xE9s ais\xE9ment par un attaquant. Il\
        \ convient donc d\u2019identifier les mesures de s\xE9curit\xE9 physique ad\xE9\
        quates et de sensibiliser continuellement les utilisateurs aux risques engendr\xE9\
        s par le contournement des r\xE8gles."
      annotation: "V\xE9rifier l'existence d'une politique de s\xE9curit\xE9 physique.\n\
        V\xE9rifier que les moyens de s\xE9curit\xE9 physique sont \xE0 l'\xE9tat\
        \ de l'art. Cela peut notamment se faire par un audit ou un test d'intrusion\
        \ d\xE9di\xE9s.\nV\xE9rifier que les utilisateurs sont continuellement sensibilis\xE9\
        s \xE0 l'importance des r\xE8gles de s\xE9curit\xE9 physiques et les risques\
        \ engendr\xE9s par leur contournement."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.physical
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      description: "Les acc\xE8s aux salles serveurs et aux locaux techniques doivent\
        \ \xEAtre contr\xF4l\xE9s \xE0 l\u2019aide de serrures ou de m\xE9canismes\
        \ de contr\xF4le d\u2019acc\xE8s par badge. "
      annotation: "V\xE9rifier que les locaux techniques et salles serveurs sont dot\xE9\
        es d'un contr\xF4le d'acc\xE8s par badge (recommand\xE9) ou par cl\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.physical
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      description: "Les acc\xE8s non accompagn\xE9s des prestataires ext\xE9rieurs\
        \ aux salles serveurs et aux locaux techniques sont \xE0 proscrire, sauf s\u2019\
        il est possible de tracer strictement les acc\xE8s et de limiter ces derniers\
        \ en fonction des plages horaires."
      annotation: "V\xE9rifier que la proc\xE9dure de contr\xF4le d'acc\xE8s physique\
        \ emp\xEAche tout acc\xE8s non autoris\xE9 des prestataires ext\xE9rieurs."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.physical_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      description: "Une revue des droits d\u2019acc\xE8s doit \xEAtre r\xE9alis\xE9\
        e r\xE9guli\xE8rement afin d\u2019identifier les acc\xE8s non autoris\xE9\
        s."
      annotation: "V\xE9rifier que les proc\xE9dures de s\xE9curit\xE9 physique pr\xE9\
        voient une recertification r\xE9guli\xE8re des acc\xE8s physiques.\nV\xE9\
        rifier que cette recertification est r\xE9ellement faite (par exemple en consultant\
        \ le journal des changements des droits d'acc\xE8s)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.physical_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      description: "Lors du d\xE9part d\u2019un collaborateur ou d\u2019un changement\
        \ de prestataire, il est n\xE9cessaire de proc\xE9der au retrait des droits\
        \ d\u2019acc\xE8s ou au changement des codes d\u2019acc\xE8s."
      annotation: "V\xE9rifier que les proc\xE9dures de s\xE9curit\xE9 physique pr\xE9\
        voient le retrait des droits d'acc\xE8s imm\xE9diatement lors du d\xE9part\
        \ d'un collaborateur ou d'un prestataire."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.hr_security
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26
      description: "Enfin, les prises r\xE9seau se trouvant dans des zones ouvertes\
        \ au public (salle de r\xE9union, hall d\u2019accueil, couloirs, placards,\
        \ etc.) doivent \xEAtre restreintes ou d\xE9sactiv\xE9es afin d\u2019emp\xEA\
        cher un attaquant de gagner facilement l\u2019acc\xE8s au r\xE9seau de l\u2019\
        entreprise."
      annotation: "V\xE9rifier que les prises r\xE9seaux se trouvant dans des zones\
        \ ouvertes au public sont d\xE9sactiv\xE9es ou correctement s\xE9curis\xE9\
        es (par exemple authentification 802.1X, filtrage des flux, surveillance des\
        \ flux...)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi
      assessable: false
      depth: 1
      ref_id: VI
      name: "S\xE9curiser l'administration"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi
      ref_id: '27'
      name: "Interdire l\u2019acc\xE8s \xE0 Internet depuis les postes ou serveurs\
        \ utilis\xE9s pour l\u2019administration du syst\xE8me d\u2019information"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27
      description: "Un poste de travail ou un serveur utilis\xE9 pour les actions\
        \ d\u2019administration ne doit en aucun cas avoir acc\xE8s \xE0 Internet,\
        \ en raison des risques que la navigation Web (\xE0 travers des sites contenant\
        \ du code malveillant) et la messagerie (au travers de pi\xE8ces jointes potentiellement\
        \ v\xE9rol\xE9es) font peser sur son int\xE9grit\xE9."
      annotation: "V\xE9rifier que les administrateurs ont un terminal d\xE9di\xE9\
        \ pour les actions d'administration."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27
      description: "Pour les autres usages des administrateurs n\xE9cessitant Internet\
        \ (consultation de documentation en ligne, de leur messagerie, etc.), il est\
        \ recommand\xE9 de mettre \xE0 leur disposition un poste de travail distinct.\
        \ \xC0 d\xE9faut, l\u2019acc\xE8s \xE0 une infrastructure virtualis\xE9e distante\
        \ pour la bureautique depuis un poste d\u2019administration est envisageable.\
        \ La r\xE9ciproque consistant \xE0 fournir un acc\xE8s distant \xE0 une infrastructure\
        \ d\u2019administration depuis un poste bureautique est d\xE9conseill\xE9\
        e car elle peut mener \xE0 une \xE9l\xE9vation de privil\xE8ges en cas de\
        \ r\xE9cup\xE9ration des authentifiants d\u2019administration."
      annotation: "V\xE9rifier que les administrateurs ont soit un deuxi\xE8me terminal\
        \ pour leurs t\xE2ches bureautiques, soit un acc\xE8s depuis leur poste d'administration\
        \ \xE0 un poste virtuel."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.pam
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27
      description: "Concernant les mises \xE0 jour logicielles des \xE9quipements\
        \ administr\xE9s, elles doivent \xEAtre r\xE9cup\xE9r\xE9es depuis une source\
        \ s\xFBre (le site de l\u2019\xE9diteur par exemple), contr\xF4l\xE9es puis\
        \ transf\xE9r\xE9es sur le poste ou le serveur utilis\xE9 pour l\u2019administration\
        \ et non connect\xE9 \xE0 Internet."
