anssi-recommandations-pour-la-protection-des-sie.yaml

urn: urn:protocolpaladin:risk:library:anssi-recommandations-pour-la-protection-des-sie
locale: fr
ref_id: ANSSI-REC-SIE
name: "Recommandations pour la protection des syst\xE8mes d\u2019information essentiels"
description: "La directive Network and Information System Security a \xE9t\xE9 adopt\xE9\
  e par les institutions europ\xE9ennes en 2016 et transpos\xE9e en droit fran\xE7\
  ais en 2018. Elle cr\xE9e notamment l'obligation pour les op\xE9rateurs de services\
  \ essentiels de mettre en \u0153uvre des r\xE8gles de s\xE9curit\xE9 dans les domaines\
  \ de la gouvernance, de la protection, de la d\xE9fense et de la r\xE9silience des\
  \ r\xE9seaux et syst\xE8mes d'information. Ce guide a pour objectif d'accompagner\
  \ la mise en \u0153uvre technique des r\xE8gles 7 \xE0 16, c'est-\xE0-dire celles\
  \ du chapitre II relatives \xE0 la protection des r\xE9seaux et syst\xE8mes d'information,\
  \ \xE0 l'exception de la r\xE8gle 17 relative \xE0 la s\xE9curit\xE9 physique et\
  \ environnementale. La mise en \u0153uvre des autres r\xE8gles est couverte par\
  \ d'autres publications de l'ANSSI. Ce guide s'adresse en particulier aux op\xE9\
  rateurs de services essentiels, pour mettre leurs syst\xE8mes d'information en conformit\xE9\
  \ avec ces r\xE8gles de s\xE9curit\xE9. Ce guide peut \xE9galement servir aux fournisseurs\
  \ de services num\xE9riques (FSN) pour d\xE9finir et mettre en \u0153uvre leurs\
  \ propres mesures de s\xE9curit\xE9. Ce guide constitue enfin un recueil de bonnes\
  \ pratiques pour les op\xE9rateurs d'importance vitale (OIV) et pour toute entit\xE9\
  \ ayant des besoins de protection de ses SI, et pour leurs prestataires tels que\
  \ les entreprises de services num\xE9riques (ESN).\nhttps://cyber.gouv.fr/sites/default/files/2020/12/guide_protection_des_systemes_essentiels.pdf"
copyright: Licence ouverte / Open Licence v2.0 (Etalab)
version: 2
provider: ANSSI
packager: protocolpaladin
objects:
  framework:
    urn: urn:protocolpaladin:risk:framework:anssi-recommandations-pour-la-protection-des-sie
    ref_id: ANSSI-REC-SIE
    name: "Recommandations pour la protection des syst\xE8mes d\u2019information essentiels"
    description: "La directive Network and Information System Security a \xE9t\xE9\
      \ adopt\xE9e par les institutions europ\xE9ennes en 2016 et transpos\xE9e en\
      \ droit fran\xE7ais en 2018. Elle cr\xE9e notamment l'obligation pour les op\xE9\
      rateurs de services essentiels de mettre en \u0153uvre des r\xE8gles de s\xE9\
      curit\xE9 dans les domaines de la gouvernance, de la protection, de la d\xE9\
      fense et de la r\xE9silience des r\xE9seaux et syst\xE8mes d'information. Ce\
      \ guide a pour objectif d'accompagner la mise en \u0153uvre technique des r\xE8\
      gles 7 \xE0 16, c'est-\xE0-dire celles du chapitre II relatives \xE0 la protection\
      \ des r\xE9seaux et syst\xE8mes d'information, \xE0 l'exception de la r\xE8\
      gle 17 relative \xE0 la s\xE9curit\xE9 physique et environnementale. La mise\
      \ en \u0153uvre des autres r\xE8gles est couverte par d'autres publications\
      \ de l'ANSSI. Ce guide s'adresse en particulier aux op\xE9rateurs de services\
      \ essentiels, pour mettre leurs syst\xE8mes d'information en conformit\xE9 avec\
      \ ces r\xE8gles de s\xE9curit\xE9. Ce guide peut \xE9galement servir aux fournisseurs\
      \ de services num\xE9riques (FSN) pour d\xE9finir et mettre en \u0153uvre leurs\
      \ propres mesures de s\xE9curit\xE9. Ce guide constitue enfin un recueil de\
      \ bonnes pratiques pour les op\xE9rateurs d'importance vitale (OIV) et pour\
      \ toute entit\xE9 ayant des besoins de protection de ses SI, et pour leurs prestataires\
      \ tels que les entreprises de services num\xE9riques (ESN)."
    implementation_groups_definition:
    - ref_id: R--
      name: Recommandation alternative de second niveau
      description: "Cette recommandation permet de mettre en \u0153uvre une seconde\
        \ alternative, d\u2019un niveau de s\xE9curit\xE9 moindre que les recommandations\
        \ R et R -. \n"
    - ref_id: R-
      name: Recommandation alternative de premier niveau
      description: "Cette recommandation permet de mettre en \u0153uvre une premi\xE8\
        re alternative, d\u2019un niveau de s\xE9curit\xE9 moindre que la recommandation\
        \ R. \n"
    - ref_id: R
      name: "Recommandation \xE0 l'\xE9tat de l'art"
      description: "Cette recommandation permet de mettre en \u0153uvre un niveau\
        \ de s\xE9curit\xE9 \xE0 l\u2019\xE9tat de l.\u2019art. \n"
    - ref_id: R+
      name: "Recommandation renforc\xE9e compl\xE9mentaire"
      description: "Cette recommandation compl\xE9mentaire permet de mettre en \u0153\
        uvre un niveau de s\xE9curit\xE9 renforc\xE9. Elle est destin\xE9e aux entit\xE9\
        s qui sont matures en s\xE9curit\xE9 des syst\xE8mes d\u2019information. \n"
    requirement_nodes:
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3
      assessable: false
      depth: 1
      ref_id: '3'
      name: "S\xE9curit\xE9 de l\u2019architecture (r\xE8gles 7 \xE0 10)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3
      ref_id: '3.1'
      name: "Configuration (r\xE8gle 7)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1
      ref_id: 3.1.1
      name: "R\xE9duction de la surface d\u2019attaque"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1
      ref_id: 3.1.1.1
      name: "Modification de la configuration par d\xE9faut"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r1
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.1
      ref_id: R1
      name: "Modifier les \xE9l\xE9ments de configuration par d\xE9faut"
      description: "Lors de l\u2019installation ou de la r\xE9installation des services\
        \ et \xE9quipements du SIE, il est fortement recommand\xE9 que l\u2019op\xE9\
        rateur modifie les \xE9l\xE9ments de configuration fix\xE9s par d\xE9faut\
        \ d\xE8s lors qu\u2019ils sont exploitables par un attaquant.\LEn particulier,\
        \ l\u2019op\xE9rateur doit modifier les \xE9l\xE9ments secrets d\u2019authentification\
        \ pour les comptes techniques ou les comptes d\u2019administration (section\
        \ 5.2.1)."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r1-
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.1
      ref_id: R1-
      name: "Pallier l\u2019impossibilit\xE9 de changer un \xE9l\xE9ment par d\xE9\
        faut"
      description: "Lorsque des raisons techniques emp\xEAchent de modifier un \xE9\
        l\xE9ment de configura- tion par d\xE9faut, et en particulier des \xE9l\xE9\
        ments d\u2019authentification ou des droits trop \xE9tendus, il est fortement\
        \ recommand\xE9 que l\u2019op\xE9rateur mette en \u0153uvre des mesures techniques\
        \ ou organisationnelles pour r\xE9duire les risques associ\xE9s \xE0 ces \xE9\
        l\xE9ments par d\xE9faut. \nIl est recommand\xE9 que l\u2019op\xE9rateur d\xE9\
        crive les raisons, les mesures et leurs justifications dans le dossier d\u2019\
        homologation du SIE. "
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1
      ref_id: 3.1.1.2
      name: "Restriction des fonctionnalit\xE9s accessibles"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r2
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.2
      ref_id: R2
      name: "Installer uniquement les services ou fonctionnalit\xE9s indispensables"
      description: "L\u2019op\xE9rateur doit installer les seuls services et fonctionnalit\xE9\
        s indispensables au fonctionnement ou \xE0 la s\xE9curit\xE9 du SIE, afin\
