diff --git a/backend/core/migrations/0045_alter_appliedcontrol_category_and_more.py b/backend/core/migrations/0045_alter_appliedcontrol_category_and_more.py new file mode 100644 index 0000000000..c3429f70b4 --- /dev/null +++ b/backend/core/migrations/0045_alter_appliedcontrol_category_and_more.py @@ -0,0 +1,46 @@ +# Generated by Django 5.1.1 on 2024-12-07 22:10 + +from django.db import migrations, models + + +class Migration(migrations.Migration): + dependencies = [ + ("core", "0044_qualification"), + ] + + operations = [ + migrations.AlterField( + model_name="appliedcontrol", + name="category", + field=models.CharField( + blank=True, + choices=[ + ("policy", "Policy"), + ("process", "Process"), + ("technical", "Technical"), + ("physical", "Physical"), + ("procedure", "Procedure"), + ], + max_length=20, + null=True, + verbose_name="Category", + ), + ), + migrations.AlterField( + model_name="referencecontrol", + name="category", + field=models.CharField( + blank=True, + choices=[ + ("policy", "Policy"), + ("process", "Process"), + ("technical", "Technical"), + ("physical", "Physical"), + ("procedure", "Procedure"), + ], + max_length=20, + null=True, + verbose_name="Category", + ), + ), + ] diff --git a/backend/core/models.py b/backend/core/models.py index 5ab669cfd1..febf848ee8 100644 --- a/backend/core/models.py +++ b/backend/core/models.py @@ -780,6 +780,7 @@ class ReferenceControl(ReferentialObjectMixin, I18nObjectMixin): ("process", _("Process")), ("technical", _("Technical")), ("physical", _("Physical")), + ("procedure", _("Procedure")), ] CSF_FUNCTION = [ diff --git a/backend/library/libraries/anssi-guide-hygiene-detail.yaml b/backend/library/libraries/anssi-guide-hygiene-detail.yaml new file mode 100644 index 0000000000..1d28213abd --- /dev/null +++ b/backend/library/libraries/anssi-guide-hygiene-detail.yaml @@ -0,0 +1,3209 @@ +urn: urn:intuitem:risk:library:anssi-guide-hygiene-detail +locale: fr +ref_id: ANSSI-GUIDE-HYGIENE-DETAIL +name: "ANSSI - Guide d'hygi\xE8ne informatique - version d\xE9taill\xE9e" +description: "Renforcer la s\xE9curit\xE9 de son syst\xE8me d\u2019information en\ + \ 42 mesures\nVersion d\xE9taill\xE9e\n https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf" +copyright: Licence Ouverte/Open Licence (Etalab - V1) +version: 1 +provider: ANSSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:anssi-guide-hygiene-detail + ref_id: ANSSI-GUIDE-HYGIENE-DETAIL + name: "ANSSI - Guide d'hygi\xE8ne informatique - version d\xE9taill\xE9e" + description: "Renforcer la s\xE9curit\xE9 de son syst\xE8me d\u2019information\ + \ en 42 mesures\nVersion d\xE9taill\xE9e\n https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf" + implementation_groups_definition: + - ref_id: S + name: standard + description: null + - ref_id: R + name: "renforc\xE9" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + assessable: false + depth: 1 + ref_id: I + name: Sensibiliser et former + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + ref_id: '1' + name: "Former les \xE9quipes op\xE9rationnelles \xE0 la s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + description: "Les \xE9quipes op\xE9rationnelles (administrateurs r\xE9seau,\ + \ s\xE9curit\xE9 et syst\xE8me, chefs de projet, d\xE9veloppeurs, RSSI) ont\ + \ des acc\xE8s privil\xE9gi\xE9s au syst\xE8me d\u2019information. Elles peuvent,\ + \ par inadvertance ou par m\xE9connaissance des cons\xE9quences de certaines\ + \ pratiques, r\xE9aliser des op\xE9rations g\xE9n\xE9ratrices de vuln\xE9\ + rabilit\xE9s.\nCitons par exemple l\u2019affectation de comptes disposant\ + \ de trop nombreux privil\xE8ges par rapport \xE0 la t\xE2che \xE0 r\xE9aliser,\ + \ l\u2019utilisation de comptes personnels pour ex\xE9cuter des services ou\ + \ t\xE2ches p\xE9riodiques, ou encore le choix de mots de passe peu robustes\ + \ donnant acc\xE8s \xE0 des comptes privil\xE9gi\xE9s.\nLes \xE9quipes op\xE9\ + rationnelles, pour \xEAtre \xE0 l\u2019\xE9tat de l\u2019art de la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information, doivent donc suivre - \xE0 leur prise\ + \ de poste puis \xE0 intervalles r\xE9guliers - des formations sur :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.educ + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:doc.educ_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: "la l\xE9gislation en vigueur ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.legal + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: les principaux risques et menaces ; + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.threat + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: "le maintien en condition de s\xE9curit\xE9 ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.mcs + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node8 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: "l\u2019authentification et le contr\xF4le d\u2019acc\xE8s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.iam + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node9 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: "le param\xE9trage fin et le durcissement des syst\xE8mes ; " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.hardening + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node10 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: "le cloisonnement r\xE9seau ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.network_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node11 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node4 + description: 'et la journalisation. ' + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.logging + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node12 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + description: "Cette liste doit \xEAtre pr\xE9cis\xE9e selon le m\xE9tier des\ + \ collaborateurs en consid\xE9rant des aspects tels que l\u2019int\xE9gration\ + \ de la s\xE9curit\xE9 pour les chefs de projet, le d\xE9veloppement s\xE9\ + curis\xE9 pour les d\xE9veloppeurs, les r\xE9f\xE9rentiels de s\xE9curit\xE9\ + \ pour les RSSI, etc. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node13 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + description: "Il est par ailleurs n\xE9cessaire de faire mention de clauses\ + \ sp\xE9cifiques dans les contrats de prestation pour garantir une formation\ + \ r\xE9guli\xE8re \xE0 la s\xE9curit\xE9 des syst\xE8mes d\u2019information\ + \ du personnel externe et notamment les infog\xE9rants." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + ref_id: '2' + name: "Sensibiliser les utilisateurs aux bonnes pratiques \xE9l\xE9mentaires\ + \ de s\xE9curit\xE9 informatique" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node15 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "Chaque utilisateur est un maillon \xE0 part enti\xE8re de la cha\xEE\ + ne des syst\xE8mes d\u2019information. \xC0 ce titre et d\xE8s son arriv\xE9\ + e dans l\u2019entit\xE9, il doit \xEAtre inform\xE9 des enjeux de s\xE9curit\xE9\ + , des r\xE8gles \xE0 respecter et des bons comportements \xE0 adopter en mati\xE8\ + re de s\xE9curit\xE9 des syst\xE8mes d\u2019information \xE0 travers des actions\ + \ de sensibilisation et de formation." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn:intuitem:risk:function:doc-pol:pol.educ + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:doc.educ_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node16 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "Ces derni\xE8res doivent \xEAtre r\xE9guli\xE8res, adapt\xE9es\ + \ aux utilisateurs cibl\xE9s, peuvent prendre diff\xE9rentes formes (mails,\ + \ affichage, r\xE9unions, espace intranet d\xE9di\xE9, etc.) et aborder au\ + \ minimum les sujets suivants :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node17 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "les objectifs et enjeux que rencontre l\u2019entit\xE9 en mati\xE8\ + re de s\xE9curit\xE9 des syst\xE8mes d\u2019information ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node18 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "les informations consid\xE9r\xE9es comme sensibles ;\n" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node19 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "les r\xE9glementations et obligations l\xE9gales ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node20 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "les r\xE8gles et consignes de s\xE9curit\xE9 r\xE9gissant l\u2019\ + activit\xE9 quotidienne : respect de la politique de s\xE9curit\xE9, non-connexion\ + \ d\u2019\xE9quipements personnels au r\xE9seau de l\u2019entit\xE9, non-divulgation\ + \ de mots de passe \xE0 un tiers, non-r\xE9utilisation de mots de passe professionnels\ + \ dans la sph\xE8re priv\xE9e et inversement, signalement d\u2019\xE9v\xE9\ + nements suspects, etc. ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node21 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "les moyens disponibles et participant \xE0 la s\xE9curit\xE9 du\ + \ syst\xE8me : verrouillage syst\xE9matique de la session lorsque l\u2019\ + utilisateur quitte son poste, outil de protection des mots de passe, etc. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node22 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "Pour renforcer ces mesures, l\u2019\xE9laboration et la signature\ + \ d\u2019une charte des moyens informatiques pr\xE9cisant les r\xE8gles et\ + \ consignes que doivent respecter les utilisateurs peut \xEAtre envisag\xE9\ + e." + annotation: "Utiliser le r\xE8glement int\xE9rieur en y annexant la charte d'utilisation\ + \ \xE9vite de devoir recueillir des signatures." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.internal_rules + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + ref_id: '3' + name: "Ma\xEEtriser les risques de l\u2019infog\xE9rance" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node24 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Lorsqu\u2019une entit\xE9 souhaite externaliser son syst\xE8me\ + \ d\u2019information ou ses donn\xE9es, elle doit en amont \xE9valuer les\ + \ risques sp\xE9cifiques \xE0 l\u2019infog\xE9rance (ma\xEEtrise du syst\xE8\ + me d\u2019information, actions \xE0 distance, h\xE9bergement mutualis\xE9\ + , etc.) afin de prendre en compte, d\xE8s la r\xE9daction des exigences applicables\ + \ au futur prestataire, les besoins et mesures de s\xE9curit\xE9 adapt\xE9\ + s. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn:intuitem:risk:function:doc-pol:doc.risk_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node25 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Les risques SSI inh\xE9rents \xE0 ce type de d\xE9marche peuvent\ + \ \xEAtre li\xE9s au contexte de l\u2019op\xE9ration d\u2019externalisation\ + \ mais aussi \xE0 des sp\xE9cifications contractuelles d\xE9ficientes ou incompl\xE8\ + tes.