      annotation: "V\xE9rifier que les mises \xE0 jour logicielles des \xE9quipements\
        \ administr\xE9s :\n- proviennent d'une source s\xFBre ;\n- sont sign\xE9\
        es cryptographiquement et que cette signature est contr\xF4l\xE9."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27
      description: "Ce transfert peut \xEAtre r\xE9alis\xE9 sur un support amovible\
        \ d\xE9di\xE9. "
      annotation: "V\xE9rifier que ce processus d\xE9rogatoire est correctement document\xE9\
        . Il s'agit d'une exception l\xE9gitime au blocage USB."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27
      description: "Pour des entit\xE9s voulant automatiser certaines t\xE2ches, la\
        \ mise en place d\u2019une zone d\u2019\xE9changes est conseill\xE9e. "
      annotation: "V\xE9rifier la pr\xE9sence d'une zone d'\xE9changes s\xE9curis\xE9\
        e."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi
      ref_id: '28'
      name: "Utiliser un r\xE9seau d\xE9di\xE9 et cloisonn\xE9 pour l\u2019administration\
        \ du syst\xE8me d\u2019information"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28
      description: "Un r\xE9seau d\u2019administration interconnecte, entre autres,\
        \ les postes ou serveurs d\u2019administration et les interfaces d\u2019administration\
        \ des \xE9quipements. Dans la logique de segmentation du r\xE9seau global\
        \ de l\u2019entit\xE9, il est indispensable de cloisonner sp\xE9cifiquement\
        \ le r\xE9seau d\u2019administration, notamment vis-\xE0-vis du r\xE9seau\
        \ bureautique des utilisateurs, pour se pr\xE9munir de toute compromission\
        \ par rebond depuis un poste utilisateur vers une ressource d\u2019administration. "
      annotation: "V\xE9rifier l'existence d'un r\xE9seau d'administration et son\
        \ cloisonnement dans une zone d\xE9di\xE9e par un pare-feu r\xE9seau.\nV\xE9\
        rifier l'existence d'une matrice de flux valid\xE9e par la s\xE9curit\xE9\
        \ entre le r\xE9seau d'administration et le r\xE9seau bureautique.\nV\xE9\
        rifier que les flux entre le r\xE9seau d'administration et le r\xE9seau bureautique\
        \ sont filtr\xE9s conform\xE9ment \xE0 la matrice de flux."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28
      description: "Selon les besoins de s\xE9curit\xE9 de l\u2019entit\xE9, il est\
        \ recommand\xE9 :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2
      description: "\u2022 de privil\xE9gier en premier lieu un cloisonnement physique\
        \ des r\xE9seaux d\xE8s que cela est possible, cette solution pouvant repr\xE9\
        senter des co\xFBts et un temps de d\xE9ploiement importants;"
      annotation: "V\xE9rifier que le r\xE9seau d'administration est physiquement\
        \ cloisonn\xE9."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2
      description: "\u2022 \xE0 d\xE9faut, de mettre en \u0153uvre un cloisonnement\
        \ logique cryptographique reposant sur la mise en place de tunnels IPSec.\
        \ Ceci permet d\u2019assurer l\u2019int\xE9grit\xE9 et la confidentialit\xE9\
        \ des informations v\xE9hicul\xE9es sur le r\xE9seau d\u2019administration\
        \ vis-\xE0-vis du r\xE9seau bureautique des utilisateurs ;"
      annotation: "A d\xE9faut, v\xE9rifier que le r\xE9seau d'administration est\
        \ logiquement cloisonn\xE9 \xE0 l'aide de tunnels IPSec."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2
      description: "\u2022 au minimum, de mettre en \u0153uvre un cloisonnement logique\
        \ par VLAN. "
      annotation: "A d\xE9faut, v\xE9rifier que le r\xE9seau d'administration est\
        \ logiquement cloisonn\xE9 \xE0 l'aide de VLANs d\xE9di\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi
      ref_id: '29'
      name: "\_Limiter au strict besoin op\xE9rationnel les droits d\u2019administration\
        \ sur les postes de travail"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29
      description: "De nombreux utilisateurs, y compris au sommet des hi\xE9rarchies,\
        \ sont tent\xE9s de demander \xE0 leur service informatique de pouvoir disposer,\
        \ par analogie avec leur usage personnel, de privil\xE8ges plus importants\
        \ sur leurs postes de travail : installation de logiciels, configuration du\
        \ syst\xE8me, etc. Par d\xE9faut, il est recommand\xE9 qu\u2019un utilisateur\
        \ du SI, quelle que soit sa position hi\xE9rarchique et ses attributions,\
        \ ne dispose pas de privil\xE8ges d\u2019administration sur son poste de travail.\
        \ Cette mesure, apparemment contraignante, vise \xE0 limiter les cons\xE9\
        quences de l\u2019ex\xE9cution malencontreuse d\u2019un code malveillant.\
        \ La mise \xE0 disposition d\u2019un magasin \xE9toff\xE9 d\u2019applications\
        \ valid\xE9es par l\u2019entit\xE9 du point de vue de la s\xE9curit\xE9 permettra\
        \ de r\xE9pondre \xE0 la majorit\xE9 des besoins. \nPar cons\xE9quent, seuls\
        \ les administrateurs charg\xE9s de l\u2019administration des postes doivent\
        \ disposer de ces droits lors de leurs interventions. "
      annotation: "V\xE9rifier que seuls les administrateurs concern\xE9s ont un acc\xE8\
        s administrateur sur tous les postes de travail.\n"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29
      description: "Si une d\xE9l\xE9gation de privil\xE8ges sur un poste de travail\
        \ est r\xE9ellement n\xE9cessaire pour r\xE9pondre \xE0 un besoin ponctuel\
        \ de l\u2019utilisateur, celle-ci doit \xEAtre trac\xE9e, limit\xE9e dans\
        \ le temps et retir\xE9e \xE0 \xE9ch\xE9ance."
      annotation: "V\xE9rifier que les d\xE9rogations sont :\n- trac\xE9es ;\n- limit\xE9\
        s dans le temps ;\n- retir\xE9es \xE0 \xE9ch\xE9ance."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
      - urn:intuitem:risk:function:doc-pol:pol.access
      - urn:intuitem:risk:function:doc-pol:proc.pam
      - urn:intuitem:risk:function:doc-pol:doc.pam_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii
      assessable: false
      depth: 1
      ref_id: VII
      name: "G\xE9rer le nomadisme"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii
      ref_id: '30'
      name: " Prendre des mesures de s\xE9curisation physique des terminaux nomades"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30
      description: "Les terminaux nomades (ordinateurs portables, tablettes, ordiphones)\
        \ sont, par nature, expos\xE9s \xE0 la perte et au vol. Ils peuvent contenir\
        \ localement des informations sensibles pour l\u2019entit\xE9 et constituer\
        \ un point d\u2019entr\xE9e vers de plus amples ressources du syst\xE8me d\u2019\
        information. Au-del\xE0 de l\u2019application au minimum des politiques de\
        \ s\xE9curit\xE9 de l\u2019entit\xE9,  des mesures sp\xE9cifiques de s\xE9\
        curisation de ces \xE9quipements sont donc \xE0 pr\xE9voir. "
      annotation: "V\xE9rifier que la politique de gestion des postes de travail prend\
        \ en compte le nomadisme et pr\xE9voit des mesures sp\xE9cifiques pour en\
        \ r\xE9duire les risques."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30
      description: "En tout premier lieu, les utilisateurs doivent \xEAtre sensibilis\xE9\
        s pour augmenter leur niveau de vigilance lors de leurs d\xE9placements et\
        \ conserver leurs \xE9quipements \xE0 port\xE9e de vue. N\u2019importe quelle\
        \ entit\xE9, m\xEAme de petite taille, peut \xEAtre victime d\u2019une attaque\
        \ informatique. D\xE8s lors, en mobilit\xE9, tout \xE9quipement devient une\
        \ cible potentielle voire privil\xE9gi\xE9e."
      annotation: "V\xE9rifier que les utilisateurs nomades sont sensibilis\xE9s aux\
        \ risques sp\xE9cifiques li\xE9s \xE0 cet usage."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.educ
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
      - urn:intuitem:risk:function:doc-pol:doc.educ_register
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30
      description: "Il est recommand\xE9 que les terminaux nomades soient aussi banalis\xE9\
        s que possible en \xE9vitant toute mention explicite de l\u2019entit\xE9 d\u2019\
        appartenance (par l\u2019apposition d\u2019un autocollant aux couleurs de\
        \ l\u2019entit\xE9 par exemple)."
      annotation: "V\xE9rifier que les postes nomades sont banalis\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30
      description: "Pour \xE9viter toute indiscr\xE9tion lors de d\xE9placements,\
        \ notamment dans les transports ou les lieux d\u2019attente, un filtre de\
        \ confidentialit\xE9 doit \xEAtre positionn\xE9 sur chaque \xE9cran."