        \ de limiter la surface d\u2019attaque exploitable par un attaquant.\LSi des\
        \ services ou fonctionnalit\xE9s non indispensables sont install\xE9s par\
        \ d\xE9faut, l\u2019op\xE9rateur les d\xE9sinstalle."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r2-
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.2
      ref_id: R2-
      name: "Pallier l\u2019impossibilit\xE9 de d\xE9sinstaller un service non indispensable"
      description: "Lorsqu\u2019il n\u2019est pas possible de d\xE9sinstaller les\
        \ services et fonctionnalit\xE9s qui ne sont \npas utilis\xE9s sur le SIE,\
        \ l\u2019op\xE9rateur doit d\xE9sactiver ces services et fonctionnalit\xE9\
        s ou emp\xEAcher leur acc\xE8s.\LL\u2019op\xE9rateur doit verser au dossier\
        \ d\u2019homologation la liste des services et fonctionnalit\xE9s inutiles\
        \ qu\u2019il n\u2019a pas \xE9t\xE9 possible de d\xE9sinstaller. Les raisons\
        \ et les mesures de r\xE9duction de risque sont \xE9galement pr\xE9cis\xE9\
        es dans le dossier d\u2019homologation."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r3
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.1.2
      ref_id: R3
      name: "D\xE9finir et utiliser des configurations de r\xE9f\xE9rence"
      description: "Il est recommand\xE9 que l\u2019op\xE9rateur d\xE9finisse une\
        \ ou plusieurs configurations de r\xE9f\xE9rence s\xE9curis\xE9es, expurg\xE9\
        es de tous les \xE9l\xE9ments inutiles et qu\u2019il les utilise lorsqu\u2019\
        il installe un nouvel \xE9l\xE9ment du SIE.\LIl est recommand\xE9 que l\u2019\
        op\xE9rateur maintienne ces configurations de r\xE9f\xE9rence \xE0 jour dans\
        \ la dur\xE9e. \nIl est recommand\xE9 que les \xE9carts entre les configurations\
        \ en production et les configurations de r\xE9f\xE9rence fassent l\u2019objet\
        \ d\u2019un suivi r\xE9gulier, afin de les identifier au plus t\xF4t."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1
      ref_id: 3.1.2
      name: "Ma\xEEtrise des \xE9l\xE9ments du SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2
      ref_id: 3.1.2.1
      name: "Inventaire des \xE9l\xE9ments connect\xE9s au SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r4
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2.1
      ref_id: R4
      name: "\xC9tablir un inventaire technique des \xE9l\xE9ments et des acc\xE8\
        s au SIE"
      description: "Il est fortement recommand\xE9 que l\u2019op\xE9rateur \xE9tablisse\
        \ un inventaire technique des \xE9l\xE9ments composant le SIE et des \xE9\
        l\xE9ments qui peuvent y \xEAtre connect\xE9s (postes de travail, \xE9quipements,\
        \ mat\xE9riels p\xE9riph\xE9riques, supports amovibles, etc.), physiquement\
        \ ou \xE0 distance. \nDans le cas o\xF9 une tierce partie se connecte au SIE,\
        \ il est recommand\xE9 que l\u2019op\xE9rateur le note dans sa cartographie\
        \ et en tienne compte dans l\u2019analyse de risque."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2
      ref_id: 3.1.2.2
      name: "Utilisation d\u2019\xE9l\xE9ments ma\xEEtris\xE9s dans le SI"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r5
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.2.2
      ref_id: R5
      name: "Utiliser uniquement des \xE9quipements ma\xEEtris\xE9s"
      description: "L\u2019op\xE9rateur doit s\u2019assurer que seuls des \xE9quipements\
        \ ma\xEEtris\xE9s et indispensables au fonctionnement ou \xE0 la s\xE9curit\xE9\
        \ du SIE sont utilis\xE9s sur le SIE. Cela inclut les postes de travail, serveurs,\
        \ \xE9quipements r\xE9seau, p\xE9riph\xE9riques amovibles, etc. L\u2019op\xE9\
        rateur doit interdire l\u2019utilisation de tout autre \xE9quipement. \nCette\
        \ politique doit couvrir les activit\xE9s des salari\xE9s internes comme celles\
        \ des prestataires, que les connexions au SIE soient locales ou distantes."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1
      ref_id: 3.1.3
      name: Gestion des supports amovibles
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3
      ref_id: 3.1.3.1
      name: "D\xE9dier des supports amovibles au SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r6
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.1
      ref_id: R6
      name: "D\xE9dier aux SIE des supports amovibles identifi\xE9s"
      description: "Les supports amovibles \xE9tant des vecteurs d\u2019attaque, l\u2019\
        op\xE9rateur doit d\xE9dier des sup- ports amovibles au fonctionnement des\
        \ SIE (exploitation, maintenance, administration, s\xE9curit\xE9, etc.).\L\
        Seuls ces supports peuvent \xEAtre connect\xE9s au SIE. Ils ne peuvent \xEA\
        tre connect\xE9s qu\u2019au SIE et aux syst\xE8mes explicitement pr\xE9vus\
        \ par l\u2019op\xE9rateur. \nCes supports doivent \xEAtre inventori\xE9s et\
        \ physiquement identifi\xE9s."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3
      ref_id: 3.1.3.2
      name: "Innocuit\xE9 des supports amovibles \xE0 usage mixte"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r7
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.2
      ref_id: R7
      name: "D\xE9contaminer les supports amovibles avant leur utilisation"
      description: "L\u2019op\xE9rateur doit proc\xE9der \xE0 l\u2019analyse syst\xE9\
        matique du contenu de chaque support amovible d\xE8s sa connexion au SIE,\
        \ avant de pouvoir l\u2019utiliser.\LPour permettre cette analyse avant utilisation,\
        \ il est fortement recommand\xE9 de d\xE9sactiver l\u2019ex\xE9cution automatique\
        \ des contenus (autorun). \nL\u2019analyse doit au minimum rechercher des\
        \ codes malveillants par rapport \xE0 une base de connaissance \xE0 jour."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r7+
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.2
      ref_id: R7+
      name: "Utiliser un \xE9quipement d\xE9di\xE9 \xE0 l\u2019analyse des supports\
        \ amovibles"
      description: "Afin de limiter l\u2019impact de l\u2019ex\xE9cution d\u2019un\
        \ code malveillant pr\xE9sent sur un support amovible, il est fortement recommand\xE9\
        \ d\u2019utiliser des \xE9quipements sp\xE9cifiques pour \nanalyser les supports\
        \ amovibles avant leur connexion au SIE."
      implementation_groups:
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.3
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3
      ref_id: 3.1.3.3
      name: "Tra\xE7abilit\xE9 de l\u2019utilisation des supports amovibles sur le\
        \ SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r8
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.3
      ref_id: R8
      name: "Mettre en \u0153uvre une tra\xE7abilit\xE9 de l\u2019utilisation des\
        \ supports amovibles"
      description: "Lorsque le fonctionnement du SIE requiert l\u2019utilisation de\
        \ supports amovibles, il est fortement recommand\xE9 que l\u2019op\xE9rateur\
        \ mette en place un outil de tra\xE7abilit\xE9 lui permettant d\u2019avoir\
        \ des informations sur les connexions de supports amovibles au SIE, et sur\
        \ les donn\xE9es import\xE9es ou export\xE9es du SIE."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r8+
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.1.3.3
      ref_id: R8+
      name: "Mettre en \u0153uvre un outil de protection contre l\u2019exfiltration\
        \ de donn\xE9es"
      description: "Il est fortement recommand\xE9 que l\u2019op\xE9rateur utilise\
        \ un outil filtrant ce qui est extrait du SIE."
      implementation_groups:
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3
      ref_id: '3.2'
      name: "Cloisonnement (r\xE8gle 8)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      ref_id: 3.2.1
      name: Segmentation du SI en zones
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r9
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.1
      ref_id: R9
      name: "Segmenter le SI en syst\xE8mes et sous-syst\xE8mes"
      description: "L\u2019op\xE9rateur doit segmenter son SI en plusieurs syst\xE8\
        mes et sous-syst\xE8mes.\LLes SIE doivent \xEAtre cloisonn\xE9s des autres\
        \ SI de l\u2019op\xE9rateur et des SI tiers.\LChaque SIE doit \xEAtre subdivis\xE9\
        \ en sous-syst\xE8mes rassemblant des ressources assurant des fonctionnalit\xE9\
        s similaires et ayant des niveaux de sensibilit\xE9, d\u2019exposition et\
        \ de s\xE9curit\xE9 homog\xE8nes.\LL\u2019op\xE9rateur doit d\xE9crire le\
        \ cloisonnement mis en \u0153uvre dans le dossier d\u2019homologation du SIE."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r10
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.1
      ref_id: R10
      name: Autoriser les interconnexions suivant le besoin de fonctionnement
      description: "L\u2019op\xE9rateur doit s\u2019assurer que toute communication\
        \ entre le SIE et d\u2019autres SI, et entre diff\xE9rents sous-syst\xE8mes\
        \ issus de la segmentation du SIE, est associ\xE9e \xE0 un besoin \nde fonctionnement\
        \ l\xE9gitime."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      ref_id: 3.2.2
      name: Cloisonnement physique ou logique
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2
      ref_id: 3.2.2.1
      name: Le cloisonnement physique
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r11
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2.1
      ref_id: R11
      name: Mettre en place un cloisonnement physique
      description: "L\u2019op\xE9rateur doit cloisonner physiquement des sous-syst\xE8\
        mes de sensibilit\xE9s ou d\u2019expositions diff\xE9rentes et ne conserver\
        \ que les interconnexions strictement n\xE9cessaires \nau bon fonctionnement\
        \ des deux sous-syst\xE8mes."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2
      ref_id: 3.2.2.2
      name: Le cloisonnement logique par le chiffre
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r11-
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2.2
      ref_id: R11-
      name: Mettre en place un cloisonnement logique par le chiffre
      description: "\xC0 d\xE9faut d\u2019un cloisonnement physique entre sous-syst\xE8\
        mes de sensibilit\xE9s ou d\u2019ex- positions diff\xE9rentes, l\u2019op\xE9\
        rateur doit avoir recours \xE0 un m\xE9canisme logique de cloisonnement par\
        \ le chiffre, en utilisant des secrets diff\xE9rents pour les sous-syst\xE8\
        mes \xE0 cloisonner. \nL\u2019op\xE9rateur doit s\u2019assurer de l\u2019\
        efficacit\xE9 du cloisonnement apport\xE9 et privil\xE9gier des \nsolutions\
        \ disposant d\u2019un visa de s\xE9curit\xE9 de l\u2019ANSSI."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2.3
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2
      ref_id: 3.2.2.3
      name: Le cloisonnement logique simple
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r11---
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.2.3
      ref_id: R11- -
      name: Mettre en place un cloisonnement logique
      description: "\xC0 d\xE9faut d\u2019un cloisonnement physique entre sous-syst\xE8\
        mes ou d\u2019un cloisonnement logique par le chiffre, l\u2019op\xE9rateur\
        \ peut avoir recours \xE0 un cloisonnement logique simple.\LL\u2019op\xE9\
        rateur doit s\u2019assurer de l\u2019efficacit\xE9 du cloisonnement par des\
        \ mesures techniques ou organisationnelles."
      implementation_groups:
      - R--
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      ref_id: 3.2.3
      name: "Mise en \u0153uvre technique du cloisonnement"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r12
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.3
      ref_id: R12
      name: "Chiffrer les donn\xE9es en amont du stockage avec des secrets distincts"
      description: "Pour que le cloisonnement par le chiffre d\u2019un syst\xE8me\
        \ de stockage soit efficace, il est fortement recommand\xE9 que le chiffrement\
        \ soit appliqu\xE9 en amont du syst\xE8me de stockage, par les syst\xE8mes\
        \ propri\xE9taires des donn\xE9es, et non pas par le syst\xE8me de stockage\
        \ lui-m\xEAme au moment de l\u2019\xE9criture sur les disques. \nDe plus,\
        \ les secrets associ\xE9s au chiffrement doivent \xEAtre diff\xE9rents pour\
        \ chaque sous- syst\xE8me."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.4
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      ref_id: 3.2.4
      name: "Cas des SIE dont l\u2019h\xE9bergement est externalis\xE9"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r13
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.4
      ref_id: R13
      name: "Contr\xF4ler le cloisonnement mis en place en cas d\u2019externalisation"
      description: "Dans le cas d\u2019un SIE externalis\xE9 chez un tiers, l\u2019\
        op\xE9rateur doit s\u2019assurer que son prestataire met en \u0153uvre le\
        \ cloisonnement attendu dans l\u2019architecture propos\xE9e."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.5
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      ref_id: 3.2.5
      name: "Cas des SIE des infrastructures num\xE9riques"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r14
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.5
      ref_id: R14
      name: "Infrastructures num\xE9riques : cloisonner les services internes"
      description: "Dans le cas d\u2019un SIE du secteur des infrastructures num\xE9\
        riques, il est recommand\xE9 que l\u2019op\xE9rateur applique en priorit\xE9\
        \ les recommandations relatives au cloisonnement aux services internes au\
        \ SIE, dont son administration.\LLorsqu\u2019il n\u2019est effectivement pas\
        \ possible d\u2019appliquer les recommandations pr\xE9c\xE9dentes sur certains\
        \ de ses SIE, l\u2019op\xE9rateur doit mettre en \u0153uvre des mesures de\
        \ protection suppl\xE9mentaires afin d\u2019atteindre les m\xEAmes objectifs\
        \ de s\xE9curit\xE9."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.6
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2
      ref_id: 3.2.6
      name: Cas des SIE ouverts au public
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r15
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.2.6
      ref_id: R15
      name: "Segmenter les SIE publics en au moins deux sous-syst\xE8mes"
      description: "Si le SIE est accessible depuis un r\xE9seau public, l\u2019op\xE9\
        rateur doit segmenter le SIE en au moins deux sous-syst\xE8mes :\L- un premier\
        \ sous-syst\xE8me correspondant \xE0 la partie du SIE directement accessible\
        \ \ndepuis le r\xE9seau public. Ce sous-syst\xE8me joue un r\xF4le de passerelle\
        \ ; \n- au moins un deuxi\xE8me sous-syst\xE8me correspondant \xE0 la partie\
        \ interne du SIE, non directement accessible depuis le r\xE9seau public mais\
        \ uniquement \xE0 travers la passerelle. \nL\u2019op\xE9rateur peut se reporter\
        \ au guide recommandations relatives \xE0 l\u2019interconnexion d\u2019un\
        \ syst\xE8me d\u2019information \xE0 Internet [31] de l\u2019ANSSI pour concevoir\
        \ la passerelle."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3
      ref_id: '3.3'
      name: "Acc\xE8s \xE0 distance (r\xE8gle 9)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3
      ref_id: 3.3.1
      name: "Acc\xE8s publics \xE0 un SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r16
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.1
      ref_id: R16
      name: "Acc\xE8s public : chiffrer et authentifier les flux au niveau applicatif"
      description: "L\u2019op\xE9rateur doit mettre en \u0153uvre un cloisonnement\
        \ logique par le chiffre pour l\u2019acc\xE8s public au SIE, en utilisant\
        \ si n\xE9cessaire des protocoles ne n\xE9cessitant pas d\u2019installer d\u2019\
        \xE9l\xE9ments sur le poste de l\u2019utilisateur. Cela inclut l\u2019utilisation\
        \ du protocole HTTPS pour les acc\xE8s Web. \nIl est fortement recommand\xE9\
        \ que ces protocoles soient conformes aux r\xE8gles pr\xE9conis\xE9es par\
        \ l\u2019ANSSI et d\xE9taill\xE9es notamment dans le r\xE9f\xE9rentiel g\xE9\
        n\xE9ral de s\xE9curit\xE9 [34] et dans les recommandations de s\xE9curit\xE9\
        \ relatives \xE0 TLS [28].\LIl est \xE9galement fortement recommand\xE9 que\