      annotation: "V\xE9rifier que les postes nomades disposent d'un filtre de confidentialit\xE9\
        ."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.screen_filter
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30
      description: "Enfin, afin de rendre inutilisable le poste seul, l\u2019utilisation\
        \ d\u2019un support externe compl\xE9mentaire (carte \xE0 puce ou jeton USB\
        \ par exemple) pour conserver des secrets de d\xE9chiffrement ou d\u2019authentification\
        \ peut \xEAtre envisag\xE9e. Dans ce cas il doit \xEAtre conserv\xE9 \xE0\
        \ part. "
      annotation: "V\xE9rifier que les postes nomades sont chiffr\xE9s avec une cl\xE9\
        \ de chiffrement dont la mise en \u0153uvre n\xE9cessite un dispositif externe\
        \ (cl\xE9 USB, carte \xE0 puce, \u2026)."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.disk_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii
      ref_id: '31'
      name: "Chiffrer les donn\xE9es sensibles, en particulier sur le mat\xE9riel\
        \ potentiellement perdable"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31
      description: "Les d\xE9placements fr\xE9quents en contexte professionnel et\
        \ la miniaturisation du mat\xE9riel informatique conduisent souvent \xE0 la\
        \ perte ou au vol de celui-ci dans l\u2019espace public. Cela peut porter\
        \ atteinte aux donn\xE9es sensibles de l\u2019entit\xE9 qui y sont stock\xE9\
        es.\nIl faut donc ne stocker que des donn\xE9es pr\xE9alablement chiffr\xE9\
        es sur l\u2019ensemble des mat\xE9riels nomades (ordinateurs portables, ordiphones,\
        \ cl\xE9s USB, disques durs externes, etc.) afin de pr\xE9server leur confidentialit\xE9\
        . Seul un secret (mot de passe, carte \xE0 puce, code PIN, etc.) pourra permettre\
        \ \xE0 celui qui le poss\xE8de d\u2019acc\xE9der \xE0 ces donn\xE9es."
      annotation: "V\xE9rifier qu'il existe une politique cryptographique qui prend\
        \ en compte les points suivants :\n- tous les terminaux nomades (PC ou ordiphone)\
        \ doivent \xEAtre chiffr\xE9s ;\n- tous les supports amovibles nomades (cl\xE9\
        \ USB, disque, bande, \u2026) doivent \xEAtre chiffr\xE9s.\nIl conviendra\
        \ de faire une exception pour les supports contenant exclusivement des donn\xE9\
        es publiques."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.crypto
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31
      description: "Une solution de chiffrement de partition, d\u2019archives ou de\
        \ fichier peut \xEAtre envisag\xE9e selon les besoins. L\xE0 encore, il est\
        \ essentiel de s\u2019assurer de l\u2019unicit\xE9 et de la robustesse du\
        \ secret de d\xE9chiffrement utilis\xE9."
      annotation: "V\xE9rifier que les syst\xE8mes de chiffrement de partitions ou\
        \ de fichiers sont mis en \u0153uvre avec une gestion de cl\xE9 adapt\xE9\
        e : \n- chaque chiffrement utilise une cl\xE9 unique ;\n- la taille de cette\
        \ cl\xE9 est conforme aux recommandations de l'ANSSI (RGS) ;\n- la cl\xE9\
        \ est g\xE9n\xE9r\xE9e al\xE9atoirement par un syst\xE8me de confiance ;\n\
        - la cl\xE9 est conserv\xE9e en lieu s\xFBr (cl\xE9 USB, carte \xE0 puce,\
        \ ...)"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.disk_encryption
      - urn:intuitem:risk:function:doc-pol:tech.file_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31
      description: "Dans la mesure du possible, il est conseill\xE9 de commencer par\
        \ un chiffrement complet du disque avant d\u2019envisager le chiffrement d\u2019\
        archives ou de fichiers. En effet, ces derniers r\xE9pondent \xE0 des besoins\
        \ diff\xE9rents et peuvent potentiellement laisser sur le support de stockage\
        \ des informations non chiffr\xE9es (fichiers de restauration de suite bureautique,\
        \ par exemple)."
      annotation: "V\xE9rifier que les disques des poste de travail nomades sont chiffr\xE9\
        s int\xE9gralement."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.disk_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii
      ref_id: '32'
      name: "S\xE9curiser la connexion r\xE9seau des postes utilis\xE9s en situation\
        \ de nomadisme"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32
      description: "En situation de nomadisme, il n\u2019est pas rare qu\u2019un utilisateur\
        \ ait besoin de se connecter au syst\xE8me d\u2019information de l\u2019entit\xE9\
        . Il convient par cons\xE9quent de s\u2019assurer du caract\xE8re s\xE9curis\xE9\
        \ de cette connexion r\xE9seau \xE0 travers Internet. M\xEAme si la possibilit\xE9\
        \ d\u2019\xE9tablir des tunnels VPN SSL/TLS est aujourd\u2019hui courante,\
        \ il est fortement recommand\xE9 d\u2019\xE9tablir un tunnel VPN IPsec entre\
        \ le poste nomade et une passerelle VPN IPsec mise \xE0 disposition par l\u2019\
        entit\xE9."
      annotation: "V\xE9rifier que les postes nomades sont munis d'un VPN IPSec pour\
        \ acc\xE9der au SI."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.vpn
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32
      description: "Pour garantir un niveau de s\xE9curit\xE9 optimal, ce tunnel VPN\
        \ IPsec doit \xEAtre automatiquement \xE9tabli et ne pas \xEAtre d\xE9brayable\
        \ par l\u2019utilisateur, c\u2019est-\xE0-dire qu\u2019aucun flux ne doit\
        \ pouvoir \xEAtre transmis en dehors de ce tunnel."
      annotation: "V\xE9rifier que le tunnel VPN :\n- est \xE9tabli automatiquement\
        \ ;\n- ne peut pas \xEAtre d\xE9sactiv\xE9 par l'utilisateur ;\n- ne peut\
        \ pas \xEAtre contourn\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
      - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32
      description: "Pour les besoins sp\xE9cifiques d\u2019authentification aux portails\
        \ captifs, l\u2019entit\xE9 peut choisir de d\xE9roger \xE0 la connexion automatique\
        \ en autorisant une connexion \xE0 la demande ou maintenir cette recommandation\
        \ en encourageant l\u2019utilisateur \xE0 utiliser un partage de connexion\
        \ sur un t\xE9l\xE9phone mobile de confiance."
      annotation: "V\xE9rifier que si un m\xE9canisme de gestion des portails captifs\
        \ est pr\xE9sent, il offre des garanties de s\xE9curit\xE9.\nCette fonction\
        \ est int\xE9gr\xE9e dans les logiciels VPN les plus courants."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.vpn
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32
      description: "Afin d\u2019\xE9viter toute r\xE9utilisation d\u2019authentifiants\
        \ depuis un poste vol\xE9 ou perdu (identifiant et mot de passe enregistr\xE9\
        s par exemple), il est pr\xE9f\xE9rable d\u2019avoir recours \xE0 une authentification\
        \ forte, par exemple avec un mot de passe et un certificat stock\xE9 sur un\
        \ support externe (carte \xE0 puce ou jeton USB) ou un m\xE9canisme de mot\
        \ de passe \xE0 usage unique (One Time Password). "
      annotation: "V\xE9rifier que l'\xE9tablissement du VPN requiert une authentification\
        \ MFA.\nL'authentification MFA est indispensable en 2025, compte-tenu de la\
        \ puissance d'attaque en force brute disponible pour les attaquants."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.mfa
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii
      ref_id: '33'
      name: " Adopter des politiques de s\xE9curit\xE9 d\xE9di\xE9es aux terminaux\
        \ mobiles"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33
      description: "Les ordiphones et tablettes font partie de notre quotidien personnel\
        \ et/ou professionnel. La premi\xE8re des recommandations consiste justement\
        \ \xE0 ne pas mutualiser les usages personnel et professionnel sur un seul\
        \ et m\xEAme terminal, par exemple en ne synchronisant pas simultan\xE9ment\
        \ comptes professionnel et personnel de messagerie, de r\xE9seaux sociaux,\
        \ d\u2019agendas, etc."
      annotation: "V\xE9rifier la prise en compte des terminaux mobiles dans la politique\
        \ de s\xE9curit\xE9.\nV\xE9rifier que les utilisateurs sont sensibilis\xE9\
        s au fait de ne pas m\xE9langer les usages professionnels et priv\xE9s sur\
        \ leur terminal mobile.\n"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
      - urn:intuitem:risk:function:doc-pol:pol.accept
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33
      description: "Les terminaux, fournis par l\u2019entit\xE9 et utilis\xE9s en\
        \ contexte professionnel doivent faire l\u2019objet d\u2019une s\xE9curisation\
        \ \xE0 part enti\xE8re, d\xE8s lors qu\u2019ils se connectent au syst\xE8\
        me d\u2019information de l\u2019entit\xE9 ou qu\u2019ils contiennent des informations\
        \ professionnelles potentiellement sensibles (mails, fichiers partag\xE9s,\
        \ contacts, etc.). D\xE8s lors, l\u2019utilisation d\u2019une solution de\
        \ gestion centralis\xE9e des \xE9quipements mobiles est \xE0 privil\xE9gier.\
        \ Il sera notamment souhaitable de configurer de mani\xE8re homog\xE8ne les\
        \ politiques de s\xE9curit\xE9 inh\xE9rentes : moyen de d\xE9verrouillage\
        \ du terminal, limitation de l\u2019usage du magasin d\u2019applications \xE0\
        \ des applications valid\xE9es du point de vue de la s\xE9curit\xE9, etc."
      annotation: "V\xE9rifier que les terminaux mobiles fournis par l'entit\xE9 sont\
        \ g\xE9r\xE9s par une solution de gestion \xE0 distance (MDM).\nV\xE9rifier\
        \ que la solution MDM d\xE9ploie de mani\xE8re homog\xE8ne des politiques\
        \ de s\xE9curit\xE9, notamment :\n- moyen de d\xE9verrouillage du terminal\
        \ ;\n- limitation de l\u2019usage du magasin d\u2019applications \xE0 des\
        \ applications valid\xE9es du point de vue de la s\xE9curit\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.uem
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33
      description: "Dans le cas contraire, une configuration pr\xE9alable avant remise\
        \ de l\u2019\xE9quipement et une s\xE9ance de sensibilisation des utilisateurs\
        \ est souhaitable."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33
      description: "Entre autres usages potentiellement risqu\xE9s, celui d\u2019\
        un assistant vocal int\xE9gr\xE9 augmente sensiblement la surface d\u2019\
        attaque du terminal et des cas d\u2019attaque ont \xE9t\xE9 d\xE9montr\xE9\
        s. Pour ces raisons, il est donc d\xE9conseill\xE9."
      annotation: "V\xE9rifier que la solution MDM interdit l'usage d'un assistant\
        \ vocal."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.work
      - urn:intuitem:risk:function:doc-pol:tech.uem
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii
      assessable: false
      depth: 1
      ref_id: VIII
      name: "Maintenir le syst\xE8me d'information \xE0 jour"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii
      ref_id: '34'
      name: " D\xE9finir une politique de mise \xE0 jour des composants du syst\xE8\
        me d\u2019information"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34
      description: "De nouvelles failles sont r\xE9guli\xE8rement d\xE9couvertes au\
        \ c\u0153ur des syst\xE8mes et logiciels. Ces derni\xE8res sont autant de\
        \ portes d\u2019acc\xE8s qu\u2019un attaquant peut exploiter pour r\xE9ussir\
        \ son intrusion dans le syst\xE8me d\u2019information. Il est donc primordial\
        \ de s\u2019informer de l\u2019apparition de nouvelles vuln\xE9rabilit\xE9\
        s (CERTFR) et d\u2019appliquer les correctifs de s\xE9curit\xE9 sur l\u2019\
        ensemble des composants du syst\xE8me dans le mois qui suit leur publication\
        \ par l\u2019\xE9diteur. Une politique de mise \xE0 jour doit ainsi \xEAtre\
        \ d\xE9finie et d\xE9clin\xE9e en proc\xE9dures op\xE9rationnelles. "
      annotation: "V\xE9rifier que l'entit\xE9 a mis en place des moyens de veille\
        \ sur les vuln\xE9rabilit\xE9s pouvant affecter les solutions mises en \u0153\
        uvre.\nV\xE9rifier l'existence d'une politique de maintenance de la s\xE9\
        curit\xE9.\nV\xE9rifier que cette politique est d\xE9clin\xE9e en proc\xE9\
        dures op\xE9rationnelles pour toutes les solutions mises en oeuvre."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.maintenance
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34
      description: "Celles-ci doivent notamment pr\xE9ciser :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2
      description: "\u2022 la mani\xE8re dont l\u2019inventaire des composants du\
        \ syst\xE8me d\u2019information est r\xE9alis\xE9 ;"
      annotation: "V\xE9rifier que les proc\xE9dures de maintenance pr\xE9voient l'inventaire\
        \ continu des composants du SI."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2
      description: "\u2022 les sources d\u2019information relatives \xE0 la publication\
        \ des mises \xE0 jour ;"
      annotation: "V\xE9rifier que les proc\xE9dures de maintanance pr\xE9voient les\
        \ canaux de notification sur les vuln\xE9rabilit\xE9s pouvant affecter les\
        \ composants maintenus."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.threat_intel
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2
      description: "\u2022 les outils pour d\xE9ployer les correctifs sur le parc\
        \ (par exemple WSUS pour les mises \xE0 jour des composants Microsoft, des\
        \ outils gratuits ou payants pour les composants tiers et autres syst\xE8\
        mes d\u2019exploitation) ;"
      annotation: "V\xE9rifier que les proc\xE9dures de maintenance d\xE9taillent\
        \ les outils mis en \u0153uvre pour le d\xE9ploiement des correctifs."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2
      description: "\u2022 l\u2019\xE9ventuelle qualification des correctifs et leur\
        \ d\xE9ploiement progressif sur le parc."