        \ le SIE soit authentifi\xE9 par la pr\xE9sentation d\u2019un certificat serveur\
        \ dont les clients peuvent v\xE9rifier la validit\xE9."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r17
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.1
      ref_id: R17
      name: "Acc\xE8s public : authentifier les utilisateurs"
      description: "Il est fortement recommand\xE9 que tout \xE9l\xE9ment du SIE accessible\
        \ publiquement et qui n\xE9cessite une authentification de l\u2019utilisateur\
        \ fasse appel \xE0 un m\xE9canisme d\u2019authentification \xE0 l\u2019\xE9\
        tat de l\u2019art."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r17+
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.1
      ref_id: R17+
      name: "Acc\xE8s public : authentifier les utilisateurs avec deux facteurs"
      description: "Si le besoin de s\xE9curit\xE9 le justifie, il est fortement recommand\xE9\
        \ de mettre en place une authentification \xE0 double facteur pour les utilisateurs\
        \ du service. "
      implementation_groups:
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3
      ref_id: 3.3.2
      name: "Acc\xE8s nomades \xE0 un SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r18
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.2
      ref_id: R18
      name: "Acc\xE8s nomade : mettre en place un tunnel chiffr\xE9 et authentifi\xE9"
      description: "L\u2019op\xE9rateur doit configurer le poste de travail nomade\
        \ afin qu\u2019il \xE9tablisse toujours  un tunnel authentifi\xE9 et chiffr\xE9\
        \ depuis le poste de travail jusqu\u2019au SIE, ou \xE0 d\xE9faut, jusqu\u2019\
        au SI interne de l\u2019op\xE9rateur.\LIl est recommand\xE9 de mettre en \u0153\
        uvre un tunnel reposant sur la technologie de VPN IPsec, configur\xE9 conform\xE9\
        ment aux recommandations de s\xE9curit\xE9 relatives \xE0 IPsec pour la protection\
        \ des flux r\xE9seau [24] de l\u2019ANSSI. \xC0 d\xE9faut, la technologie\
        \ TLS peut \xEAtre employ\xE9e [28]."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r19
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.2
      ref_id: R19
      name: "Acc\xE8s nomade : authentifier les utilisateurs avec deux facteurs"
      description: "L\u2019op\xE9rateur doit s\u2019assurer de l\u2019identit\xE9\
        \ de l\u2019utilisateur nomade en l\u2019obligeant \xE0 utiliser une authentification\
        \ \xE0 double facteur sur le poste de travail.\LLorsque des raisons techniques\
        \ ou organisationnelles emp\xEAchent de mettre en place de l\u2019authentification\
        \ \xE0 double facteur pour les utilisateurs nomades, l\u2019op\xE9rateur doit\
        \ d\xE9crire ces raisons dans le dossier d\u2019homologation du SIE."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r20
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.2
      ref_id: R20
      name: "Acc\xE8s nomade : chiffrer int\xE9gralement le disque du poste"
      description: "L\u2019op\xE9rateur doit prot\xE9ger la confidentialit\xE9 et\
        \ l\u2019int\xE9grit\xE9 des m\xE9moires de masse utilis\xE9es sur les postes\
        \ de travail en les chiffrant int\xE9gralement (\xE0 la fois la partition\
        \ syst\xE8me et les partitions de donn\xE9es).\LL\u2019op\xE9rateur doit employer\
        \ des m\xE9canismes de chiffrement et d\u2019authentification conformes aux\
        \ r\xE8gles pr\xE9conis\xE9es par l\u2019ANSSI et d\xE9taill\xE9es notamment\
        \ dans le R\xE9f\xE9rentiel g\xE9n\xE9ral de s\xE9curit\xE9 (RGS) [34]."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r21
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.2
      ref_id: R21
      name: "Acc\xE8s nomade : utiliser des filtres de confidentialit\xE9"
      description: "Il est fortement recommand\xE9 que l\u2019op\xE9rateur fournisse\
        \ aux utilisateurs en situation de nomadisme des filtres de confidentialit\xE9\
        , afin de prot\xE9ger la confidentialit\xE9 des donn\xE9es relatives au SIE."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3
      ref_id: 3.3.3
      name: "Acc\xE8s internes \xE0 un SIE"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r22
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.3.3
      ref_id: R22
      name: "Acc\xE8s interne : mettre en place un tunnel chiffr\xE9 et authentifi\xE9"
      description: "L\u2019op\xE9rateur doit mettre en place un tunnel authentifi\xE9\
        \ et chiffr\xE9 d\xE8s lors qu\u2019une communication li\xE9e au SIE transite\
        \ par un r\xE9seau non ma\xEEtris\xE9.\LIl est recommand\xE9 de mettre en\
        \ \u0153uvre un tunnel reposant sur la technologie de VPN IPsec, configur\xE9\
        \ conform\xE9ment aux recommandations de s\xE9curit\xE9 relatives \xE0 IPsec\
        \ pour la protection des flux r\xE9seau [24] de l\u2019ANSSI. \xC0 d\xE9faut,\
        \ la technologie TLS peut \xEAtre employ\xE9e [28]."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3
      ref_id: '3.4'
      name: "Filtrage r\xE9seau (r\xE8gle 10)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4
      ref_id: 3.4.1
      name: Points de filtrage
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r23
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.1
      ref_id: R23
      name: "Filtrer les flux aux interconnexions entre les syst\xE8mes et entre les\
        \ sous-syst\xE8mes"
      description: "L\u2019op\xE9rateur doit filtrer les flux r\xE9seau au niveau\
        \ des interconnexions entre les syst\xE8mes et les sous-syst\xE8mes d\xE9\
        finis par la r\xE8gle 7 relative au cloisonnement. Ce filtrage est d\xE9sign\xE9\
        \ filtrage p\xE9rim\xE9trique.\LLes dispositifs de filtrage p\xE9rim\xE9trique\
        \ ne peuvent \xEAtre mutualis\xE9s qu\u2019entre des sous- syst\xE8mes de\
        \ sensibilit\xE9 et d\u2019exposition similaires."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r23+
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.1
      ref_id: R23+
      name: "Filtrer les flux aux extr\xE9mit\xE9s des communications"
      description: "En compl\xE9ment du filtrage p\xE9rim\xE9trique, il est recommand\xE9\
        \ de filtrer les flux aux extr\xE9mit\xE9s des communications, au niveau des\
        \ serveurs, postes de travail et autres \xE9quipements. Ce filtrage est d\xE9\
        sign\xE9 filtrage local. Il est en g\xE9n\xE9ral mis en \u0153uvre par des\
        \ pare-feux logiciels int\xE9gr\xE9s aux \xE9quipements."
      implementation_groups:
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4
      ref_id: 3.4.2
      name: Besoins de filtrage
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r24
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.2
      ref_id: R24
      name: "D\xE9finir les besoins de filtrage sur le SIE"
      description: "L\u2019op\xE9rateur doit r\xE9pertorier pr\xE9cis\xE9ment les\
        \ communications strictement n\xE9cessaires (ou besoin de fonctionnement)\
        \ entre le SIE et les autres syst\xE8mes, et entre les sous- \nsyst\xE8mes\
        \ du SIE, pour formaliser les besoins de filtrage."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4
      ref_id: 3.4.3
      name: "R\xE8gles de filtrage"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r25
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.3
      ref_id: R25
      name: "Formaliser les r\xE8gles de filtrage"
      description: "L\u2019op\xE9rateur doit \xE9tablir et tenir \xE0 jour une liste\
        \ des r\xE8gles de filtrage en vigueur et des r\xE8gles supprim\xE9es depuis\
        \ moins d\u2019un an. Cette liste constitue la matrice de flux globale. \n\
        Il est fortement recommand\xE9 que cette liste pr\xE9cise pour chaque r\xE8\
        gle :\L- la date et le motif de la mise en \u0153uvre, de la modification\
        \ ou de la suppression de la r\xE8gle ; \n- un historique dat\xE9 des modifications\
        \ de la r\xE8gle ; \n- les modalit\xE9s techniques de mise en \u0153uvre de\
        \ la r\xE8gle, notamment le point de filtrage (le dispositif de filtrage)\
        \ concern\xE9 ; \n- les crit\xE8res techniques de filtrage r\xE9seau : adresses\
        \ r\xE9seau, protocoles, num\xE9ros de ports, modes d\u2019inspection, etc."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r26
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.3
      ref_id: R26
      name: "Passer r\xE9guli\xE8rement en revue les r\xE8gles de filtrage"
      description: "Il est recommand\xE9 que l\u2019op\xE9rateur effectue r\xE9guli\xE8\
        rement une revue exhaustive des r\xE8gles de filtrage relatives au SIE afin\
        \ de s\u2019assurer que ce qui est attendu est pertinent, et que ce qui est\
        \ impl\xE9ment\xE9 correspond effectivement \xE0 ce qui est attendu.\LLa p\xE9\
        riodicit\xE9 de cette revue est fix\xE9e par l\u2019analyse de risque, mais\