      annotation: "V\xE9rifier que les proc\xE9dures de maintenance d\xE9taillent\
        \ \n- le processus de qualification des correctifs avant d\xE9ploiement ;\n\
        - le processus de d\xE9ploiement progressif mis en \u0153uvre."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.update
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34
      description: "Les composants obsol\xE8tes qui ne sont plus support\xE9s par\
        \ leurs fabricants doivent \xEAtre isol\xE9s du reste du syst\xE8me. Cette\
        \ recommandation s\u2019applique aussi bien au niveau r\xE9seau par un filtrage\
        \ strict des flux, qu\u2019au niveau des secrets d\u2019authentification qui\
        \ doivent \xEAtre d\xE9di\xE9s \xE0 ces syst\xE8mes. "
      annotation: "V\xE9rifier que les \xE9quipement qui ne peuvent pas \xEAtre mis\
        \ \xE0 jour :\n- sont r\xE9pertori\xE9s ;\n- sont isol\xE9s du reste du syst\xE8\
        me avec un filtrage r\xE9seau strict des flux autoris\xE9s avec le reste du\
        \ SI ;\n- utilisent des secrets d'authentification d\xE9di\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.network
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii
      ref_id: '35'
      name: "Anticiper la fin de la maintenance des logiciels et syst\xE8mes et limiter\
        \ les adh\xE9rences logicielles"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35
      description: "L\u2019utilisation d\u2019un syst\xE8me ou d\u2019un logiciel\
        \ obsol\xE8te augmente significativement les possibilit\xE9s d\u2019attaque\
        \ informatique. Les syst\xE8mes deviennent vuln\xE9rables d\xE8s lors que\
        \ les correctifs ne sont plus propos\xE9s. En effet, des outils malveillants\
        \ exploitant ces vuln\xE9rabilit\xE9s peuvent se diffuser rapidement sur Internet\
        \ alors m\xEAme que l\u2019\xE9diteur ne propose pas de correctif de s\xE9\
        curit\xE9. \nPour anticiper ces obsolescences, un certain nombre de pr\xE9\
        cautions existent :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 \xE9tablir et tenir \xE0 jour un inventaire des syst\xE8\
        mes et applications du syst\xE8me d\u2019information ;"
      annotation: "V\xE9rifier l'existence d'une CMDB et que tous les composants du\
        \ SI y sont r\xE9pertori\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.file_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 choisir des solutions dont le support est assur\xE9 pour\
        \ une dur\xE9e correspondant \xE0 leur utilisation ;"
      annotation: "V\xE9rifier que les proc\xE9dures de s\xE9lection des solutions\
        \ prennent en compte le maintien en condition de s\xE9curit\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.maintenance
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 assurer un suivi des mises \xE0 jour et des dates de fin\
        \ de support des logiciels ;"
      annotation: "V\xE9rifier que la CMDB permet le suivi des dates de fin de support\
        \ des logiciels."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.file_encryption
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 maintenir un parc logiciel homog\xE8ne (la coexistence\
        \ de versions diff\xE9rentes d\u2019un m\xEAme produit multiplie les risques\
        \ et complique le suivi) ;"
      annotation: "V\xE9rifier que la politique de maintenance privil\xE9gie l'homog\xE9\
        n\xE9it\xE9 des solutions pour faciliter leur mise \xE0 jour."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.maintenance
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 limiter les adh\xE9rences logicielles, c\u2019est-\xE0\
        -dire les d\xE9pendances de fonctionnement d\u2019un logiciel par rapport\
        \ \xE0 un autre, en particulier lorsque le support de ce dernier arrive \xE0\
        \ son terme ;"
      annotation: "V\xE9rifier que le principe de modularit\xE9 applicative est pris\
        \ en compte dans les pratiques d'architecture."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.arc_principles
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 inclure dans les contrats avec les prestataires et fournisseurs\
        \ des clauses garantissant le suivi des correctifs de s\xE9curit\xE9 et la\
        \ gestion des obsolescences ;"
      annotation: "V\xE9rifier que les contrats avec les fournisseurs exigent le maintien\
        \ en condition de s\xE9curit\xE9 et la gestion de l'obsolescence des solutions\
        \ fournies."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.supplier
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1
      description: "\u2022 identifier les d\xE9lais et ressources n\xE9cessaires (mat\xE9\
        rielles, humaines, budg\xE9taires) \xE0 la migration de chaque logiciel en\
        \ fin de vie (tests de non-r\xE9gression, proc\xE9dure de sauvegarde, proc\xE9\
        dure de migration des donn\xE9es, etc.)."
      annotation: "V\xE9rifier que la politique de maintenance pr\xE9voie le processus\
        \ de gestion de l'obsolescence.\nV\xE9rifier que les moyens correpondants\
        \ sont bien budg\xE9t\xE9s et mis en oeuvre."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.maintenance
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix
      assessable: false
      depth: 1
      ref_id: IX
      name: "Superviser, auditer, r\xE9agir"
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix
      ref_id: '36'
      name: Activer et configurer les journaux des composants les plus importants
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "Disposer de journaux pertinents est n\xE9cessaire afin de pouvoir\
        \ d\xE9tecter d\u2019\xE9ventuels dysfonctionnements et tentatives d\u2019\
        acc\xE8s illicites aux composants du syst\xE8me d\u2019information."
      annotation: "V\xE9rifier que les syst\xE8mes les plus importants mettent en\
        \ \u0153uvre une journalisation des \xE9v\xE9n\xE9ments de s\xE9curit\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.monitor
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "La premi\xE8re \xE9tape consiste \xE0 d\xE9terminer quels sont\
        \ les composants critiques du syst\xE8me d\u2019information. Il peut notamment\
        \ s\u2019agir des \xE9quipements r\xE9seau et de s\xE9curit\xE9, des serveurs\
        \ critiques, des postes de travail d\u2019utilisateurs sensibles, etc."
      annotation: "V\xE9rifier que le registre des biens sensibles identifie les composants\
        \ critiques."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.asset_register
      - urn:intuitem:risk:function:doc-pol:doc.is_map
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "Pour chacun, il convient d\u2019analyser la configuration des\
        \ \xE9l\xE9ments journalis\xE9s (format, fr\xE9quence de rotation des fichiers,\
        \ taille maximale des fichiers journaux, cat\xE9gories d\u2019\xE9v\xE8nements\
        \ enregistr\xE9s, etc.) et de l\u2019adapter en cons\xE9quence."
      annotation: "V\xE9rifier que a proc\xE9dure de journalisation d\xE9taille la\
        \ configuration de journalisation cible pour les composants critiques."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.logging
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "Les \xE9v\xE8nements critiques pour la s\xE9curit\xE9 doivent\
        \ \xEAtre journalis\xE9s et gard\xE9s pendant au moins un an (ou plus en fonction\
        \ des obligations l\xE9gales du secteur d\u2019activit\xE9s)."
      annotation: "V\xE9rifier que les \xE9v\xE8nements critiques pour la s\xE9curit\xE9\
        \ sont journalis\xE9s et gard\xE9s pendant au moins un an (ou plus en fonction\
        \ des obligations l\xE9gales du secteur d\u2019activit\xE9s)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.monitor
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "Une \xE9tude contextuelle du syst\xE8me d\u2019information doit\
        \ \xEAtre effectu\xE9e et les \xE9l\xE9ments suivants doivent \xEAtre journalis\xE9\
        s :"
      annotation: "V\xE9rifier qu'une \xE9tude contextuelle du SI pour d\xE9terminer\
        \ les besoins de journalisation a \xE9t\xE9 men\xE9e."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.logging
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5
      description: "\u2022 pare-feu : paquets bloqu\xE9s ;"
      annotation: "V\xE9rifier que les \xE9v\xE9nements de type paquets bloqu\xE9\
        s par un pare-feu sont journalis\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.logging
      - urn:intuitem:risk:function:doc-pol:tech.network_firewall
      - urn:intuitem:risk:function:doc-pol:tech.edr
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5
      description: "\u2022 syst\xE8mes et applications : authentifications et autorisations\
        \ (\xE9checs et succ\xE8s), arr\xEAts inopin\xE9s ;"
      annotation: "V\xE9rifier pour les syst\xE8mes et applications que les \xE9v\xE9\
        nements suivants sont journalis\xE9s : \n- authentifications et autorisations\
        \ (\xE9checs et succ\xE8s) ;\n- arr\xEAts inopin\xE9s."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.logging
      - urn:intuitem:risk:function:doc-pol:tech.edr
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5
      description: "\u2022 services : erreurs de protocoles (par exemples les erreurs\
        \ 403, 404 et 500 pour les services HTTP), tra\xE7abilit\xE9 des flux applicatifs\
        \ aux interconnexions (URL sur un relai HTTP, en-t\xEAtes des messages sur\
        \ un relai SMTP, etc.)."
      annotation: "V\xE9rifier pour les services que les \xE9v\xE9nements suivants\
        \ sont journalis\xE9s : \n- erreurs de protocoles ;\n- URL visit\xE9es sur\
        \ la passerelle mandataire web ;\n- en-t\xEAtes des messages sur le relai\
        \ de messagerie."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.logging
      - urn:intuitem:risk:function:doc-pol:tech.edr
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "Afin de pouvoir corr\xE9ler les \xE9v\xE8nements entre les diff\xE9\
        rents composants, leur source de synchronisation de temps (gr\xE2ce au protocole\
        \ NTP) doit \xEAtre identique."