        \ il est recommand\xE9 qu\u2019elle ne d\xE9passe pas un an."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4
      ref_id: 3.4.4
      name: "Mise en \u0153uvre du filtrage"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4
      ref_id: 3.4.4.1
      name: Choix et mutualisation des dispositifs de filtrage
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r27
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4.1
      ref_id: R27
      name: "Mettre en \u0153uvre le filtrage gr\xE2ce \xE0 des \xE9quipements sp\xE9\
        cialis\xE9s"
      description: "Il est fortement recommand\xE9 que l\u2019op\xE9rateur utilise\
        \ des dispositifs d\xE9di\xE9s tels que des pare-feux pour mettre en \u0153\
        uvre la fonction de filtrage, et non des \xE9quipements dont ce n\u2019est\
        \ pas la fonction premi\xE8re.\LIl est recommand\xE9 de privil\xE9gier des\
        \ solutions disposant d\u2019un visa de s\xE9curit\xE9 de l\u2019ANSSI. \n\
        Enfin, dans un objectif de r\xE9duction de la surface d\u2019attaque, il est\
        \ recommand\xE9 que l\u2019op\xE9rateur limite le nombre de fonctions 20 port\xE9\
        es par ses pare-feux."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4
      ref_id: 3.4.4.2
      name: "Listes d\u2019autorisation et d\u2019interdiction"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r28
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:3.4.4.2
      ref_id: R28
      name: "Bloquer tous les flux non explicitement autoris\xE9s"
      description: "L\u2019op\xE9rateur doit mettre en \u0153uvre des m\xE9canismes\
        \ de filtrage reposant sur le principe des listes d\u2019autorisation, en\
        \ d\xE9crivant sp\xE9cifiquement ce qui est autoris\xE9 et en interdisant\
        \ par d\xE9faut tous les autres flux."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4
      assessable: false
      depth: 1
      ref_id: '4'
      name: "S\xE9curit\xE9 de l\u2019administration (r\xE8gles 11 et 12)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4
      ref_id: '4.2'
      name: "Comptes d\u2019administration (r\xE8gle 11)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2
      ref_id: 4.2.1
      name: "Usage des comptes d\u2019administration"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r29
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.1
      ref_id: R29
      name: "Utiliser des comptes d\u2019administration d\xE9di\xE9s"
      description: "L\u2019administrateur doit disposer d\u2019un ou plusieurs comptes\
        \ d\u2019administration d\xE9di\xE9s, distincts de son compte utilisateur,\
        \ pour effectuer des actions d\u2019administration.\LLes comptes d\u2019administration\
        \ doivent \xEAtre utilis\xE9s exclusivement pour des actions d\u2019administration.\
        \ En particulier, aucun compte d\u2019administration ne doit \xEAtre utilis\xE9\
        \ pour des actions bureautiques ou l\u2019ouverture de sessions de travail\
        \ sur des postes autres que ceux r\xE9serv\xE9s aux actions d\u2019administration."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r29-
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.1
      ref_id: R29-
      name: "Pallier l\u2019absence de comptes d\xE9di\xE9s \xE0 l\u2019administration"
      description: "Lorsque des raisons techniques emp\xEAchent d\u2019utiliser des\
        \ comptes d\xE9di\xE9s \xE0 l\u2019administration, l\u2019op\xE9rateur doit\
        \ mettre en place d\u2019une part des mesures permettant d\u2019assurer la\
        \ tra\xE7abilit\xE9 et le contr\xF4le des actions d\u2019administration r\xE9\
        alis\xE9es sur cette ressource et d\u2019autre part des mesures de r\xE9duction\
        \ du risque li\xE9 \xE0 l\u2019utilisation d\u2019un compte qui n\u2019est\
        \ pas d\xE9di\xE9 \xE0 l\u2019administration. \nL\u2019op\xE9rateur doit d\xE9\
        crire les raisons, les mesures et leurs justifications dans le dossier d\u2019\
        homologation du SIE.\n"
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r30
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.1
      ref_id: R30
      name: "Utiliser par d\xE9faut des comptes d\u2019administration individuels"
      description: "L\u2019op\xE9rateur doit cr\xE9er un compte d\u2019administration\
        \ individuel pour chaque administrateur.\LLes comptes natifs d\u2019administration\
        \ ne doivent pas \xEAtre utilis\xE9s pour les actions courantes d\u2019administration\
        \ et les secrets associ\xE9s ne doivent \xEAtre accessibles qu\u2019\xE0 un\
        \ nombre tr\xE8s restreint de personnes."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r31
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.1
      ref_id: R31
      name: "Attribuer les droits d\u2019administration \xE0 des groupes"
      description: "Il est recommand\xE9 d\u2019attribuer les droits d\u2019administration\
        \ \xE0 des groupes de comptes d\u2019administration plut\xF4t qu\u2019unitairement\
        \ \xE0 des comptes d\u2019administration."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2
      ref_id: 4.2.2
      name: "Protection des comptes d\u2019administration"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r32
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.2
      ref_id: R32
      name: "Prot\xE9ger l\u2019acc\xE8s aux annuaires des comptes d\u2019administration"
      description: "Il est fortement recommand\xE9 que le ou les annuaires contenant\
        \ les comptes d\u2019administration soient prot\xE9g\xE9s en confidentialit\xE9\
        \ et en int\xE9grit\xE9 et ne soient pas expos\xE9s sur des environnements\
        \ de moindre confiance (ex. : SI bureautique).\LIl est recommand\xE9 de d\xE9\
        ployer un annuaire d\xE9di\xE9 au SI d\u2019administration en tant qu\u2019\
        infrastructure d\u2019administration. Celui-ci g\xE8re les comptes d\u2019\
        administration et le contr\xF4le d\u2019acc\xE8s aux ressources administr\xE9\
        es."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r33
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.2
      ref_id: R33
      name: "Renforcer l\u2019authentification pour les comptes d\u2019administration"
      description: "Il est fortement recommand\xE9 que l\u2019op\xE9rateur s\u2019\
        assure que les comptes utilis\xE9s pour l\u2019administration technique du\
        \ SIE ne puissent \xEAtre compromis en renfor\xE7ant leurs m\xE9canismes d\u2019\
        authentification :\L- utilisation de mots de passe complexes ; \n- authentification\
        \ \xE0 double facteur ;\L- chiffrement ou hachage robuste 22 des secrets d\u2019\
        authentification, lorsqu\u2019ils sont en \ntransit ou stock\xE9s ;\L- m\xE9\
        canismes de protection des mots de passe contre les attaques en force brute\
        \ ; \n- m\xE9canismes de protection contre le rejeu de mots de passe."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r34
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.2
      ref_id: R34
      name: "Emp\xEAcher le stockage des secrets d\u2019authentification dans les\
        \ journaux"
      description: "L\u2019op\xE9rateur doit configurer ses journaux de telle sorte\
        \ qu\u2019ils ne stockent aucune information sur les secrets utilis\xE9s pour\
        \ l\u2019authentification des comptes d\u2019administration, que ce soit des\
        \ \xE9l\xE9ments stock\xE9s en clair ou sous forme d\u2019empreinte cryptographique."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r35
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.2.2
      ref_id: R35
      name: "Respecter le principe du moindre privil\xE8ge dans l\u2019attribution\
        \ des droits d\u2019administration"
      description: "L\u2019op\xE9rateur doit attribuer les droits d\u2019administration\
        \ aux comptes d\u2019administration en respectant le principe du moindre privil\xE8\
        ge."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4
      ref_id: '4.3'
      name: "Syst\xE8mes d\u2019information d\u2019administration (r\xE8gle 12)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3
      ref_id: 4.3.1
      name: "Ma\xEEtrise des ressources d\u2019administration"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r36
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.1
      ref_id: R36
      name: "N\u2019utiliser que des \xE9quipements ma\xEEtris\xE9s pour l\u2019administration"
      description: "L\u2019op\xE9rateur doit g\xE9rer et configurer les ressources\
        \ mat\xE9rielles et logicielles utilis\xE9es pour r\xE9aliser les actions\
        \ d\u2019administration, ou les faire g\xE9rer et configurer par un prestataire\
        \ mandat\xE9 pour r\xE9aliser ces actions.\LEn aucun cas l\u2019utilisation\
        \ d\u2019un \xE9quipement personnel ne doit \xEAtre tol\xE9r\xE9e pour l\u2019\
        administration d\u2019un SI."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3
      ref_id: 4.3.3
      name: "Poste d\u2019administration"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r37
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.3
      ref_id: R37
      name: "Utiliser un poste d\u2019administration d\xE9di\xE9"
      description: "L\u2019op\xE9rateur doit d\xE9dier des postes de travail physiques\
        \ \xE0 l\u2019ex\xE9cution aux actions d\u2019administration.\LCe poste doit\
        \ \xEAtre distinct du poste permettant d\u2019acc\xE9der aux autres environnements\
        \ de travail usuels accessibles sur le SI de l\u2019entit\xE9 (ressources\
        \ m\xE9tier, messagerie in- terne, gestion documentaire, Internet, etc.)."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r37-
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.3
      ref_id: R37-
      name: "Acc\xE9der aux autres environnements de travail depuis le poste d\u2019\
        administration"
      description: "Lorsque des raisons techniques ou organisationnelles le justifient,\
        \ le poste de travail physique de l\u2019administrateur peut \xEAtre utilis\xE9\
        \ pour r\xE9aliser des actions autres que des actions d\u2019administration.\L\
        L\u2019op\xE9rateur doit mettre en place des m\xE9canismes de durcissement\
        \ et de cloisonnement pour isoler l\u2019environnement logiciel utilis\xE9\
        \ pour ces autres op\xE9rations de l\u2019environnement logiciel d\u2019administration."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r38
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.3
      ref_id: R38
      name: "Renforcer la s\xE9curit\xE9 du poste d\u2019administration"
      description: "L\u2019op\xE9rateur doit renforcer la s\xE9curit\xE9 du poste\
        \ d\u2019administration. \nCela inclut notamment l\u2019interdiction d\u2019\
        acc\xE8s \xE0 Internet, le durcissement du syst\xE8me d\u2019exploitation,\
        \ la restriction des droits d\u2019administration du poste pour l\u2019utilisateur,\
        \ la limitation des logiciels install\xE9s sur le poste, et l\u2019utilisation\
        \ de chiffrement pour les p\xE9riph\xE9riques de stockage."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3
      ref_id: 4.3.4
      name: "R\xE9seau d\u2019administration"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r39
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      ref_id: R39
      name: "Connecter les ressources d\u2019administration sur un r\xE9seau physique\
        \ d\xE9di\xE9"
      description: "L\u2019op\xE9rateur doit d\xE9ployer les ressources d\u2019administration\
        \ (ex. : postes d\u2019administration, serveurs outils) sur un r\xE9seau physiquement\
        \ d\xE9di\xE9 \xE0 cet usage.\LAfin de renforcer le contr\xF4le d\u2019acc\xE8\
        s au r\xE9seau d\u2019administration, il est recommand\xE9 que les postes\
        \ d\u2019administration s\u2019authentifient lorsqu\u2019ils se connectent\
        \ \xE0 ce r\xE9seau."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r39-
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      ref_id: R39-
      name: "Connecter les ressources d\u2019administration sur un r\xE9seau VPN IPsec\
        \ d\xE9di\xE9"
      description: "Lorsque l\u2019op\xE9rateur ne peut d\xE9dier un r\xE9seau physique\
        \ \xE0 l\u2019administration et que, pour des raisons techniques, les flux\
        \ d\u2019administration circulent sur d\u2019autres r\xE9seaux, l\u2019op\xE9\
        rateur doit d\xE9ployer les ressources d\u2019administration sur un r\xE9\
        seau logique d\xE9di\xE9 \xE0 cet usage en mettant en \u0153uvre des m\xE9\
        canismes de chiffrement et d\u2019authentification de r\xE9seau, \xE0 savoir\
        \ le protocole IPsec. \nEn compl\xE9ment, des m\xE9canismes de segmentation\
        \ logique (VLAN) et de filtrage r\xE9seau sont recommand\xE9s pour limiter\
        \ l\u2019exposition du concentrateur VPN IPsec aux seuls postes d\u2019administration.\L\
        Pour la mise en \u0153uvre du protocole IPsec, les recommandations du guide\
        \ de l\u2019ANSSI [24] doivent \xEAtre appliqu\xE9es."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r39---
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      ref_id: R39- -
      name: "Pallier l\u2019absence de chiffrement des flux d\u2019administration"
      description: "Lorsque des raisons techniques emp\xEAchent de chiffrer et d\u2019\
        authentifier les flux d\u2019administration lorsqu\u2019ils circulent sur\
        \ d\u2019autres r\xE9seaux, l\u2019op\xE9rateur doit mettre en \u0153uvre\
        \ des mesures permettant de prot\xE9ger la confidentialit\xE9 et l\u2019int\xE9\
        grit\xE9 de ces flux et de renforcer le contr\xF4le et la tra\xE7abilit\xE9\
        \ des op\xE9rations d\u2019administration. L\u2019op\xE9rateur doit d\xE9\
        crire les raisons, les mesures et leurs justifications dans le dossier d\u2019\
        homologation du SIE."
      implementation_groups:
      - R--
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r40
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      ref_id: R40
      name: "D\xE9dier une interface r\xE9seau physique d\u2019administration"
      description: "Il est recommand\xE9 de d\xE9dier une interface r\xE9seau physique\
        \ d\u2019administration sur les ressources administr\xE9es en s\u2019assurant\
        \ des pr\xE9requis suivants :\L- les services logiques permettant l\u2019\
        ex\xE9cution des actions d\u2019administration doivent \n\xEAtre en \xE9coute\
        \ uniquement sur l\u2019interface r\xE9seau d\u2019administration pr\xE9vue\
        \ \xE0 cet effet ;\L- les fonctions internes du syst\xE8me d\u2019exploitation\
        \ ne doivent pas permettre le routage d\u2019informations entre les interfaces\
        \ r\xE9seau de production et l\u2019interface r\xE9seau d\u2019administration\
        \ d\u2019une m\xEAme ressource. Elles doivent \xEAtre d\xE9sactiv\xE9es (ex.\
        \ : d\xE9sactivation d\u2019IP Forwarding)."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r40-
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      ref_id: R40-
      name: "D\xE9dier une interface r\xE9seau virtuelle d\u2019administration"
      description: "\xC0 d\xE9faut d\u2019une interface r\xE9seau physique d\u2019\
        administration, il est recommand\xE9 de d\xE9dier une interface r\xE9seau\
        \ virtuelle d\u2019administration sur les ressources administr\xE9es. \nLes\
        \ m\xEAmes pr\xE9requis que R40 s\u2019appliquent."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r41
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.4
      ref_id: R41
      name: "Cloisonner et filtrer le r\xE9seau d\u2019administration"
      description: "Il est fortement recommand\xE9 de cloisonner et de filtrer le\
        \ r\xE9seau d\u2019administration, avec en particulier :\LI un filtrage interne\
        \ au sein du SI d\u2019administration, entre zones de confiance (postes \n\
        d\u2019administration, serveurs d\u2019infrastructures, outils, les diff\xE9\
        rents r\xE9seaux de ressources administr\xE9es) ; \nI un filtrage p\xE9rim\xE9\
        trique \xE0 toutes les interconnexions du SI d\u2019administration avec d\u2019\
        autres SI ; \nI un filtrage local sur chaque ressource administr\xE9e ; \n\
        I l\u2019activation du PVLAN sur les commutateurs reliant les ressources administr\xE9\
        es, pour interdire les flux entre ressources administr\xE9es \xE0 travers\
        \ le r\xE9seau d\u2019administration."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.5
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3
      ref_id: 4.3.5
      name: "Protocoles d\u2019administration"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r42
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.5
      ref_id: R42
      name: "Utiliser des protocoles s\xE9curis\xE9s pour l\u2019administration"
      description: "Les flux d\u2019administration \xE9tant particuli\xE8rement sensibles,\
        \ il est fortement recommand\xE9 que l\u2019op\xE9rateur utilise une version\
        \ s\xE9curis\xE9e des protocoles d\u2019administration permettant de prot\xE9\
        ger la confidentialit\xE9 et l\u2019int\xE9grit\xE9 de ces flux.\LLe cas \xE9\
        ch\xE9ant, les protocoles non s\xE9curis\xE9s doivent \xEAtre explicitement\
        \ d\xE9sactiv\xE9s ou bloqu\xE9s."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.6
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3
      ref_id: 4.3.6
      name: Administration de plusieurs SI
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r43
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:4.3.6
      ref_id: R43
      name: "Administrer des SI diff\xE9rents avec des serveurs outils diff\xE9rents"