      annotation: "V\xE9rifier que l'ensemble du SI met en \u0153uvre une politique\
        \ de synchornisation des horloges (protocole NTP)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.ntp
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36
      description: "Si toutes les actions pr\xE9c\xE9dentes ont \xE9t\xE9 mises en\
        \ \u0153uvre, une centralisation des journaux sur un dispositif d\xE9di\xE9\
        \ pourra \xEAtre envisag\xE9e. Cela permet de faciliter la recherche automatis\xE9\
        e d\u2019\xE9v\xE9nements suspects, d\u2019archiver les journaux sur une longue\
        \ dur\xE9e et d\u2019emp\xEAcher un attaquant d\u2019effacer d\u2019\xE9ventuelles\
        \ traces de son passage sur les \xE9quipements qu\u2019il a compromis. "
      annotation: "V\xE9rifier la mise en \u0153uvre d'un SIEM pour r\xE9cup\xE9rer\
        \ l'ensemble des \xE9v\xE9nements journalis\xE9s.\nV\xE9rifier que le SIEM\
        \ automatique la d\xE9tection d'\xE9v\xE9nements suspects.\nV\xE9rifier que\
        \ le SIEM archive les journaux pour une dur\xE9e longue."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:tech.siem
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix
      ref_id: '37'
      name: "D\xE9finir et appliquer une politique de sauvegarde des composants critiques"
      implementation_groups:
      - S
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37
      description: "Suite \xE0 un incident d\u2019exploitation ou en contexte de gestion\
        \ d\u2019une intrusion, la  disponibilit\xE9 de sauvegardes conserv\xE9es\
        \ en lieu s\xFBr est indispensable \xE0 la poursuite de l\u2019activit\xE9\
        . Il est donc fortement recommand\xE9 de formaliser une politique de sauvegarde\
        \ r\xE9guli\xE8rement mise \xE0 jour. Cette derni\xE8re a pour objectif de\
        \ d\xE9finir des exigences en mati\xE8re de sauvegarde de l\u2019information,\
        \ des logiciels et des syst\xE8mes. "
      annotation: "V\xE9rifier l'existence d'une politque de sauvegarde et de restauration\
        \ formalis\xE9e."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37
      description: "Cette politique doit au moins int\xE9grer les \xE9l\xE9ments suivants\
        \ :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022 la liste des donn\xE9es jug\xE9es vitales pour l\u2019\
        organisme et les serveurs concern\xE9s ;"
      annotation: Registre des biens sensibles.
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022 les diff\xE9rents types de sauvegarde (par exemple le mode\
        \ hors ligne) ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022 la fr\xE9quence des sauvegardes ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:4
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022 la proc\xE9dure d\u2019administration et d\u2019ex\xE9\
        cution des sauvegardes ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:5
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022 les informations de stockage et les restrictions d\u2019\
        acc\xE8s aux sauvegardes ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:6
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022 les proc\xE9dures de test de restauration ;"
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:7
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2
      description: "\u2022  la destruction des supports ayant contenu les sauvegardes."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.disposal
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3
      assessable: false
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37
      description: "Les tests de restauration peuvent \xEAtre r\xE9alis\xE9s de plusieurs\
        \ mani\xE8res :"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3:1
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3
      description: "\u2022 syst\xE9matique, par un ordonnanceur de t\xE2ches pour\
        \ les applications importantes ;"
      annotation: "V\xE9rifier que des tests de resturation des syst\xE8mes importants\
        \ sont automatis\xE9es pour \xEAtre r\xE9alis\xE9es avec r\xE9gularit\xE9."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3:2
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3
      description: "\u2022 ponctuelle, en cas d\u2019erreur sur les fichiers ;"
      annotation: "V\xE9rifier que des restaurations ponctuelles sont r\xE9alisables\
        \ en fonction des besoins (erreur sur un fichier)."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.backup
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3:3
      assessable: true
      depth: 4
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3
      description: "\u2022 g\xE9n\xE9rale, pour une sauvegarde et restauration enti\xE8\
        res du syst\xE8me d\u2019information."
      annotation: "V\xE9rifier que la proc\xE9dure de restauration d\xE9taille comment\
        \ faire une restauration globale."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.bcp
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37
      description: "Un fois cette politique de sauvegarde \xE9tablie, il est souhaitable\
        \ de planifier au moins une fois par an un exercice de restauration des donn\xE9\
        es et de conserver une trace technique des r\xE9sultats."
      annotation: "V\xE9rifier qu'un test de restauration globale est fait r\xE9guli\xE8\
        rement, au moins une fois par an.\nOn pourra faire les tests de restauration\
        \ dans une zone virtuelle d\xE9di\xE9e.\nV\xE9rifier que les r\xE9sultats\
        \ de ces tests de restauration globale sont bien consign\xE9s."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.bcp
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix
      ref_id: '38'
      name: "Proc\xE9der \xE0 des contr\xF4les et audits de s\xE9curit\xE9 r\xE9guliers\
        \ puis appliquer les actions correctives associ\xE9es (renforc\xE9)"
      implementation_groups:
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38
      description: "La r\xE9alisation d\u2019audits r\xE9guliers (au moins une fois\
        \ par an) du syst\xE8me d\u2019information est essentielle car elle permet\
        \ d\u2019\xE9valuer concr\xE8tement l\u2019efficacit\xE9 des mesures mises\
        \ en \u0153uvre et leur maintien dans le temps. Ces contr\xF4les et audits\
        \ permettent \xE9galement de mesurer les \xE9carts pouvant persister entre\
        \ la r\xE8gle et la pratique."
      annotation: "V\xE9rifier l'existence d'une politique d'audit."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.audit
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38
      description: "Ils peuvent \xEAtre r\xE9alis\xE9s par d\u2019\xE9ventuelles \xE9\
        quipes d\u2019audit internes ou par des soci\xE9t\xE9s externes sp\xE9cialis\xE9\
        es. Selon le p\xE9rim\xE8tre \xE0 contr\xF4ler, des audits techniques et/ou\
        \ organisationnels seront effectu\xE9s par les professionnels mobilis\xE9\
        s. Ces audits sont d\u2019autant plus n\xE9cessaires que l\u2019entit\xE9\
        \ doit \xEAtre conforme \xE0 des r\xE9glementations et obligations l\xE9gales\
        \ directement li\xE9es \xE0 ses activit\xE9s."