      description: "L\u2019op\xE9rateur souhaitant administrer deux SI diff\xE9rents\
        \ (un SIE et un autre SI par exemple) peut le faire depuis le m\xEAme SI d\u2019\
        administration si celui-ci respecte les recommandations du pr\xE9sent chapitre.\L\
        Il est alors recommand\xE9 que l\u2019op\xE9rateur d\xE9die un serveur outils\
        \ \xE0 l\u2019administration du SIE et respecte le cloisonnement, physique\
        \ ou logique, entre zones de confiance jusque dans la zone des serveurs outils."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5
      assessable: false
      depth: 1
      ref_id: '5'
      name: "Gestion des identit\xE9s et des acc\xE8s (r\xE8gles 13 \xE0 15)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5
      ref_id: '5.1'
      name: "Identification (r\xE8gle 13)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1
      ref_id: 5.1.1
      name: Utilisation de comptes individuels
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r44
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1.1
      ref_id: R44
      name: Utiliser des comptes individuels
      description: "L\u2019op\xE9rateur doit attribuer un compte individuel \xE0 chaque\
        \ utilisateur ou processus automatique qui acc\xE8de au SIE ou l\u2019utilise."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r44-
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1.1
      ref_id: R44-
      name: "Pallier l\u2019absence de comptes individuels"
      description: "Lorsque des raisons techniques ou op\xE9rationnelles emp\xEAchent\
        \ de cr\xE9er des comptes individuels pour les utilisateurs ou pour les processus\
        \ automatiques, l\u2019op\xE9rateur doit mettre en place des mesures pour\
        \ r\xE9duire le risque li\xE9 \xE0 l\u2019utilisation de comptes partag\xE9\
        s. Les objectifs sont d\u2019assurer la tra\xE7abilit\xE9 de l\u2019usage\
        \ de ces comptes et d\u2019en d\xE9tecter les usages malveillants. \nL\u2019\
        op\xE9rateur doit d\xE9crire les raisons, les mesures et leurs justifications\
        \ dans le dossier d\u2019homologation du SIE."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1
      ref_id: 5.1.2
      name: "Comptes inutilis\xE9s"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r45
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.1.2
      ref_id: R45
      name: "D\xE9sactiver les comptes inutilis\xE9s"
      description: "L\u2019op\xE9rateur doit d\xE9sactiver sans d\xE9lai les comptes\
        \ individuels ou partag\xE9s qui ne sont plus n\xE9cessaires."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5
      ref_id: '5.2'
      name: "Authentification (r\xE8gle 14)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2
      ref_id: 5.2.1
      name: "Secret d\u2019authentification"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1
      ref_id: 5.2.1.1
      name: "S\xE9curit\xE9 du m\xE9canisme d\u2019authentification"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r46
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1.1
      ref_id: R46
      name: "Mettre en \u0153uvre un m\xE9canisme d\u2019authentification pour chaque\
        \ compte"
      description: "L\u2019op\xE9rateur doit prot\xE9ger les acc\xE8s aux ressources\
        \ de ses SIE, que ce soit par un utilisateur ou par un processus automatique,\
        \ au moyen d\u2019un m\xE9canisme d\u2019authentification \nimpliquant au\
        \ minimum un \xE9l\xE9ment secret."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r47
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1.1
      ref_id: R47
      name: "\xC9tablir une politique de gestion des secrets d\u2019authentification"
      description: "L\u2019op\xE9rateur doit d\xE9finir et appliquer une politique\
        \ de gestion des \xE9l\xE9ments secrets d\u2019authentification, dont les\
        \ mots de passe, en accord avec sa politique de s\xE9curit\xE9 des syst\xE8\
        mes d\u2019information.\LEn particulier, l\u2019op\xE9rateur doit configurer\
        \ le SIE pour forcer le choix de mots de passe conformes \xE0 cette politique\
        \ (longueur, types de caract\xE8res, fr\xE9quence de renouvelle- ment)."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1
      ref_id: 5.2.1.2
      name: Partage de secrets
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r48
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1.2
      ref_id: R48
      name: "Interdire le partage de secrets d\u2019authentification"
      description: "L\u2019op\xE9rateur doit interdire le partage d\u2019\xE9l\xE9\
        ments secrets entre plusieurs utilisateurs et sensibiliser ses utilisateurs\
        \ sur le fait qu\u2019un secret d\u2019authentification ne doit pas \xEAtre\
        \ divulgu\xE9."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r48-
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.1.2
      ref_id: R48-
      name: "Prot\xE9ger les secrets d\u2019authentification des comptes partag\xE9\
        s"
      description: "Dans le cas d\u2019un compte partag\xE9, le partage du secret\
        \ d\u2019authentification ne doit se faire strictement qu\u2019entre les personnes\
        \ ayant le besoin d\u2019utiliser le compte partag\xE9. Cela implique en particulier\
        \ que le secret associ\xE9 \xE0 un compte partag\xE9 doit \xEAtre renouvel\xE9\
        \ chaque fois qu\u2019un utilisateur perd le besoin m\xE9tier l\xE9gitime\
        \ d\u2019utiliser ce compte, ou que la confidentialit\xE9 du mot de passe\
        \ n\u2019est plus assur\xE9e."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2
      ref_id: 5.2.2
      name: "Renforcement de l\u2019authentification"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.2.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.2
      ref_id: 5.2.2.1
      name: "Cas des comptes privil\xE9gi\xE9s"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r49
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.2.1
      ref_id: R49
      name: "D\xE9dier un mot de passe \xE0 chaque compte privil\xE9gi\xE9"
      description: "Lorsque les \xE9l\xE9ments secrets d\u2019authentification sont\
        \ des mots de passe, les utilisateurs ne doivent pas les r\xE9utiliser entre\
        \ plusieurs comptes, privil\xE9gi\xE9s ou non privil\xE9gi\xE9s. Il est fortement\
        \ recommand\xE9 que le mot de passe d\u2019un compte privil\xE9gi\xE9 ne puisse\
        \ pas \xEAtre d\xE9duit d\u2019un mot de passe d\u2019un autre compte du m\xEA\
        me utilisateur."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r50
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.2.1
      ref_id: R50
      name: Stocker les mots de passe dans un coffre-fort de mots de passe
      description: "Il est recommand\xE9 d\u2019utiliser un coffre-fort de mots de\
        \ passe pour stocker de mani\xE8re s\xE9curis\xE9e les mots de passe, en particulier\
        \ pour les comptes privil\xE9gi\xE9s. Il est recommand\xE9 de privil\xE9gier\
        \ les solutions disposant d\u2019un visa de s\xE9curit\xE9 de l\u2019ANSSI."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2
      ref_id: 5.2.3
      name: Renouvellement des secrets
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3.1
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3
      ref_id: 5.2.3.1
      name: "Renouvellement r\xE9gulier des secrets"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r51
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3.1
      ref_id: R51
      name: "Renouveler r\xE9guli\xE8rement les secrets d\u2019authentification"
      description: "L\u2019op\xE9rateur doit renouveler r\xE9guli\xE8rement les secrets\
        \ d\u2019authentification. \nLa fr\xE9quence de renouvellement doit \xEAtre\
        \ choisie en accord avec la PSSI et doit r\xE9pondre \xE0 l\u2019objectif\
        \ de protection des SIE concern\xE9s."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r51-
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3.1
      ref_id: R51-
      name: "Pallier l\u2019impossibilit\xE9 de modifier un secret d\u2019authentification"
      description: "Lorsque la ressource ne permet pas techniquement de modifier l\u2019\
        \xE9l\xE9ment secret d\u2019authentification, l\u2019op\xE9rateur doit mettre\
        \ en place des mesures techniques et organisationnelles permettant de r\xE9\
        duire les risques associ\xE9s \xE0 ce secret fixe.\LL\u2019op\xE9rateur doit\
        \ d\xE9crire les raisons, les mesures et leurs justifications dans le dossier\
        \ d\u2019homologation du SIE. \nCes mesures concernent en particulier le contr\xF4\
        le d\u2019acc\xE8s physique \xE0 la ressource \nconcern\xE9e ou la tra\xE7\
        abilit\xE9 (horaire, dur\xE9e, etc.) des acc\xE8s, afin de rattacher indirectement\
        \ une action \xE0 une personne."
      implementation_groups:
      - R-
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r52
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3.1
      ref_id: R52
      name: "Contr\xF4ler le renouvellement et l\u2019acc\xE8s aux secrets d\u2019\
        authentification"
      description: "L\u2019op\xE9rateur doit s\u2019assurer que seuls les utilisateurs\
        \ qui en ont la responsabilit\xE9 peuvent modifier les \xE9l\xE9ments secrets\
        \ d\u2019authentification et peuvent acc\xE9der, si n\xE9cessaire, \xE0 ces\
        \ secrets en clair."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3.2
      assessable: false
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3
      ref_id: 5.2.3.2
      name: Renouvellement ponctuel des secrets
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r53
      assessable: true
      depth: 5
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.2.3.2
      ref_id: R53
      name: "Renouveler imm\xE9diatement des secrets d\u2019authentification"
      description: "Lorsque les conditions de s\xE9curit\xE9 prot\xE9geant un secret\
        \ d\u2019authentification ne sont plus r\xE9unies, il est fortement recommand\xE9\
        \ que l\u2019op\xE9rateur renouvelle imm\xE9diatement ce secret."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5
      ref_id: '5.3'
      name: "Droits d\u2019acc\xE8s (r\xE8gle 15)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3
      ref_id: 5.3.1
      name: "Attribution des droits d\u2019acc\xE8s"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r54
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3.1
      ref_id: R54
      name: "D\xE9finir une politique de gestion des droits d\u2019acc\xE8s"
      description: "L\u2019op\xE9rateur doit d\xE9finir les r\xE8gles de gestion et\
        \ d\u2019attribution des droits d\u2019acc\xE8s aux ressources de ses SIE,\
        \ conform\xE9ment \xE0 sa politique de s\xE9curit\xE9 des syst\xE8mes d\u2019\
        information."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r55
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3.1
      ref_id: R55
      name: "Attribuer les droits d\u2019acc\xE8s suivant le principe du moindre privil\xE8\
        ge"
      description: "L\u2019op\xE9rateur doit n\u2019attribuer \xE0 un utilisateur\
        \ ou \xE0 un processus automatique que les droits strictement n\xE9cessaires\
        \ \xE0 l\u2019ex\xE9cution des actions dont l\u2019utilit\xE9 est av\xE9r\xE9\
        e.\LIl est recommand\xE9 qu\u2019aucun droit ne soit attribu\xE9 par d\xE9\
        faut \xE0 un utilisateur ou \xE0 un processus automatique. \nIl est recommand\xE9\
        \ que les droits soient attribu\xE9s \xE0 groupes de comptes."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r56
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3.1
      ref_id: R56
      name: "D\xE9finir une tra\xE7abilit\xE9 des comptes privil\xE9gi\xE9s"
      description: "L\u2019op\xE9rateur doit \xE9tablir et tenir \xE0 jour la liste\
        \ des comptes privil\xE9gi\xE9s. \nToute modification d\u2019un compte privil\xE9\
        gi\xE9 (ajout, suppression, suspension ou modification des droits associ\xE9\
        s) doit faire l\u2019objet d\u2019un contr\xF4le formel de l\u2019op\xE9rateur\
        \ destin\xE9 \xE0 v\xE9rifier que les droits d\u2019acc\xE8s aux ressources\
        \ et fonctionnalit\xE9s sont attribu\xE9s selon le principe du moindre privil\xE8\
        ge et en coh\xE9rence avec les besoins du compte."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3
      ref_id: 5.3.2
      name: "Revue des droits d\u2019acc\xE8s"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r57
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:5.3.2
      ref_id: R57
      name: "Faire une revue r\xE9guli\xE8re des droits d\u2019acc\xE8s"
      description: "L\u2019op\xE9rateur doit faire une revue r\xE9guli\xE8re des droits\
        \ d\u2019acc\xE8s attribu\xE9s, au moins tous les ans. Cette revue est \xE9\
        galement une opportunit\xE9 pour d\xE9tecter des comptes \xE0 d\xE9s- activer.\L\
        Cette r\xE9vision porte sur les liens entre les comptes, les droits d\u2019\
        acc\xE8s associ\xE9s et les ressources ou les fonctionnalit\xE9s qui en font\
        \ l\u2019objet."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6
      assessable: false
      depth: 1
      ref_id: '6'
      name: "Maintien en conditions de s\xE9curit\xE9 (r\xE8gle 16)"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.1
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6
      ref_id: '6.1'
      name: "Proc\xE9dure de maintien en conditions de s\xE9curit\xE9"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r58
      assessable: true
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.1
      ref_id: R58
      name: Documenter une politique de MCS
      description: "L\u2019op\xE9rateur doit \xE9laborer et tenir \xE0 jour une politique\
        \ de maintien en conditions de s\xE9curit\xE9 des ressources mat\xE9rielles\
        \ et logicielles de ses SIE, conform\xE9ment \xE0 sa PSSI. Cette politique\
        \ doit d\xE9finir les proc\xE9dures de veille de s\xE9curit\xE9, de v\xE9\
        rification des mises \xE0 jour et d\u2019analyse de leurs impacts, les d\xE9\
        lais d\u2019application des mises \xE0 jour et la gestion des exceptions."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r59
      assessable: true
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.1
      ref_id: R59
      name: "Mettre en place une veille de s\xE9curit\xE9"
      description: "L\u2019op\xE9rateur doit se tenir inform\xE9 des vuln\xE9rabilit\xE9\
        s et des mesures correctrices de s\xE9curit\xE9 susceptibles de concerner\
        \ les ressources mat\xE9rielles et logicielles de ses SIE. Pour cela, il doit\
        \ utiliser des sources de confiance, notamment les fournisseurs ou les fabricants\
        \ des ressources concern\xE9es ou les centres de pr\xE9vention et d\u2019\
        alerte en mati\xE8re de s\xE9curit\xE9 num\xE9rique tels que le CERT-FR 30."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2
      assessable: false
      depth: 2
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6
      ref_id: '6.2'
      name: "Application des mises \xE0 jour de s\xE9curit\xE9"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.1
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2
      ref_id: 6.2.1
      name: "T\xE9l\xE9chargement de mises \xE0 jour fiables"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r60
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.1
      ref_id: R60
      name: "Obtenir des mises \xE0 jour de s\xE9curit\xE9 officielles"
      description: "Il est fortement recommand\xE9 que l\u2019op\xE9rateur s\u2019\
        assure de l\u2019origine et de l\u2019int\xE9grit\xE9 de toute nouvelle version\
        \ ou mise \xE0 jour de s\xE9curit\xE9 avant son installation.\LSi la mise\
        \ jour de s\xE9curit\xE9 est sign\xE9e, il est fortement recommand\xE9 que\
        \ l\u2019op\xE9rateur v\xE9rifie la signature."
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.2
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2
      ref_id: 6.2.2
      name: "Application des mises \xE0 jour"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r61
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.2
      ref_id: R61
      name: "Appliquer les mises \xE0 jour de s\xE9curit\xE9"
      description: "Une fois inform\xE9 de la disponibilit\xE9 d\u2019une mise \xE0\
        \ jour, l\u2019op\xE9rateur doit en planifier l\u2019installation, en accord\
        \ avec les d\xE9lais fix\xE9s par la proc\xE9dure de MCS du SIE. Pr\xE9alablement\
        \ \xE0 l\u2019installation, l\u2019op\xE9rateur doit analyser l\u2019impact\
        \ de la mise \xE0 jour et pr\xE9voir les exceptions. Il est recommand\xE9\
        \ que l\u2019op\xE9rateur d\xE9finisse une proc\xE9dure de retour \xE0 la\
        \ version pr\xE9c\xE9dente en cas de probl\xE8me lors de l\u2019installation.\n"
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.3
      assessable: false
      depth: 3
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2
      ref_id: 6.2.3
      name: "Gestion des syst\xE8mes obsol\xE8tes"
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r62
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.3
      ref_id: R62
      name: "Utiliser des logiciels et des mat\xE9riels support\xE9s"
      description: "Toutes les ressources mat\xE9rielles et logicielles du SIE doivent\
        \ \xEAtre dans des versions support\xE9es par leurs fournisseurs ou leurs\
        \ fabricants.\LIl est recommand\xE9 que l\u2019op\xE9rateur mette en \u0153\
        uvre une gestion du cycle de vie de ces ressources pour en pr\xE9venir l\u2019\
        obsolescence. \n"
      implementation_groups:
      - R
      - R+
    - urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:r62-
      assessable: true
      depth: 4
      parent_urn: urn:protocolpaladin:risk:req_node:anssi-recommandations-pour-la-protection-des-sie:6.2.3
      ref_id: R62-
      name: "Pallier l\u2019utilisation de versions obsol\xE8tes de logiciels et de\
        \ mat\xE9riels"
      description: "Lorsque des raisons techniques ou organisationnelles retardent\
        \ ou emp\xEAchent la mise \xE0 jour d\u2019un SIE, l\u2019op\xE9rateur doit\
        \ mettre en place des mesures techniques ou organisationnelles pr\xE9vues\
        \ par la proc\xE9dure de MCS pour r\xE9duire les risques li\xE9s \xE0 une\
        \ version obsol\xE8te. \nL\u2019op\xE9rateur doit d\xE9crire les raisons,\
        \ les mesures et leurs justifications dans le dossier d\u2019homologation\
        \ du SIE.\LEn particulier, il est recommand\xE9 de renforcer le cloisonnement\
        \ et le filtrage entre le SIE et les autres SI, et au sein du SIE, en allant\
        \ si possible jusqu\u2019\xE0 l\u2019isolation des composants obsol\xE8tes.\n"
      implementation_groups:
      - R-
      - R
      - R+