      annotation: "V\xE9rifier la mise en \u0153uvre r\xE9guli\xE8re d'audits techniques\
        \ et/ou organisationnels.\nV\xE9rifier que les auditeurs (internes ou externes)\
        \ sont comp\xE9tents pour les missions r\xE9alis\xE9s.\nV\xE9rifier que les\
        \ exigences d'audit pouvant d\xE9couler des r\xE9glementations et obligations\
        \ l\xE9gales sont prises en compte."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.audit_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38
      description: "\xC0 l\u2019issue de ces audits, des actions correctives doivent\
        \ \xEAtre identifi\xE9es, leur application planifi\xE9e et des points de suivi\
        \ organis\xE9s \xE0 intervalles r\xE9guliers. Pour une plus grande efficacit\xE9\
        , des indicateurs sur l\u2019\xE9tat d\u2019avancement du plan d\u2019action\
        \ pourront \xEAtre int\xE9gr\xE9s dans un tableau de bord \xE0 l\u2019adresse\
        \ de la direction. "
      annotation: "V\xE9rifier que les actions correctives identifi\xE9es lors des\
        \ audits sont planifi\xE9es et suivies.\nV\xE9rifier que des indicateurs sur\
        \ l\u2019\xE9tat d\u2019avancement du plan d\u2019action sont int\xE9gr\xE9\
        s dans un tableau de bord \xE0 l\u2019adresse de la direction. "
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.nc_log
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38
      description: "Si les audits de s\xE9curit\xE9 participent \xE0 la s\xE9curit\xE9\
        \ du syst\xE8me d\u2019information en permettant de mettre en \xE9vidence\
        \ d\u2019\xE9ventuelles vuln\xE9rabilit\xE9s, ils ne constituent jamais une\
        \ preuve de leur absence et ne dispensent donc pas d\u2019autres mesures de\
        \ contr\xF4le. "
      annotation: "V\xE9rifier que des mesures de s\xE9curit\xE9 n\xE9cessaires sont\
        \ \xE9tablies ind\xE9pendamment de la politique d'audit."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.main
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix
      ref_id: '39'
      name: "D\xE9signer un r\xE9f\xE9rent en s\xE9curit\xE9 des syst\xE8mes  d\u2019\
        information et le faire conna\xEEtre  aupr\xE8s du personnel"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39
      description: "Toute entit\xE9 doit disposer d\u2019un r\xE9f\xE9rent en s\xE9\
        curit\xE9 des syst\xE8mes d\u2019information qui sera soutenu par la direction\
        \ ou par une instance d\xE9cisionnelle sp\xE9cialis\xE9e selon le niveau de\
        \ maturit\xE9 de  la structure. "
      annotation: "V\xE9rifier que l'entit\xE9 dispose d\u2019un r\xE9f\xE9rent en\
        \ s\xE9curit\xE9 des syst\xE8mes d\u2019information (g\xE9n\xE9ralement nomm\xE9\
        \ RSSI).\nV\xE9rifier que ce r\xE9f\xE9rent est soutenu par la direction ou\
        \ par une instance d\xE9cisionnelle sp\xE9cialis\xE9e."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.raci
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39
      description: "Ce r\xE9f\xE9rent devra \xEAtre connu de tous les utilisateurs\
        \ et sera le premier contact pour toutes les questions relatives \xE0 la s\xE9\
        curit\xE9 des syst\xE8mes d\u2019information :\n\u2022  d\xE9finition des\
        \ r\xE8gles \xE0 appliquer selon le contexte ;\n\u2022  v\xE9rification de\
        \ l\u2019application des r\xE8gles ;\n\u2022 sensibilisation des utilisateurs\
        \ et d\xE9finition d\u2019un plan de formation des acteurs informatiques ;\n\
        \u2022 centralisation et traitement des incidents de s\xE9curit\xE9 constat\xE9\
        s ou remont\xE9s par les utilisateurs."
      annotation: "V\xE9rifier que le r\xE9f\xE9rent est connu de tous (par exemple\
        \ son nom est fourni dans les actions de sensibilisation).\nV\xE9rifier que\
        \ le r\xE9f\xE9rent est responsable de la d\xE9finition des r\xE8gles \xE0\
        \ appliquer selon le contexte.\nV\xE9rifier que le r\xE9f\xE9rent est responsable\
        \ de la v\xE9rification de l\u2019application des r\xE8gles.\nV\xE9rifier\
        \ que le r\xE9f\xE9rent est responsable de la sensibilisation des utilisateurs\
        \ et de la d\xE9finition d\u2019un plan de formation des acteurs informatiques.\n\
        V\xE9rifier que le r\xE9f\xE9rent est responsable de la centralisation et\
        \ du traitement des incidents de s\xE9curit\xE9 constat\xE9s ou remont\xE9\
        s par les utilisateurs."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39
      description: "Ce r\xE9f\xE9rent devra \xEAtre form\xE9 \xE0 la s\xE9curit\xE9\
        \ des syst\xE8mes d\u2019information et \xE0 la gestion de crise."
      annotation: "V\xE9rifier que le r\xE9f\xE9rent est form\xE9 \xE0 la cybers\xE9\
        curit\xE9.\nV\xE9rifier que le r\xE9f\xE9rent est form\xE9 \xE0 la gestion\
        \ de crise."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.educ_plan
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39
      description: "Dans les entit\xE9s les plus importantes, ce correspondant peut\
        \ \xEAtre d\xE9sign\xE9 pour devenir le relais du RSSI. Il pourra par exemple\
        \ signaler les dol\xE9ances des utilisateurs et identifier les th\xE9matiques\
        \ \xE0 aborder dans le cadre des sensibilisations, permettant ainsi d\u2019\
        \xE9lever le niveau de s\xE9curit\xE9 du syst\xE8me d\u2019information au\
        \ sein de l\u2019organisme."
      annotation: "V\xE9rifier que l'organisation pr\xE9voit si besoin des r\xE9f\xE9\
        rents locaux qui sont le relai du RSSI.\nV\xE9rifier que les relais locaux\
        \ sont charg\xE9s de recueillir les dol\xE9ances des utilisateurs.\nV\xE9\
        rifier que les relais locaux sont charg\xE9s d'identifier les th\xE9matiques\
        \ \xE0 aborder dans le cadre des sensibilisations."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.raci
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix
      ref_id: '40'
      name: "D\xE9finir une proc\xE9dure de gestion des incidents de s\xE9curit\xE9"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40
      description: "Le constat d\u2019un comportement inhabituel de la part d\u2019\
        un poste de travail ou d\u2019un serveur (connexion impossible, activit\xE9\
        \ importante, activit\xE9s inhabituelles, services ouverts non autoris\xE9\
        s, fichiers cr\xE9\xE9s, modifi\xE9s ou supprim\xE9s sans autorisation, multiples\
        \ alertes de l\u2019antivirus, etc.) peut alerter sur une \xE9ventuelle intrusion."
      annotation: "V\xE9rifier que les anomalies sur les postes de travail ou les\
        \ serveurs pouvant faire suspecter un incident de s\xE9curit\xE9 sont bien\
        \ d\xE9tect\xE9s, notamment :\n- connexion impossible ;\n- activit\xE9 importante\
        \ ;\n- activit\xE9s inhabituelles ;\n- services ouverts non autoris\xE9s ;\n\
        - fichiers cr\xE9\xE9s, modifi\xE9s ou supprim\xE9s sans autorisation ;\n\
        -  multiples alertes de l\u2019antivirus."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.incident
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40
      description: "Une mauvaise r\xE9action en cas d\u2019incident de s\xE9curit\xE9\
        \ peut faire empirer la situation et emp\xEAcher de traiter correctement le\
        \ probl\xE8me. Le bon r\xE9flexe est de d\xE9connecter la machine du r\xE9\
        seau, pour stopper l\u2019attaque. En revanche, il faut la maintenir sous\
        \ tension et ne pas la red\xE9marrer, pour ne pas perdre d\u2019informations\
        \ utiles pour l\u2019analyse de l\u2019attaque. Il faut ensuite pr\xE9venir\
        \ la hi\xE9rarchie, ainsi que le r\xE9f\xE9rent en s\xE9curit\xE9 des syst\xE8\
        mes d\u2019information."
      annotation: "V\xE9rifier que la proc\xE9dure de gestion des incidents pr\xE9\
        voit en cas d'attaque :\n- de d\xE9connecter la machine suspecte du r\xE9\
        seau ;\n- de  la maintenir sous tension et ne pas la red\xE9marrer ;\n- de\
        \ pr\xE9venir la hi\xE9rarchie, ainsi que le r\xE9f\xE9rent en s\xE9curit\xE9\
        \ des syst\xE8mes d\u2019information."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:proc.incident
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40
      description: "\nCelui-ci peut prendre contact avec un prestataire de r\xE9ponse\
        \ aux incidents de s\xE9curit\xE9 (PRIS) afin de faire r\xE9aliser les op\xE9\
        rations techniques n\xE9cessaires (copie physique du disque, analyse de la\
        \ m\xE9moire, des journaux et d\u2019\xE9ventuels codes malveillants, etc.)\
        \ et de d\xE9terminer si d\u2019autres \xE9l\xE9ments du syst\xE8me d\u2019\
        information ont \xE9t\xE9 compromis. Il s\u2019agira \xE9galement d\u2019\xE9\
        laborer la r\xE9ponse \xE0 apporter afin de supprimer d\u2019\xE9ventuels\
        \ codes malveillants et acc\xE8s dont disposerait l\u2019attaquant et de proc\xE9\
        der au changement des mots de passe compromis."
      annotation: "V\xE9rifier que le r\xE9f\xE9rent de s\xE9curit\xE9 dispose d'un\
        \ contrat avec un prestataire de r\xE9ponse \xE0 incident disposant de la\
        \ certification PRIS."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.incident
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40
      description: " Tout incident doit \xEAtre consign\xE9 dans un registre centralis\xE9\
        . Une plainte pourra \xE9galement \xEAtre d\xE9pos\xE9e aupr\xE8s du service\
        \ judiciaire comp\xE9tent."
      annotation: "V\xE9rifier qu'il existe un registre des incidents de s\xE9curit\xE9\
        \nV\xE9rifier que la politique de gestion des incidents pr\xE9voit le d\xE9\
        p\xF4t d'une plainte le cas \xE9ch\xE9ant."
      implementation_groups:
      - S
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:doc.incident_register
      - urn:intuitem:risk:function:doc-pol:proc.incident
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x
      assessable: false
      depth: 1
      ref_id: X
      name: Pour aller plus loin
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x
      ref_id: '41'
      name: "Mener une analyse de risques formelle (renforc\xE9)"
      implementation_groups:
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41
      description: "Chaque entit\xE9 \xE9volue dans un environnement informationnel\
        \ complexe qui lui est propre. Aussi, toute prise de position ou plan d\u2019\
        action impliquant la s\xE9curit\xE9 du syst\xE8me d\u2019information doit\
        \ \xEAtre consid\xE9r\xE9 \xE0 la lumi\xE8re des risques pressentis par la\
        \ direction. En effet, qu\u2019il s\u2019agisse de mesures organisationnelles\
        \ ou techniques, leur mise en \u0153uvre repr\xE9sente un co\xFBt pour l\u2019\
        entit\xE9 qui n\xE9cessite de s\u2019assurer qu\u2019elles permettent de r\xE9\
        duire au bon niveau un risque identifi\xE9.\nDans les cas les plus sensibles,\
        \ l\u2019analyse de risque peut remettre en cause certains choix pass\xE9\
        s. Ce peut notamment \xEAtre le cas si la probabilit\xE9 d\u2019apparition\
        \ d\u2019un \xE9v\xE9nement et ses cons\xE9quences potentielles s\u2019av\xE8\
        rent critiques pour l\u2019entit\xE9 et qu\u2019il n\u2019existe aucune action\
        \ pr\xE9ventive pour le ma\xEEtriser.\nLa d\xE9marche recommand\xE9e consiste,\
        \ dans les grandes lignes, \xE0 d\xE9finir le contexte, appr\xE9cier les risques\
        \ et les traiter. L\u2019\xE9valuation de ces risques s\u2019op\xE8re g\xE9\
        n\xE9ralement selon deux axes : leur probabilit\xE9 d\u2019apparition et leur\
        \ gravit\xE9. S\u2019ensuit l\u2019\xE9laboration d\u2019un plan de traitement\
        \ du risque  \xE0 faire valider par une autorit\xE9 d\xE9sign\xE9e \xE0 plus\
        \ haut niveau."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 pr\xE9voit la d\xE9\
        marche d'analyse des risques de cybers\xE9curit\xE9 conformes aux principes\
        \ ISO 27005.\nV\xE9rifier que des analyses de risques sont men\xE9es."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.risk
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41:2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41
      description: "Trois types d\u2019approches peuvent \xEAtre envisag\xE9s pour\
        \ ma\xEEtriser les risques associ\xE9s \xE0 son syst\xE8me d\u2019information\
        \ :\n\u2022  le recours aux bonnes pratiques de s\xE9curit\xE9 informatique\
        \ ;\n\u2022 une analyse de risques syst\xE9matique fond\xE9e sur les retours\
        \ d\u2019exp\xE9rience des utilisateurs ;\n\u2022  une gestion structur\xE9\
        e des risques formalis\xE9e par une m\xE9thodologie d\xE9di\xE9e.\nDans ce\
        \ dernier cas, la m\xE9thode EBIOS r\xE9f\xE9renc\xE9e par l\u2019ANSSI est\
        \ recommand\xE9e. Elle permet d\u2019exprimer les besoins de s\xE9curit\xE9\
        , d\u2019identifier les objectifs de s\xE9curit\xE9 et de d\xE9terminer les\
        \ exigences de s\xE9curit\xE9."
      annotation: "V\xE9rifier la mise en place d'audits de conformit\xE9 selon un\
        \ standard de cybers\xE9curit\xE9.\nV\xE9rifier la mise en place d'analyses\
        \ de risques prenant en compte les retours d'exp\xE9rience des utilisateurs.\n\
        V\xE9rifier la mise en \u0153uvre d'\xE9tudes de type EBIOS-RM."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.audit
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x
      ref_id: '42'
      name: "Privil\xE9gier l\u2019usage de produits et de services qualifi\xE9s par\
        \ l'ANSSI (renforc\xE9)"
      implementation_groups:
      - R
    - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42:1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42
      description: "La qualification prononc\xE9e par l\u2019ANSSI offre des garanties\
        \ de s\xE9curit\xE9 et de confiance aux acheteurs de solutions list\xE9es\
        \ dans les catalogues de produits et de prestataires de service qualifi\xE9\
        s que publie l\u2019agence.\nAu-del\xE0 des entit\xE9s soumises \xE0 r\xE9\
        glementation, l\u2019ANSSI encourage plus g\xE9n\xE9ralement l\u2019ensemble\
        \ des entreprises et administrations fran\xE7aises \xE0 utiliser des produits\
        \ qu\u2019elle qualifie, seul gage d\u2019une \xE9tude s\xE9rieuse et approfondie\
        \ du fonctionnement technique de la solution et de son \xE9cosyst\xE8me.\n\
        S\u2019agissant des prestataires de service qualifi\xE9s, ce label permet\
        \ de r\xE9pondre aux enjeux et projets de cybers\xE9curit\xE9 pour l\u2019\
        ensemble du tissu \xE9conomique fran\xE7ais que l\u2019ANSSI ne saurait adresser\
        \ seule. \xC9valu\xE9s sur des crit\xE8res techniques et organisationnels,\
        \ les prestataires qualifi\xE9s couvrent l\u2019essentiel des m\xE9tiers de\
        \ la s\xE9curit\xE9 des syst\xE8mes d\u2019information. Ainsi, en fonction\
        \ de ses besoins et du maillage national, une entit\xE9 pourra faire appel\
        \ \xE0 un Prestataire d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019\
        information (PASSI), un Prestataire de r\xE9ponse aux incidents de s\xE9curit\xE9\
        \ (PRIS), un Prestataire de d\xE9tection des incidents de s\xE9curit\xE9 (PDIS)\
        \ ou \xE0 un prestataire de service d\u2019informatique en nuage (SecNumCloud)."
      annotation: "V\xE9rifier que la politique de s\xE9curit\xE9 pr\xE9voit de privil\xE9\
        gier le recours \xE0 des produits qualifi\xE9s par l'ANSSI.\nV\xE9rifier que\
        \ la politique de s\xE9curit\xE9 pr\xE9voit de privil\xE9gier le recours \xE0\
        \ des prestataires qualifi\xE9s par l'ANSSI (PACS, PASSI, PRIS, PDIS, SecNumCloud,\
        \ PAMS)."
      implementation_groups:
      - R
      reference_controls:
      - urn:intuitem:risk:function:doc-pol:pol.supplier