\nEn faveur du bon d\xE9roulement des op\xE9rations, il s\u2019agit donc\ + \ :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node26 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node25 + description: "d\u2019\xE9tudier attentivement les conditions des offres, la\ + \ possibilit\xE9 de les adapter \xE0 des besoins sp\xE9cifiques et les limites\ + \ de responsabilit\xE9 du prestataire ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node27 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node25 + description: "d\u2019imposer une liste d\u2019exigences pr\xE9cises au prestataire\ + \ : r\xE9versibilit\xE9 du contrat, r\xE9alisation d\u2019audits, sauvegarde\ + \ et restitution des donn\xE9es dans un format ouvert normalis\xE9, maintien\ + \ \xE0 niveau de la s\xE9curit\xE9 dans le temps, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node28 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Pour formaliser ces engagements, le prestataire fournira au commanditaire\ + \ un plan d\u2019assurance s\xE9curit\xE9 (PAS) pr\xE9vu par l\u2019appel\ + \ d\u2019offre. Il s\u2019agit d\u2019un document contractuel d\xE9crivant\ + \ l\u2019ensemble des dispositions sp\xE9cifiques que les candidats s\u2019\ + engagent \xE0 mettre en \u0153uvre pour garantir le respect des exigences\ + \ de s\xE9curit\xE9 sp\xE9cifi\xE9es par l\u2019entit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.sap + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node29 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Le recours \xE0 des solutions ou outils non ma\xEEtris\xE9s (par\ + \ exemple h\xE9berg\xE9s dans le nuage) n\u2019est pas ici consid\xE9r\xE9\ + \ comme \xE9tant du ressort de l\u2019infog\xE9rance et par ailleurs d\xE9\ + conseill\xE9 en cas de traitement d\u2019informations sensibles." + annotation: "V\xE9rifier que les biens sensibles ne sont pas stock\xE9s dans\ + \ des environnements non ma\xEEtris\xE9s" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + assessable: false + depth: 1 + ref_id: II + name: "Conna\xEEtre le syst\xE8me d'information" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '4' + name: " Identifier les informations et serveurs les plus sensibles et maintenir\ + \ un sch\xE9ma du r\xE9seau" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node32 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: "Chaque entit\xE9 poss\xE8de des donn\xE9es sensibles. Ces derni\xE8\ + res peuvent porter sur son activit\xE9 propre (propri\xE9t\xE9 intellectuelle,\ + \ savoir-faire, etc.) ou sur ses clients, administr\xE9s ou usagers (donn\xE9\ + es personnelles, contrats, etc.). Afin de pouvoir les prot\xE9ger efficacement,\ + \ il est indispensable de les identifier." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.asset + - urn:intuitem:risk:function:doc-pol:pol.classif + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node33 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: "\xC0 partir de cette liste de donn\xE9es sensibles, il sera possible\ + \ de d\xE9terminer sur quels composants du syst\xE8me d\u2019information elles\ + \ se localisent (bases de donn\xE9es, partages de fichiers, postes de travail,\ + \ etc.). Ces composants correspondent aux serveurs et postes critiques pour\ + \ l\u2019entit\xE9. \xC0 ce titre, ils devront faire l\u2019objet de mesures\ + \ de s\xE9curit\xE9 sp\xE9cifiques pouvant porter sur la sauvegarde, la journalisation,\ + \ les acc\xE8s, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.proc_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node34 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: "Il s\u2019agit donc de cr\xE9er et de maintenir \xE0 jour un sch\xE9\ + ma simplifi\xE9 du r\xE9seau (ou cartographie) repr\xE9sentant les diff\xE9\ + rentes zones IP et le plan d\u2019adressage associ\xE9, les \xE9quipements\ + \ de routage et de s\xE9curit\xE9 (pare-feu, relais applicatifs, etc.) et\ + \ les interconnexions avec l\u2019ext\xE9rieur (Internet, r\xE9seaux priv\xE9\ + s, etc.) et les partenaires." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.is_map + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node35 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: " Ce sch\xE9ma doit \xE9galement permettre de localiser les serveurs\ + \ d\xE9tenteurs d\u2019informations sensibles de l\u2019entit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.is_map + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '5' + name: "Disposer d\u2019un inventaire exhaustif des comptes privil\xE9gi\xE9\ + s et le maintenir \xE0 jour" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node37 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + description: "Les comptes b\xE9n\xE9ficiant de droits sp\xE9cifiques sont des\ + \ cibles privil\xE9gi\xE9es par les attaquants qui souhaitent obtenir un acc\xE8\ + s le plus large possible au syst\xE8me d\u2019information. Ils doivent donc\ + \ faire l\u2019objet d\u2019une attention toute particuli\xE8re. Il s\u2019\ + agit pour cela d\u2019effectuer un inventaire de ces comptes, de le mettre\ + \ \xE0 jour r\xE9guli\xE8rement et d\u2019y renseigner les informations suivantes\ + \ :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node38 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node37 + description: "les utilisateurs ayant un compte administrateur ou des droits\ + \ sup\xE9rieurs \xE0 ceux d\u2019un utilisateur standard sur le syst\xE8me\ + \ d\u2019information ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node39 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node37 + description: "les utilisateurs disposant de suffisamment de droits pour acc\xE9\ + der aux r\xE9pertoires de travail des responsables ou de l\u2019ensemble des\ + \ utilisateurs ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node40 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node37 + description: "les utilisateurs utilisant un poste non administr\xE9 par le service\ + \ informatique et qui ne fait pas l\u2019objet de mesures de s\xE9curit\xE9\ + \ \xE9dict\xE9es par la politique de s\xE9curit\xE9 g\xE9n\xE9rale de l\u2019\ + entit\xE9. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node41 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + description: "Il est fortement recommand\xE9 de proc\xE9der \xE0 une revue p\xE9\ + riodique de ces comptes afin de s\u2019assurer que les acc\xE8s aux \xE9l\xE9\ + ments sensibles (notamment les r\xE9pertoires de travail et la messagerie\ + \ \xE9lectronique des responsables) soient maitris\xE9s. Ces revues permettront\ + \ \xE9galement de supprimer les acc\xE8s devenus obsol\xE8tes suite au d\xE9\ + part d\u2019un utilisateur par exemple. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.recertification + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node42 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + description: "Enfin, il est souhaitable de d\xE9finir et d\u2019utiliser une\ + \ nomenclature simple et claire pour identifier les comptes de services et\ + \ les comptes d\u2019administration. \nCela facilitera notamment leur revue\ + \ et la d\xE9tection d\u2019intrusion." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '6' + name: " Organiser les proc\xE9dures d\u2019arriv\xE9e, de d\xE9part et de changement\ + \ de fonction des utilisateurs" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node44 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6 + description: "Les effectifs d\u2019une entit\xE9, qu\u2019elle soit publique\ + \ ou priv\xE9e, \xE9voluent sans cesse : arriv\xE9es, d\xE9parts, mobilit\xE9\ + \ interne. Il est par cons\xE9quent n\xE9cessaire que les droits et les acc\xE8\ + s au syst\xE8me d\u2019information soient mis \xE0 jour en fonction de ces\ + \ \xE9volutions. Il est notamment essentiel que l\u2019ensemble des droits\ + \ affect\xE9s \xE0 une personne soient r\xE9voqu\xE9s lors de son d\xE9part\ + \ ou en cas de changement de fonction. Les proc\xE9dures d\u2019arriv\xE9\ + e et de d\xE9part doivent donc \xEAtre d\xE9finies, en lien avec la fonction\ + \ ressources humaines. Elles doivent au minimum prendre en compte :" + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node45 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node44 + description: "la cr\xE9ation et la suppression des comptes informatiques et\ + \ bo\xEEtes aux lettres associ\xE9es ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.hr_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node46 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node44 + description: " la gestion des acc\xE8s physiques aux locaux (attribution, restitution\ + \ des badges et des cl\xE9s, etc.) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.physical_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node47 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node44 + description: " l\u2019affectation des \xE9quipements mobiles (ordinateur portable,\ + \ cl\xE9 USB, disque dur, ordiphone, etc.) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node48 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node44 + description: "la gestion des documents et informations sensibles (transfert\ + \ de mots de passe, changement des mots de passe ou des codes sur les syst\xE8\ + mes existants)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.classif + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node49 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node44 + description: "Les proc\xE9dures doivent \xEAtre formalis\xE9es et mises \xE0\ + \ jour en fonction du contexte." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.proc_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '7' + name: "Autoriser la connexion au r\xE9seau de l\u2019entit\xE9 aux seuls \xE9\ + quipements ma\xEEtris\xE9s" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node51 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "Pour garantir la s\xE9curit\xE9 de son syst\xE8me d\u2019information,\ + \ l\u2019entit\xE9 doit ma\xEEtriser les \xE9quipements qui s\u2019y connectent,\ + \ chacun constituant un point d\u2019entr\xE9e potentiellement vuln\xE9rable.\ + \ Les \xE9quipements personnels (ordinateurs portables, tablettes, ordiphones,\ + \ etc.) sont, par d\xE9finition, difficilement ma\xEEtrisables dans la mesure\ + \ o\xF9 ce sont les utilisateurs qui d\xE9cident de leur niveau de s\xE9curit\xE9\ + . De la m\xEAme mani\xE8re, la s\xE9curit\xE9 des \xE9quipements dont sont\ + \ dot\xE9s les visiteurs \xE9chappe \xE0 tout contr\xF4le de l\u2019entit\xE9\ + ." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node52 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "Seule la connexion de terminaux ma\xEEtris\xE9s par l\u2019entit\xE9\ + \ doit \xEAtre autoris\xE9e sur ses diff\xE9rents r\xE9seaux d\u2019acc\xE8\ + s, qu\u2019ils soient filaire ou sans fil. Cette recommandation, avant tout\ + \ d\u2019ordre organisationnel, est souvent per\xE7ue comme inacceptable ou\ + \ r\xE9trograde. Cependant, y d\xE9roger fragilise le r\xE9seau de l\u2019\ + entit\xE9 et sert ainsi les int\xE9r\xEAts d\u2019un potentiel attaquant." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node53 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "La sensibilisation des utilisateurs doit donc s\u2019accompagner\ + \ de solutions pragmatiques r\xE9pondant \xE0 leurs besoins. Citons par exemple\ + \ la mise \xE0 disposition d\u2019un r\xE9seau Wi-Fi avec SSID d\xE9di\xE9\ + \ pour les terminaux personnels ou visiteurs." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node54 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "Ces am\xE9nagements peuvent \xEAtre compl\xE9t\xE9s par des mesures\ + \ techniques telles que l\u2019authentification des postes sur le r\xE9seau\ + \ (par exemple \xE0 l\u2019aide du standard 802.1X ou d\u2019un \xE9quivalent)." + annotation: "802.1X est le standard incontournable pour le contr\xF4le d'acc\xE8\ + s r\xE9seau, aussi bien en LAN qu'en Wi-Fi." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn:intuitem:risk:function:doc-pol:tech.nac + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + assessable: false + depth: 1 + ref_id: III + name: "Authentifier et contr\xF4ler les acc\xE8s" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '8' + name: "Identifier nomm\xE9ment chaque personne acc\xE9dant au syst\xE8me et\ + \ distinguer les r\xF4les utilisateur/administrateur" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node57 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "Afin de faciliter l\u2019attribution d\u2019une action sur le\ + \ syst\xE8me d\u2019information en cas d\u2019incident ou d\u2019identifier\ + \ d\u2019\xE9ventuels comptes compromis, les comptes d\u2019acc\xE8s doivent\ + \ \xEAtre nominatifs." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node58 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "L\u2019utilisation de comptes g\xE9n\xE9riques (ex : admin, user)\ + \ doit \xEAtre marginale et ceux-ci doivent pouvoir \xEAtre rattach\xE9s \xE0\ + \ un nombre limit\xE9 de personnes physiques.\nBien entendu, cette r\xE8gle\ + \ n\u2019interdit pas le maintien de comptes de service, rattach\xE9s \xE0\ + \ un processus informatique (ex : apache, mysqld).\nDans tous les cas, les\ + \ comptes g\xE9n\xE9riques et de service doivent \xEAtre g\xE9r\xE9s selon\ + \ une politique au moins aussi stricte que celle des comptes nominatifs. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node59 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "Par ailleurs, un compte d\u2019administration nominatif, distinct\ + \ du compte utilisateur, doit \xEAtre attribu\xE9 \xE0 chaque administrateur.\ + \ Les identifiants et secrets d\u2019authentification doivent \xEAtre diff\xE9\ + rents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant\ + \ administrateur). Ce compte d\u2019administration, disposant de plus de privil\xE8\ + ges, doit \xEAtre d\xE9di\xE9 exclusivement aux actions d\u2019administration.\ + \ De plus, il doit \xEAtre utilis\xE9 sur des environnements d\xE9di\xE9s\ + \ \xE0 l\u2019administration afin de ne pas laisser de traces de connexion\ + \ ni de condensat de mot de passe sur un environnement plus expos\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node60 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "D\xE8s que possible la journalisation li\xE9e aux comptes (ex\ + \ : relev\xE9 des connexions r\xE9ussies/\xE9chou\xE9es) doit \xEAtre activ\xE9\ + e." + annotation: "Un EDR pourra g\xE9rer la journalisation des \xE9checs de connexion." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.monitor + - urn:intuitem:risk:function:doc-pol:tech.access_log + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '9' + name: "Attribuer les bons droits sur les ressources sensibles du syst\xE8me\ + \ d\u2019information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node62 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Certaines des ressources du syst\xE8me peuvent constituer une\ + \ source d\u2019information pr\xE9cieuse aux yeux d\u2019un attaquant (r\xE9\ + pertoires contenant des donn\xE9es sensibles, bases de donn\xE9es, bo\xEE\ + tes aux lettres \xE9lectroniques, etc.). Il est donc primordial d\u2019\xE9\ + tablir une liste pr\xE9cise de ces ressources et pour chacune d\u2019entre\ + \ elles :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node63 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node62 + description: "de d\xE9finir quelle population peut y avoir acc\xE8s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node64 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node62 + description: "de contr\xF4ler strictement son acc\xE8s, en s\u2019assurant que\ + \ les utilisateurs sont authentifi\xE9s et font partie de la population cibl\xE9\ + e ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node65 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node62 + description: "d\u2019\xE9viter sa dispersion et sa duplication \xE0 des endroits\ + \ non ma\xEEtris\xE9s ou soumis \xE0 un contr\xF4le d\u2019acc\xE8s moins\ + \ strict." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node66 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Par exemple, les r\xE9pertoires des administrateurs regroupant\ + \ de nombreuses informations sensibles doivent faire l\u2019objet d\u2019\ + un contr\xF4le d\u2019acc\xE8s pr\xE9cis." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node67 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Il en va de m\xEAme pour les informations sensibles pr\xE9sentes\ + \ sur des partages r\xE9seau : exports de fichiers de configuration, documentation\ + \ technique du syst\xE8me d\u2019information, bases de donn\xE9es m\xE9tier,\ + \ etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node68 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Une revue r\xE9guli\xE8re des droits d\u2019acc\xE8s doit par\ + \ ailleurs \xEAtre r\xE9alis\xE9e afin d\u2019identifier les acc\xE8s non\ + \ autoris\xE9s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.recertification + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '10' + name: "D\xE9finir et v\xE9rifier des r\xE8gles de choix et de dimensionnement\ + \ des mots de passe" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node70 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + description: "L\u2019ANSSI \xE9nonce un ensemble de r\xE8gles et de bonnes pratiques\ + \ en mati\xE8re de choix et de dimensionnement des mots de passe. Parmi les\ + \ plus critiques de ces r\xE8gles figure la sensibilisation des utilisateurs\ + \ aux risques li\xE9s au choix d\u2019un mot de passe qui serait trop facile\ + \ \xE0 deviner, ou encore la r\xE9utilisation de mots de passe d\u2019une\ + \ application \xE0 l\u2019autre et plus particuli\xE8rement entre messageries\ + \ personnelles et professionnelles." + annotation: "Voir le guide ANSSI : Recommandations relatives \xE0 l'authentification\ + \ multifacteur et aux mots de passe \nDepuis 2024, il est important de prendre\ + \ en compte les recommandations NIST-SP800-63B" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node71 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + description: "Pour encadrer et v\xE9rifier l\u2019application de ces r\xE8gles\ + \ de choix et de dimensionnement, l\u2019entit\xE9 pourra recourir \xE0 diff\xE9\ + rentes mesures parmi lesquelles :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node72 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node71 + description: "le blocage des comptes \xE0 l\u2019issue de plusieurs \xE9checs\ + \ de connexion ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node73 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node71 + description: "la d\xE9sactivation des options de connexion anonyme ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node74 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node71 + description: " l\u2019utilisation d\u2019un outil d\u2019audit de la robustesse\ + \ des mots de passe." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node75 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + description: "En amont de telles proc\xE9dures, un effort de communication visant\ + \ \xE0 expliquer le sens de ces r\xE8gles et \xE9veiller les consciences sur\ + \ leur importance est fondamental." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '11' + name: "Prot\xE9ger les mots de passe stock\xE9s sur les syst\xE8mes" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node77 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11 + description: "La complexit\xE9, la diversit\xE9 ou encore l\u2019utilisation\ + \ peu fr\xE9quente de certains mots de passe, peuvent encourager leur stockage\ + \ sur un support physique\n(m\xE9mo, post-it) ou num\xE9rique (fichiers de\ + \ mots de passe, envoi par mail \xE0 soi-m\xEAme, recours aux boutons \xAB\ + \ Se souvenir du mot de passe \xBB) afin de pallier\ntout oubli ou perte.\n\ + Or, les mots de passe sont une cible privil\xE9gi\xE9e par les attaquants\ + \ d\xE9sireux d\u2019acc\xE9der au syst\xE8me, que cela fasse suite \xE0 un\ + \ vol ou \xE0 un \xE9ventuel partage du support de stockage. C\u2019est pourquoi\ + \ ils doivent imp\xE9rativement \xEAtre prot\xE9g\xE9s au moyen de solutions\ + \ s\xE9curis\xE9es au premier rang desquelles figurent l\u2019utilisation\ + \ d\u2019un coffre-fort num\xE9rique et le recours \xE0 des m\xE9canismes\ + \ de chiffrement." + annotation: "En 2025, l'usage d'un gestionnaire de mots de passe est primordiale.\ + \ Les mots de passe doivent \xEAtre g\xE9n\xE9r\xE9s et avoir une entropie\ + \ sup\xE9rieure \xE0 100 bits." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.password_manager + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node78 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11 + description: "Bien entendu, le choix d\u2019un mot de passe pour ce coffre-fort\ + \ num\xE9rique doit respecter les r\xE8gles \xE9nonc\xE9es pr\xE9c\xE9demment\ + \ et \xEAtre m\xE9moris\xE9 par l\u2019utilisateur, qui n\u2019a plus que\ + \ celui-ci \xE0 retenir." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '12' + name: "Changer les \xE9l\xE9ments d\u2019authentification par d\xE9faut sur\ + \ les \xE9quipements et services" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node80 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + description: "Il est imp\xE9ratif de partir du principe que les configurations\ + \ par d\xE9faut des syst\xE8mes d\u2019information sont syst\xE9matiquement\ + \ connues des attaquants, quand bien m\xEAme celles-ci ne le sont pas du grand\ + \ public. Ces configurations se r\xE9v\xE8lent (trop) souvent triviales (mot\ + \ de passe identique \xE0 l\u2019identifiant, mal dimensionn\xE9 ou commun\ + \ \xE0 l\u2019ensemble des \xE9quipements et services par exemple) et sont,\ + \ la plupart du temps, faciles \xE0 obtenir pour des attaquants capables de\ + \ se faire passer pour un utilisateur l\xE9gitime.\nLes \xE9l\xE9ments d\u2019\ + authentification par d\xE9faut des composants du syst\xE8me doivent donc \xEA\ + tre modifi\xE9s d\xE8s leur installation et, s\u2019agissant de mots de passe,\ + \ \xEAtre conformes aux recommandations pr\xE9c\xE9dentes en mati\xE8re de\ + \ choix, de dimensionnement et de stockage." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node81 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + description: "Si le changement d\u2019un identifiant par d\xE9faut se r\xE9\ + v\xE8le impossible pour cause, par exemple, de mot de passe ou certificat\ + \ \xAB en dur \xBB dans un \xE9quipement, ce probl\xE8me critique doit \xEA\ + tre signal\xE9 au distributeur du produit afin que cette vuln\xE9rabilit\xE9\ + \ soit corrig\xE9e au plus vite." + annotation: Inacceptable en 2025 + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node82 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + description: "Afin de limiter les cons\xE9quences d\u2019une compromission,\ + \ il est par ailleurs essentiel, apr\xE8s changement des \xE9l\xE9ments d\u2019\ + authentification par d\xE9faut, de proc\xE9der \xE0 leur renouvellement r\xE9\ + gulier." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '13' + name: "Privil\xE9gier lorsque c\u2019est possible une authentification forte" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node84 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13 + description: "Il est vivement recommand\xE9 de mettre en \u0153uvre une authentification\ + \ forte n\xE9cessitant l\u2019utilisation de deux facteurs d\u2019authentification\ + \ diff\xE9rents parmi les suivants :\n> quelque chose que je sais (mot de\ + \ passe, trac\xE9 de d\xE9verrouillage, signature) ;\n> quelque chose que\ + \ je poss\xE8de (carte \xE0 puce, jeton USB, carte magn\xE9tique, RFID, un\ + \ t\xE9l\xE9phone pour recevoir un code SMS) ;\n> quelque chose que je suis\ + \ (une empreinte biom\xE9trique)." + annotation: "En 2025 cette pr\xE9conisation s'impose partout." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node85 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13 + description: "Les cartes \xE0 puces doivent \xEAtre privil\xE9gi\xE9es ou, \xE0\ + \ d\xE9faut, les m\xE9canismes de mots de passe \xE0 usage unique (ou One\ + \ Time Password) avec jeton physique. Les op\xE9rations cryptographiques mises\ + \ en place dans ces deux facteurs offrent g\xE9n\xE9ralement de bonnes garanties\ + \ de s\xE9curit\xE9.\nLes cartes \xE0 puce peuvent \xEAtre plus complexes\ + \ \xE0 mettre en place car n\xE9cessitant une infrastructure de gestion des\ + \ cl\xE9s adapt\xE9e. Elles pr\xE9sentent cependant l\u2019avantage d\u2019\ + \xEAtre r\xE9utilisables \xE0 plusieurs fins : chiffrement, authentification\ + \ de messagerie, authentification sur le poste de travail, etc." + annotation: "L'utilisation du smartphone comme authentifiant s'av\xE8re en g\xE9\ + n\xE9ral plus pratique que la carte \xE0 puce. Celle-ci reste incontournable\ + \ pour les environnements les plus sensibles." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + assessable: false + depth: 1 + ref_id: IV + name: "S\xE9curiser les postes" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '14' + name: "Mettre en place un niveau de s\xE9curit\xE9 minimal sur l\u2019ensemble\ + \ du parc informatique" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node88 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + description: "L\u2019utilisateur plus ou moins au fait des bonnes pratiques\ + \ de s\xE9curit\xE9 informatique est, dans de tr\xE8s nombreux cas, la premi\xE8\ + re porte d\u2019entr\xE9e des attaquants vers le syst\xE8me. Il est donc fondamental\ + \ de mettre en place un niveau de s\xE9curit\xE9 minimal sur l\u2019ensemble\ + \ du parc informatique de l\u2019entit\xE9 (postes utilisateurs, serveurs,\ + \ imprimantes, t\xE9l\xE9phones, p\xE9riph\xE9riques USB, etc.) en impl\xE9\ + mentant les mesures suivantes :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node89 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node88 + description: "limiter les applications install\xE9es et modules optionnels des\ + \ navigateurs web aux seuls n\xE9cessaires ;" + annotation: Par exemple SCCM + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node90 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node88 + description: "doter les postes utilisateurs d\u2019un pare-feu local et d\u2019\ + un anti-virus (ceux-ci sont parfois inclus dans le syst\xE8me d\u2019exploitation)\ + \ ;" + annotation: "Choisir un antivirus int\xE9grant la fonction firewall\nUn EDR\ + \ est \xE9galement recommand\xE9 en 2025" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.malware + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node91 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node88 + description: "chiffrer les partitions o\xF9 sont stock\xE9es les donn\xE9es\ + \ des utilisateurs ;" + annotation: "Par exemple Bitlocker, CRYHOD, MacOS\u2026" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node92 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node88 + description: "d\xE9sactiver les ex\xE9cutions automatiques (autorun)." + annotation: "GPO de d\xE9sactivation de l'autorun" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.gpo + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node93 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + description: "En cas de d\xE9rogation n\xE9cessaire aux r\xE8gles de s\xE9curit\xE9\ + \ globales applicables aux postes, ceux-ci doivent \xEAtre isol\xE9s du syst\xE8\ + me (s\u2019il est impossible de mettre \xE0 jour certaines applications pour\ + \ des raisons de compatibilit\xE9 par exemple)." + annotation: "Cloisonnement des \xE9quipements sp\xE9cifiques" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node94 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + description: "Les donn\xE9es vitales au bon fonctionnement de l\u2019entit\xE9\ + \ que d\xE9tiennent les postes utilisateurs et les serveurs doivent faire\ + \ l\u2019objet de sauvegardes r\xE9guli\xE8res et stock\xE9es sur des \xE9\ + quipements d\xE9connect\xE9s, et leur restauration doit \xEAtre v\xE9rifi\xE9\ + e de mani\xE8re p\xE9riodique. En effet, de plus en plus de petites structures\ + \ font l\u2019objet d\u2019attaques rendant ces donn\xE9es indisponibles (par\ + \ exemple pour exiger en contrepartie de leur restitution le versement d\u2019\ + une somme cons\xE9quente (ran\xE7ongiciel))." + annotation: "Cette recommandation s'impose en 2025 pour couvrir le risque ransomware.\n\ + Utiliser un syst\xE8me de sauvegarde immutable sur site ou dans le cloud.\n\ + Il est important de v\xE9rifier p\xE9riodiquement l'efficacit\xE9 r\xE9elle\ + \ des sauvegardes au moyen de tests de r\xE9silience, consistant \xE0 simuler\ + \ un effacement de toutes les informations." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn:intuitem:risk:function:doc-pol:tech.immutable_backup + - urn:intuitem:risk:function:doc-pol:pol.bcp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '15' + name: "Se prot\xE9ger des menaces relatives \xE0 l\u2019utilisation de supports\ + \ amovibles" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node96 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Les supports amovibles peuvent \xEAtre utilis\xE9s afin de propager\ + \ des virus, voler des informations sensibles et strat\xE9giques ou encore\ + \ compromettre le r\xE9seau de l\u2019entit\xE9. De tels agissements peuvent\ + \ avoir des cons\xE9quences d\xE9sastreuses pour l\u2019activit\xE9 de la\ + \ structure cibl\xE9e.\nS\u2019il n\u2019est pas question d\u2019interdire\ + \ totalement l\u2019usage de supports amovibles au sein de l\u2019entit\xE9\ + , il est n\xE9anmoins n\xE9cessaire de traiter ces risques en identifiant\ + \ des mesures ad\xE9quates et en sensibilisant les utilisateurs aux risques\ + \ que ces supports peuvent v\xE9hiculer." + annotation: "EN 2025 il est viable d'interdire totalement le transfert d'information\ + \ par cl\xE9 USB dans le cas g\xE9n\xE9ral, avec une gestion d'exceptions." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node97 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Il convient notamment de proscrire le branchement de cl\xE9s USB\ + \ inconnues (ramass\xE9es dans un lieu public par exemple) et de limiter au\ + \ maximum celui de cl\xE9s non ma\xEEtris\xE9es (dont on connait la provenance\ + \ mais pas l\u2019int\xE9grit\xE9) sur le syst\xE8me d\u2019information \xE0\ + \ moins, dans ce dernier cas, de faire inspecter leur contenu par l\u2019\ + antivirus du poste de travail." + annotation: "Choisir un antivirus int\xE9grant la gestion des ports USB" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node98 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Sur les postes utilisateur, il est recommand\xE9 d\u2019utiliser\ + \ des solutions permettant d\u2019interdire l\u2019ex\xE9cution de programmes\ + \ sur les p\xE9riph\xE9riques amovibles (par exemple Applocker sous Windows\ + \ ou des options de montage noexec sous Unix). " + annotation: "Choisir un antivirus int\xE9grant la gestion des ports USB" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node99 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Lors de la fin de vie des supports amovibles, il sera n\xE9cessaire\ + \ d\u2019impl\xE9menter et de respecter une proc\xE9dure de mise au rebut\ + \ stricte pouvant aller jusqu\u2019\xE0 leur destruction s\xE9curis\xE9e afin\ + \ de limiter la fuite d\u2019informations sensibles." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.disposal + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '16' + name: "Utiliser un outil de gestion centralis\xE9e afin d\u2019homog\xE9n\xE9\ + iser les politiques de s\xE9curit\xE9" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node101 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16 + description: "La s\xE9curit\xE9 du syst\xE8me d\u2019information repose sur\ + \ la s\xE9curit\xE9 du maillon le plus faible. Il est donc n\xE9cessaire d\u2019\ + homog\xE9n\xE9iser la gestion des politiques de s\xE9curit\xE9 s\u2019appliquant\ + \ \xE0 l\u2019ensemble du parc informatique de l\u2019entit\xE9.\nL\u2019\ + application de ces politiques (gestion des mots de passe, restrictions de\ + \ connexions sur certains postes sensibles, configuration des navigateurs\ + \ Web, etc.) doit \xEAtre simple et rapide pour les administrateurs, en vue\ + \ notamment de faciliter la mise en \u0153uvre de contre-mesures en cas de\ + \ crise informatique.\nPour cela, l\u2019entit\xE9 pourra se doter d\u2019\ + un outil de gestion centralis\xE9e (par exemple Active Directory en environnement\ + \ Microsoft) auquel il s\u2019agit d\u2019inclure le plus grand nombre d\u2019\ + \xE9quipements informatiques possible. Les postes de travail et les serveurs\ + \ sont concern\xE9s par cette mesure qui n\xE9cessite \xE9ventuellement en\ + \ amont un travail d\u2019harmonisation des choix de mat\xE9riels et de syst\xE8\ + mes d\u2019exploitation.\nAinsi, des politiques de durcissement du syst\xE8\ + me d\u2019exploitation ou d\u2019applications pourront facilement s\u2019\ + appliquer depuis un point central tout en favorisant la r\xE9activit\xE9 attendue\ + \ en cas de besoin de reconfiguration." + annotation: 'AD est incontournable en environnement Windows. + + De nombreuses solutions multi-plateformes existent.' + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '17' + name: Activer et configurer le pare-feu local des postes de travail + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node103 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Apr\xE8s avoir r\xE9ussi \xE0 prendre le contr\xF4le d\u2019un\ + \ poste de travail (\xE0 cause, par exemple, d\u2019une vuln\xE9rabilit\xE9\ + \ pr\xE9sente dans le navigateur Internet), un attaquant cherchera souvent\ + \ \xE0 \xE9tendre son intrusion aux autres postes de travail pour, in fine,\ + \ acc\xE9der aux documents des utilisateurs.\nAfin de rendre plus difficile\ + \ ce d\xE9placement lat\xE9ral de l\u2019attaquant, il est n\xE9cessaire d\u2019\ + activer le pare-feu local des postes de travail au moyen de logiciels int\xE9\ + gr\xE9s (pare-feu local Windows) ou sp\xE9cialis\xE9s.\nLes flux de poste\ + \ \xE0 poste sont en effet tr\xE8s rares dans un r\xE9seau bureautique classique\ + \ : les fichiers sont stock\xE9s dans des serveurs de fichiers, les applications\ + \ accessibles sur des serveurs m\xE9tier, etc." + annotation: "Choisir un antivirus int\xE9grant la fonction firewall.\nUn EDR\ + \ est \xE9galement recommand\xE9 en 2025." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node104 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Le filtrage le plus simple consiste \xE0 bloquer l\u2019acc\xE8\ + s aux ports d\u2019administration par d\xE9faut des postes de travail (ports\ + \ TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), except\xE9 depuis\ + \ les ressources explicitement identifi\xE9es (postes d\u2019administration\ + \ et d\u2019assistance utilisateur, \xE9ventuels serveurs de gestion requ\xE9\ + rant l\u2019acc\xE8s \xE0 des partages r\xE9seau sur les postes, etc.)." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node105 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Une analyse des flux entrants utiles (administration, logiciels\ + \ d\u2019infrastructure, applications particuli\xE8res, etc.) doit \xEAtre\ + \ men\xE9e pour d\xE9finir la liste des autorisations \xE0 configurer. Il\ + \ est pr\xE9f\xE9rable de bloquer l\u2019ensemble des flux par d\xE9faut et\ + \ de n\u2019autoriser que les services n\xE9cessaires depuis les \xE9quipements\ + \ correspondants (\xAB liste blanche \xBB)." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.flow_matrix + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node106 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Le pare-feu doit \xE9galement \xEAtre configur\xE9 pour journaliser\ + \ les flux bloqu\xE9s, et ainsi identifier les erreurs de configuration d\u2019\ + applications ou les tentatives d\u2019intrusion." + annotation: "Les antivirus et EDR g\xE8rent nativement la d\xE9tection des incidents\ + \ r\xE9seau." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '18' + name: "Chiffrer les donn\xE9es sensibles transmises par voie Internet" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node108 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18 + description: "Internet est un r\xE9seau sur lequel il est quasi impossible d\u2019\ + obtenir des garanties sur le trajet que vont emprunter les donn\xE9es que\ + \ l\u2019on y envoie. Il est donc tout \xE0 fait possible qu\u2019un attaquant\ + \ se trouve sur le trajet de donn\xE9es transitant entre deux correspondants.\n\ + Toutes les donn\xE9es envoy\xE9es par courriel ou transmises au moyen d\u2019\ + outils d\u2019h\xE9bergement en ligne (Cloud) sont par cons\xE9quent vuln\xE9\ + rables. Il s\u2019agit donc de proc\xE9der \xE0 leur chiffrement syst\xE9\ + matique avant de les adresser \xE0 un correspondant ou de les h\xE9berger." + annotation: "On pourra utiliser 7zip, ZOD, pour l'envoi par mail.\nLes messageries\ + \ instantan\xE9es s\xE9curis\xE9es comme Signal, Olvid, s'av\xE8rent encore\ + \ plus pratiques." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node109 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18 + description: "La transmission du secret (mot de passe, cl\xE9, etc.) permettant\ + \ alors de d\xE9chiffrer les donn\xE9es, si elle est n\xE9cessaire, doit \xEA\ + tre effectu\xE9e via un canal de confiance ou, \xE0 d\xE9faut, un canal distinct\ + \ du canal de transmission des donn\xE9es. Ainsi, si les donn\xE9es chiffr\xE9\ + es sont transmises par courriel, une remise en main propre du mot de passe\ + \ ou, \xE0 d\xE9faut, par t\xE9l\xE9phone doit \xEAtre privil\xE9gi\xE9e." + annotation: "Les messageries instantan\xE9es s\xE9curis\xE9es comme Signal ou\ + \ Olvid sont une tr\xE8s bonne solution." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + assessable: false + depth: 1 + ref_id: V + name: "S\xE9curiser le r\xE9seau" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '19' + name: "Segmenter le r\xE9seau et mettre en place un cloisonnement entre ces\ + \ zones" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node112 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + description: "Lorsque le r\xE9seau est \xAB \xE0 plat \xBB, sans aucun m\xE9\ + canisme de cloisonnement, chaque machine du r\xE9seau peut acc\xE9der \xE0\ + \ n\u2019importe quelle autre machine. La compromission de l\u2019une d\u2019\ + elles met alors en p\xE9ril l\u2019ensemble des machines connect\xE9es. Un\ + \ attaquant peut ainsi compromettre un poste utilisateur et ensuite \xAB rebondir\ + \ \xBB jusqu\u2019\xE0 des serveurs critiques.\nIl est donc important, d\xE8\ + s la conception de l\u2019architecture r\xE9seau, de raisonner par segmentation\ + \ en zones compos\xE9es de syst\xE8mes ayant des besoins de s\xE9curit\xE9\ + \ homog\xE8nes. On pourra par exemple regrouper distinctement des serveurs\ + \ d\u2019infrastructure, des serveurs m\xE9tiers, des postes de travail utilisateurs,\ + \ des postes de travail administrateurs, des postes de t\xE9l\xE9phonie sur\ + \ IP, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node113 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + description: "Une zone se caract\xE9rise alors par des VLAN et des sous-r\xE9\ + seaux IP d\xE9di\xE9s voire par des infrastructures d\xE9di\xE9es selon sa\ + \ criticit\xE9. Ainsi, des mesures de cloisonnement telles qu\u2019un filtrage\ + \ IP \xE0 l\u2019aide d\u2019un pare-feu peuvent \xEAtre mises en place entre\ + \ les diff\xE9rentes zones. On veillera en particulier \xE0 cloisonner autant\ + \ que possible les \xE9quipements et flux associ\xE9s aux t\xE2ches d\u2019\ + administration." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vlan + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node114 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + description: "Pour les r\xE9seaux dont le cloisonnement a posteriori ne serait\ + \ pas ais\xE9, il est recommand\xE9 d\u2019int\xE9grer cette d\xE9marche dans\ + \ toute nouvelle extension du r\xE9seau ou \xE0 l\u2019occasion d\u2019un\ + \ renouvellement d\u2019\xE9quipements." + annotation: La microsegmentation permet d'agir a posteriori quand il n'est pas + possible de cloisonner par VLAN. + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.microsegmentation + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '20' + name: "S'assurer de la s\xE9curit\xE9 des r\xE9seaux d'acc\xE8s Wi-Fi et de\ + \ la s\xE9paration des usages" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node116 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "L\u2019usage du Wi-Fi en milieu professionnel est aujourd\u2019\ + hui d\xE9mocratis\xE9 mais pr\xE9sente toujours des risques de s\xE9curit\xE9\ + \ bien sp\xE9cifiques : faibles garanties en mati\xE8re de disponibilit\xE9\ + , pas de ma\xEEtrise de la zone de couverture pouvant mener \xE0 une attaque\ + \ hors du p\xE9rim\xE8tre g\xE9ographique de l\u2019entit\xE9, configuration\ + \ par d\xE9faut des points d\u2019acc\xE8s peu s\xE9curis\xE9e, etc.\nLa segmentation\ + \ de l\u2019architecture r\xE9seau doit permettre de limiter les cons\xE9\ + quences d\u2019une intrusion par voie radio \xE0 un p\xE9rim\xE8tre d\xE9\ + termin\xE9 du syst\xE8me d\u2019information. Les flux en provenance des postes\ + \ connect\xE9s au r\xE9seau d\u2019acc\xE8s Wi-Fi doivent donc \xEAtre filtr\xE9\ + s et restreints aux seuls flux n\xE9cessaires." + annotation: "Un acc\xE8s Wi-Fi correctement s\xE9curis\xE9 en 2025 est \xE9\ + quivalent \xE0 un acc\xE8s par c\xE2ble." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vlan + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node117 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "De plus, il est important d\u2019avoir recours prioritairement\ + \ \xE0 un chiffrement robuste (mode WPA2, algorithme AES CCMP) et \xE0 une\ + \ authentification centralis\xE9e, si possible par certificats clients des\ + \ machines." + annotation: "WPA3-Entreprise est.\xE0 l'\xE9tat de l'art. WPA2-Entreprise est\ + \ acceptable, mais on pr\xE9voiera une migration vers WPA3-Entreprise.\nWPA3/WPA2-Entreprise\ + \ s'appuient sur la gestion de certificats poste de travail.\nSur Windows\ + \ Server on pourra utiliser directement NPS (Network Policy Server). Il existe\ + \ d'autres solutions comme CISCO ISE, Ivanti, FreeRadius, ..." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.wifi_sec + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node118 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "La protection du r\xE9seau Wi-Fi par un mot de passe unique et\ + \ partag\xE9 est d\xE9conseill\xE9e. \xC0 d\xE9faut, il doit \xEAtre complexe\ + \ et son renouvellement pr\xE9vu mais il ne doit en aucun cas \xEAtre diffus\xE9\ + \ \xE0 des tiers non autoris\xE9s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node119 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "Les points d\u2019acc\xE8s doivent par ailleurs \xEAtre administr\xE9\ + s de mani\xE8re s\xE9curis\xE9e (ex : interface d\xE9di\xE9e, modification\ + \ du mot de passe administrateur par d\xE9faut)." + annotation: "Un NOC (Network Operating Center) est la tour de contr\xF4le du\ + \ r\xE9seau, et doit \xEAtre b\xE2ti sur un r\xE9seau d\xE9di\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node120 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs\ + \ (ordinateurs portables, ordiphones) doit \xEAtre s\xE9par\xE9e des connexions\ + \ Wi-Fi des terminaux de l\u2019entit\xE9 (ex : SSID et VLAN distincts, acc\xE8\ + s Internet d\xE9di\xE9)." + annotation: "Un r\xE9seau d\xE9di\xE9 pour les visiteurs \xE9vite tout risque\ + \ de confusion." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '21' + name: "Utiliser des protocoles r\xE9seaux s\xE9curis\xE9s d\xE8s qu'ils existent" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node122 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21 + description: "Si aujourd\u2019hui la s\xE9curit\xE9 n\u2019est plus optionnelle,\ + \ cela n\u2019a pas toujours \xE9t\xE9 le cas. C\u2019est pourquoi de nombreux\ + \ protocoles r\xE9seaux ont d\xFB \xE9voluer pour int\xE9grer cette composante\ + \ et r\xE9pondre aux besoins de confidentialit\xE9 et d\u2019int\xE9grit\xE9\ + \ qu\u2019impose l\u2019\xE9change de donn\xE9es. Les protocoles r\xE9seaux\ + \ s\xE9curis\xE9s doivent \xEAtre utilis\xE9s d\xE8s que possible, que ce\ + \ soit sur des r\xE9seaux publics (Internet par exemple) ou sur le r\xE9seau\ + \ interne de l\u2019entit\xE9.\nBien qu\u2019il soit difficile d\u2019en dresser\ + \ une liste exhaustive, les protocoles les plus courants reposent sur l\u2019\ + utilisation de TLS et sont souvent identifiables par l\u2019ajout de la lettre\ + \ \xAB s \xBB (pour secure en anglais) \xE0 l\u2019acronyme du protocole.\ + \ Citons par exemple HTTPS pour la navigation Web ou IMAPS, SMTPS ou POP3S\ + \ pour la messagerie.\nD\u2019autres protocoles ont \xE9t\xE9 con\xE7us de\ + \ mani\xE8re s\xE9curis\xE9e d\xE8s la conception pour se substituer \xE0\ + \ d\u2019anciens protocoles non s\xE9curis\xE9s. Citons par exemple SSh (Secure\ + \ SHell) venu remplacer les protocoles de communication historiques TELNET\ + \ et RLOGIN." + annotation: "EN 2025 les flux non chiffr\xE9s peuvent \xEAtre quasiment \xE9\ + radiqu\xE9s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '22' + name: "Mettre en place une passerelle d'acc\xE8s s\xE9curis\xE9 \xE0 Internet" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node124 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "L\u2019acc\xE8s \xE0 Internet, devenu indispensable, pr\xE9sente\ + \ des risques importants : sites Web h\xE9bergeant du code malveillant, t\xE9\ + l\xE9chargement de fichiers \xAB toxiques \xBB et, par cons\xE9quent, possible\ + \ prise de contr\xF4le du terminal, fuite de donn\xE9es sensibles, etc. Pour\ + \ s\xE9curiser cet usage, il est donc indispensable que les terminaux utilisateurs\ + \ n\u2019aient pas d\u2019acc\xE8s r\xE9seau direct \xE0 Internet." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node125 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "C\u2019est pourquoi il est recommand\xE9 de mettre en \u0153uvre\ + \ une passerelle s\xE9curis\xE9e d\u2019acc\xE8s \xE0 Internet comprenant\ + \ au minimum un pare-feu au plus pr\xE8s de l\u2019acc\xE8s Internet pour\ + \ filtrer les connexions et un serveur mandataire (proxy) embarquant diff\xE9\ + rents m\xE9canismes de s\xE9curit\xE9. Celui-ci assure notamment l\u2019authentification\ + \ des utilisateurs et la journalisation des requ\xEAtes." + annotation: "Certains firewalls int\xE8grent un proxy Internet. Il est n\xE9\ + anmoins recommand\xE9 d'utiliser des \xE9quipements distincts, et de placer\ + \ le proxy dans une DMZ." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.web_proxy + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node126 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Des m\xE9canismes compl\xE9mentaires sur le serveur mandataire\ + \ pourront \xEAtre activ\xE9s selon les besoins de l\u2019entit\xE9 : analyse\ + \ antivirus du contenu, filtrage par cat\xE9gories d\u2019URLs, etc." + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node127 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Le maintien en condition de s\xE9curit\xE9 des \xE9quipements\ + \ de la passerelle est essentiel, il fera donc l\u2019objet de proc\xE9dures\ + \ \xE0 respecter. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node128 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Suivant le nombre de collaborateurs et le besoin de disponibilit\xE9\ + , ces \xE9quipements pourront \xEAtre redond\xE9s. " + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node129 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Par ailleurs, pour les terminaux utilisateurs, les r\xE9solutions\ + \ DNS en direct de noms de domaines publics seront par d\xE9faut d\xE9sactiv\xE9\ + es, celles-ci \xE9tant d\xE9l\xE9gu\xE9es au serveur mandataire." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.web_proxy + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node130 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Enfin, il est fortement recommand\xE9 que les postes nomades \xE9\ + tablissent au pr\xE9alable une connexion s\xE9curis\xE9e au syst\xE8me d\u2019\ + information de l\u2019entit\xE9 pour naviguer de mani\xE8re s\xE9curis\xE9\ + e sur le Web \xE0 travers la passerelle." + annotation: "La plupart des firewalls int\xE8grent une passerelle VPN." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '23' + name: "Cloisonner les services visibles depuis Internet du reste du syst\xE8\ + me d'information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node132 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + description: "Une entit\xE9 peut choisir d\u2019h\xE9berger en interne des services\ + \ visibles sur Internet (site web, serveur de messagerie, etc.). Au regard\ + \ de l\u2019\xE9volution et du perfectionnement des cyberattaques sur Internet,\ + \ il est essentiel de garantir un haut niveau de protection de ce service\ + \ avec des administrateurs comp\xE9tents, form\xE9s de mani\xE8re continue\ + \ (\xE0 l\u2019\xE9tat de l\u2019art des technologies en la mati\xE8re) et\ + \ disponibles. Dans le cas contraire, le recours \xE0 un h\xE9bergement externalis\xE9\ + \ aupr\xE8s de professionnels est \xE0 privil\xE9gier." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node133 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + description: "De plus, les infrastructures d\u2019h\xE9bergement Internet doivent\ + \ \xEAtre physiquement cloisonn\xE9es de toutes les infrastructures du syst\xE8\ + me d\u2019information qui n\u2019ont pas vocation \xE0 \xEAtre visibles depuis\ + \ Internet." + annotation: "Une DMZ r\xE9alis\xE9e \xE0 l'aide d'un firewall r\xE9seau permet\ + \ de mettre en \u0153uvre cette recommandation." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node134 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + description: "Enfin, il convient de mettre en place une infrastructure d\u2019\ + interconnexion de ces services avec Internet permettant de filtrer les flux\ + \ li\xE9s \xE0 ces services de mani\xE8re distincte des autres flux de l\u2019\ + entit\xE9. Il s\u2019agit \xE9galement d\u2019imposer le passage des flux\ + \ entrants par un serveur mandataire inverse (reverse proxy) embarquant diff\xE9\ + rents m\xE9canismes de s\xE9curit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.reverse_proxy + - urn:intuitem:risk:function:doc-pol:tech.waf + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '24' + name: "Prot\xE9ger sa messagerie professionnelle" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node136 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "La messagerie est le principal vecteur d\u2019infection du poste\ + \ de travail, qu\u2019il s\u2019agisse de l\u2019ouverture de pi\xE8ces jointes\ + \ contenant un code malveillant ou du clic malencontreux sur un lien redirigeant\ + \ vers un site lui-m\xEAme malveillant.\nLes utilisateurs doivent \xEAtre\ + \ particuli\xE8rement sensibilis\xE9s \xE0 ce sujet : l\u2019exp\xE9diteur\ + \ est-il connu ? Une information de sa part est-elle attendue ? Le lien propos\xE9\ + \ est-il coh\xE9rent avec le sujet \xE9voqu\xE9 ? En cas de doute, une v\xE9\ + rification de l\u2019authenticit\xE9 du message par un autre canal (t\xE9\ + l\xE9phone, SMS, etc.) est n\xE9cessaire. " + annotation: La simuation de phishing est un bon moyen de sensibilisation. + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node137 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Pour se pr\xE9munir d\u2019escroqueries (ex : demande de virement\ + \ frauduleux \xE9manant vraisemblablement d\u2019un dirigeant), des mesures\ + \ organisationnelles doivent \xEAtre appliqu\xE9es strictement." + annotation: "Les personnes g\xE9rant les paiements doivent \xEAtre tout particuli\xE8\ + rement sensibilis\xE9es aux escroqueries de plus en plus sophistiqu\xE9es." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.seg_duty + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node138 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Par ailleurs, la redirection de messages professionnels vers une\ + \ messagerie personnelle est \xE0 proscrire car cela constitue une fuite irr\xE9\ + m\xE9diable d\u2019informations de l\u2019entit\xE9. Si n\xE9cessaire des\ + \ moyens ma\xEEtris\xE9s et s\xE9curis\xE9s pour l\u2019acc\xE8s distant \xE0\ + \ la messagerie professionnelle doivent \xEAtre propos\xE9s. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node139 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Que l\u2019entit\xE9 h\xE9berge ou fasse h\xE9berger son syst\xE8\ + me de messagerie, elle doit s\u2019assurer :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node140 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node139 + description: "de disposer d\u2019un syst\xE8me d\u2019analyse antivirus en amont\ + \ des bo\xEEtes aux lettres des utilisateurs pour pr\xE9venir la r\xE9ception\ + \ de fichiers infect\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_antivirus + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node141 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node139 + description: "de l\u2019activation du chiffrement TLS des \xE9changes entre\ + \ serveurs de messagerie (de l\u2019entit\xE9 ou publics) ainsi qu\u2019entre\ + \ les postes utilisateur et les serveurs h\xE9bergeant les bo\xEEtes aux lettres." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node142 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Il est souhaitable de ne pas exposer directement les serveurs\ + \ de bo\xEEte aux lettres sur Internet. Dans ce cas, un serveur relai d\xE9\ + di\xE9 \xE0 l\u2019envoi et \xE0 la r\xE9ception des messages doit \xEAtre\ + \ mis en place en coupure d\u2019Internet." + annotation: "Certains firewalls int\xE8grent la fonction de passerelle de messagerie.\ + \ Toutefois, il est pr\xE9f\xE9rable de s\xE9parer ces fonctions, et de mettre\ + \ la passerelle de messagerie s\xE9curis\xE9e dans une DMZ." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.mail_gateway + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node143 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Alors que le spam - malveillant ou non - constitue la majorit\xE9\ + \ des courriels \xE9chang\xE9s sur Internet, le d\xE9ploiement d\u2019un service\ + \ anti-spam doit permettre d\u2019\xE9liminer cette source de risques." + annotation: "Les passerelles de messagerie s\xE9curis\xE9es int\xE8grent une\ + \ fonction anti-spam" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.mail_gateway + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node144 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Enfin, l\u2019administrateur de messagerie s\u2019assurera de\ + \ la mise en place des m\xE9canismes de v\xE9rification d\u2019authenticit\xE9\ + \ et de la bonne configuration des enregistrements DNS publics li\xE9s \xE0\ + \ son infrastructure de messagerie (MX, SPF, DKIM, DMARC)." + annotation: "Les m\xE9chanismes SPIF, DKIM et DMARC sont indispensables en 2025.\ + \ Il est possible de les d\xE9l\xE9guer \xE0 un mandataire (par exemple avec\ + \ Office365)" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.email_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '25' + name: "S\xE9curiser les interconnexions r\xE9seau d\xE9di\xE9es avec les partenaires" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node146 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Pour des besoins op\xE9rationnels, une entit\xE9 peut \xEAtre\ + \ amen\xE9e \xE0 \xE9tablir une interconnexion r\xE9seau d\xE9di\xE9e avec\ + \ un fournisseur ou un client (ex : infog\xE9rance, \xE9change de donn\xE9\ + es informatis\xE9es, flux mon\xE9tiques, etc.).\nCette interconnexion peut\ + \ se faire au travers d\u2019un lien sur le r\xE9seau priv\xE9 de l\u2019\ + entit\xE9 ou directement sur Internet. Dans le second cas, il convient d\u2019\ + \xE9tablir un tunnel site \xE0 site, de pr\xE9f\xE9rence IPsec, en respectant\ + \ les pr\xE9conisations de l\u2019ANSSI." + annotation: "Cette fonction est int\xE9gr\xE9e dans la plupart des firewalls." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node147 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Le partenaire \xE9tant consid\xE9r\xE9 par d\xE9faut comme non\ + \ s\xFBr, il est indispensable d\u2019effectuer un filtrage IP \xE0 l\u2019\ + aide d\u2019un pare-feu au plus pr\xE8s de l\u2019entr\xE9e des flux sur le\ + \ r\xE9seau de l\u2019entit\xE9. La matrice des flux (entrants et sortants)\ + \ devra \xEAtre r\xE9duite au juste besoin op\xE9rationnel, maintenue dans\ + \ le temps et la configuration des \xE9quipements devra y \xEAtre conforme." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node148 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Pour des entit\xE9s ayant des besoins de s\xE9curit\xE9 plus exigeants,\ + \ il conviendra de s\u2019assurer que l\u2019\xE9quipement de filtrage IP\ + \ pour les connexions partenaires est d\xE9di\xE9 \xE0 cet usage." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node149 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "L\u2019ajout d\u2019un \xE9quipement de d\xE9tection d\u2019intrusions\ + \ peut \xE9galement constituer une bonne pratique." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.ids + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node150 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Par ailleurs la connaissance d\u2019un point de contact \xE0 jour\ + \ chez le partenaire est n\xE9cessaire pour pouvoir r\xE9agir en cas d\u2019\ + incident de s\xE9curit\xE9." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '26' + name: "Contr\xF4ler et prot\xE9ger l'acc\xE8s aux salles serveurs et aux locaux\ + \ techniques" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node152 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Les m\xE9canismes de s\xE9curit\xE9 physique doivent faire partie\ + \ int\xE9grante de la s\xE9curit\xE9 des syst\xE8mes d\u2019information et\ + \ \xEAtre \xE0 l\u2019\xE9tat de l\u2019art afin de s\u2019assurer qu\u2019\ + ils ne puissent pas \xEAtre contourn\xE9s ais\xE9ment par un attaquant. Il\ + \ convient donc d\u2019identifier les mesures de s\xE9curit\xE9 physique ad\xE9\ + quates et de sensibiliser continuellement les utilisateurs aux risques engendr\xE9\ + s par le contournement des r\xE8gles." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.physical + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node153 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Les acc\xE8s aux salles serveurs et aux locaux techniques doivent\ + \ \xEAtre contr\xF4l\xE9s \xE0 l\u2019aide de serrures ou de m\xE9canismes\ + \ de contr\xF4le d\u2019acc\xE8s par badge. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.physical + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node154 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Les acc\xE8s non accompagn\xE9s des prestataires ext\xE9rieurs\ + \ aux salles serveurs et aux locaux techniques sont \xE0 proscrire, sauf s\u2019\ + il est possible de tracer strictement les acc\xE8s et de limiter ces derniers\ + \ en fonction des plages horaires." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.physical_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node155 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Une revue des droits d\u2019acc\xE8s doit \xEAtre r\xE9alis\xE9\ + e r\xE9guli\xE8rement afin d\u2019identifier les acc\xE8s non autoris\xE9\ + s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.physical_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node156 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Lors du d\xE9part d\u2019un collaborateur ou d\u2019un changement\ + \ de prestataire, il est n\xE9cessaire de proc\xE9der au retrait des droits\ + \ d\u2019acc\xE8s ou au changement des codes d\u2019acc\xE8s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.hr_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node157 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Enfin, les prises r\xE9seau se trouvant dans des zones ouvertes\ + \ au public (salle de r\xE9union, hall d\u2019accueil, couloirs, placards,\ + \ etc.) doivent \xEAtre restreintes ou d\xE9sactiv\xE9es afin d\u2019emp\xEA\ + cher un attaquant de gagner facilement l\u2019acc\xE8s au r\xE9seau de l\u2019\ + entreprise." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + assessable: false + depth: 1 + ref_id: VI + name: "S\xE9curiser l'administration" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + ref_id: '27' + name: "Interdire l\u2019acc\xE8s \xE0 Internet depuis les postes ou serveurs\ + \ utilis\xE9s pour l\u2019administration du syst\xE8me d\u2019information" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node160 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Un poste de travail ou un serveur utilis\xE9 pour les actions\ + \ d\u2019administration ne doit en aucun cas avoir acc\xE8s \xE0 Internet,\ + \ en raison des risques que la navigation Web (\xE0 travers des sites contenant\ + \ du code malveillant) et la messagerie (au travers de pi\xE8ces jointes potentiellement\ + \ v\xE9rol\xE9es) font peser sur son int\xE9grit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node161 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Pour les autres usages des administrateurs n\xE9cessitant Internet\ + \ (consultation de documentation en ligne, de leur messagerie, etc.), il est\ + \ recommand\xE9 de mettre \xE0 leur disposition un poste de travail distinct.\ + \ \xC0 d\xE9faut, l\u2019acc\xE8s \xE0 une infrastructure virtualis\xE9e distante\ + \ pour la bureautique depuis un poste d\u2019administration est envisageable.\ + \ La r\xE9ciproque consistant \xE0 fournir un acc\xE8s distant \xE0 une infrastructure\ + \ d\u2019administration depuis un poste bureautique est d\xE9conseill\xE9\ + e car elle peut mener \xE0 une \xE9l\xE9vation de privil\xE8ges en cas de\ + \ r\xE9cup\xE9ration des authentifiants d\u2019administration." + annotation: "Pour les environnements les plus sensibles, la politique de gestion\ + \ des acc\xE8s \xE0 privil\xE8ge pr\xE9voiera des postes d\xE9di\xE9s pour\ + \ les administrateurs." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node162 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Concernant les mises \xE0 jour logicielles des \xE9quipements\ + \ administr\xE9s, elles doivent \xEAtre r\xE9cup\xE9r\xE9es depuis une source\ + \ s\xFBre (le site de l\u2019\xE9diteur par exemple), contr\xF4l\xE9es puis\ + \ transf\xE9r\xE9es sur le poste ou le serveur utilis\xE9 pour l\u2019administration\ + \ et non connect\xE9 \xE0 Internet." + annotation: "V\xE9rifier que la signature soit bien contr\xF4l\xE9e" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node163 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Ce transfert peut \xEAtre r\xE9alis\xE9 sur un support amovible\ + \ d\xE9di\xE9. " + annotation: "Il s'agit d'une exception l\xE9gitime au blocage USB." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node164 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Pour des entit\xE9s voulant automatiser certaines t\xE2ches, la\ + \ mise en place d\u2019une zone d\u2019\xE9changes est conseill\xE9e. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + ref_id: '28' + name: "Utiliser un r\xE9seau d\xE9di\xE9 et cloisonn\xE9 pour l\u2019administration\ + \ du syst\xE8me d\u2019information" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node166 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28 + description: "Un r\xE9seau d\u2019administration interconnecte, entre autres,\ + \ les postes ou serveurs d\u2019administration et les interfaces d\u2019administration\ + \ des \xE9quipements. Dans la logique de segmentation du r\xE9seau global\ + \ de l\u2019entit\xE9, il est indispensable de cloisonner sp\xE9cifiquement\ + \ le r\xE9seau d\u2019administration, notamment vis-\xE0-vis du r\xE9seau\ + \ bureautique des utilisateurs, pour se pr\xE9munir de toute compromission\ + \ par rebond depuis un poste utilisateur vers une ressource d\u2019administration. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node167 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28 + description: "Selon les besoins de s\xE9curit\xE9 de l\u2019entit\xE9, il est\ + \ recommand\xE9 :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node168 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node167 + description: "de privil\xE9gier en premier lieu un cloisonnement physique des\ + \ r\xE9seaux d\xE8s que cela est possible, cette solution pouvant repr\xE9\ + senter des co\xFBts et un temps de d\xE9ploiement importants;" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node169 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node167 + description: "\xE0 d\xE9faut, de mettre en \u0153uvre un cloisonnement logique\ + \ cryptographique reposant sur la mise en place de tunnels IPsec. Ceci permet\ + \ d\u2019assurer l\u2019int\xE9grit\xE9 et la confidentialit\xE9 des informations\ + \ v\xE9hicul\xE9es sur le r\xE9seau d\u2019administration vis-\xE0-vis du\ + \ r\xE9seau bureautique des utilisateurs ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node170 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node167 + description: "au minimum, de mettre en \u0153uvre un cloisonnement logique par\ + \ VLAN. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + ref_id: '29' + name: "\_Limiter au strict besoin op\xE9rationnel les droits d\u2019administration\ + \ sur les postes de travail" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node172 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29 + description: "De nombreux utilisateurs, y compris au sommet des hi\xE9rarchies,\ + \ sont tent\xE9s de demander \xE0 leur service informatique de pouvoir disposer,\ + \ par analogie avec leur usage personnel, de privil\xE8ges plus importants\ + \ sur leurs postes de travail : installation de logiciels, configuration du\ + \ syst\xE8me, etc. Par d\xE9faut, il est recommand\xE9 qu\u2019un utilisateur\ + \ du SI, quelle que soit sa position hi\xE9rarchique et ses attributions,\ + \ ne dispose pas de privil\xE8ges d\u2019administration sur son poste de travail.\ + \ Cette mesure, apparemment contraignante, vise \xE0 limiter les cons\xE9\ + quences de l\u2019ex\xE9cution malencontreuse d\u2019un code malveillant.\ + \ La mise \xE0 disposition d\u2019un magasin \xE9toff\xE9 d\u2019applications\ + \ valid\xE9es par l\u2019entit\xE9 du point de vue de la s\xE9curit\xE9 permettra\ + \ de r\xE9pondre \xE0 la majorit\xE9 des besoins. \nPar cons\xE9quent, seuls\ + \ les administrateurs charg\xE9s de l\u2019administration des postes doivent\ + \ disposer de ces droits lors de leurs interventions. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node173 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29 + description: "Si une d\xE9l\xE9gation de privil\xE8ges sur un poste de travail\ + \ est r\xE9ellement n\xE9cessaire pour r\xE9pondre \xE0 un besoin ponctuel\ + \ de l\u2019utilisateur, celle-ci doit \xEAtre trac\xE9e, limit\xE9e dans\ + \ le temps et retir\xE9e \xE0 \xE9ch\xE9ance." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + assessable: false + depth: 1 + ref_id: VII + name: "G\xE9rer le nomadisme" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '30' + name: " Prendre des mesures de s\xE9curisation physique des terminaux nomades" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node176 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Les terminaux nomades (ordinateurs portables, tablettes, ordiphones)\ + \ sont, par nature, expos\xE9s \xE0 la perte et au vol. Ils peuvent contenir\ + \ localement des informations sensibles pour l\u2019entit\xE9 et constituer\ + \ un point d\u2019entr\xE9e vers de plus amples ressources du syst\xE8me d\u2019\ + information. Au-del\xE0 de l\u2019application au minimum des politiques de\ + \ s\xE9curit\xE9 de l\u2019entit\xE9, des mesures sp\xE9cifiques de s\xE9\ + curisation de ces \xE9quipements sont donc \xE0 pr\xE9voir. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node177 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "En tout premier lieu, les utilisateurs doivent \xEAtre sensibilis\xE9\ + s pour augmenter leur niveau de vigilance lors de leurs d\xE9placements et\ + \ conserver leurs \xE9quipements \xE0 port\xE9e de vue. N\u2019importe quelle\ + \ entit\xE9, m\xEAme de petite taille, peut \xEAtre victime d\u2019une attaque\ + \ informatique. D\xE8s lors, en mobilit\xE9, tout \xE9quipement devient une\ + \ cible potentielle voire privil\xE9gi\xE9e." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.educ + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:doc.educ_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node178 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Il est recommand\xE9 que les terminaux nomades soient aussi banalis\xE9\ + s que possible en \xE9vitant toute mention explicite de l\u2019entit\xE9 d\u2019\ + appartenance (par l\u2019apposition d\u2019un autocollant aux couleurs de\ + \ l\u2019entit\xE9 par exemple)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node179 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Pour \xE9viter toute indiscr\xE9tion lors de d\xE9placements,\ + \ notamment dans les transports ou les lieux d\u2019attente, un filtre de\ + \ confidentialit\xE9 doit \xEAtre positionn\xE9 sur chaque \xE9cran." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.screen_filter + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node180 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Enfin, afin de rendre inutilisable le poste seul, l\u2019utilisation\ + \ d\u2019un support externe compl\xE9mentaire (carte \xE0 puce ou jeton USB\ + \ par exemple) pour conserver des secrets de d\xE9chiffrement ou d\u2019authentification\ + \ peut \xEAtre envisag\xE9e. Dans ce cas il doit \xEAtre conserv\xE9 \xE0\ + \ part. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '31' + name: "Chiffrer les donn\xE9es sensibles, en particulier sur le mat\xE9riel\ + \ potentiellement perdable" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node182 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + description: "Les d\xE9placements fr\xE9quents en contexte professionnel et\ + \ la miniaturisation du mat\xE9riel informatique conduisent souvent \xE0 la\ + \ perte ou au vol de celui-ci dans l\u2019espace public. Cela peut porter\ + \ atteinte aux donn\xE9es sensibles de l\u2019entit\xE9 qui y sont stock\xE9\ + es.\nIl faut donc ne stocker que des donn\xE9es pr\xE9alablement chiffr\xE9\ + es sur l\u2019ensemble des mat\xE9riels nomades (ordinateurs portables, ordiphones,\ + \ cl\xE9s USB, disques durs externes, etc.) afin de pr\xE9server leur confidentialit\xE9\ + . Seul un secret (mot de passe, carte \xE0 puce, code PIN, etc.) pourra permettre\ + \ \xE0 celui qui le poss\xE8de d\u2019acc\xE9der \xE0 ces donn\xE9es." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node183 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + description: "Une solution de chiffrement de partition, d\u2019archives ou de\ + \ fichier peut \xEAtre envisag\xE9e selon les besoins. L\xE0 encore, il est\ + \ essentiel de s\u2019assurer de l\u2019unicit\xE9 et de la robustesse du\ + \ secret de d\xE9chiffrement utilis\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node184 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + description: "Dans la mesure du possible, il est conseill\xE9 de commencer par\ + \ un chiffrement complet du disque avant d\u2019envisager le chiffrement d\u2019\ + archives ou de fichiers. En effet, ces derniers r\xE9pondent \xE0 des besoins\ + \ diff\xE9rents et peuvent potentiellement laisser sur le support de stockage\ + \ des informations non chiffr\xE9es (fichiers de restauration de suite bureautique,\ + \ par exemple)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '32' + name: "S\xE9curiser la connexion r\xE9seau des postes utilis\xE9s en situation\ + \ de nomadisme" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node186 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "En situation de nomadisme, il n\u2019est pas rare qu\u2019un utilisateur\ + \ ait besoin de se connecter au syst\xE8me d\u2019information de l\u2019entit\xE9\ + . Il convient par cons\xE9quent de s\u2019assurer du caract\xE8re s\xE9curis\xE9\ + \ de cette connexion r\xE9seau \xE0 travers Internet. M\xEAme si la possibilit\xE9\ + \ d\u2019\xE9tablir des tunnels VPN SSL/TLS est aujourd\u2019hui courante,\ + \ il est fortement recommand\xE9 d\u2019\xE9tablir un tunnel VPN IPsec entre\ + \ le poste nomade et une passerelle VPN IPsec mise \xE0 disposition par l\u2019\ + entit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node187 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "Pour garantir un niveau de s\xE9curit\xE9 optimal, ce tunnel VPN\ + \ IPsec doit \xEAtre automatiquement \xE9tabli et ne pas \xEAtre d\xE9brayable\ + \ par l\u2019utilisateur, c\u2019est-\xE0-dire qu\u2019aucun flux ne doit\ + \ pouvoir \xEAtre transmis en dehors de ce tunnel." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node188 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "Pour les besoins sp\xE9cifiques d\u2019authentification aux portails\ + \ captifs, l\u2019entit\xE9 peut choisir de d\xE9roger \xE0 la connexion automatique\ + \ en autorisant une connexion \xE0 la demande ou maintenir cette recommandation\ + \ en encourageant l\u2019utilisateur \xE0 utiliser un partage de connexion\ + \ sur un t\xE9l\xE9phone mobile de confiance." + annotation: "Cette fonction est int\xE9gr\xE9e dans les logiciels VPN les plus\ + \ courants." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node189 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "Afin d\u2019\xE9viter toute r\xE9utilisation d\u2019authentifiants\ + \ depuis un poste vol\xE9 ou perdu (identifiant et mot de passe enregistr\xE9\ + s par exemple), il est pr\xE9f\xE9rable d\u2019avoir recours \xE0 une authentification\ + \ forte, par exemple avec un mot de passe et un certificat stock\xE9 sur un\ + \ support externe (carte \xE0 puce ou jeton USB) ou un m\xE9canisme de mot\ + \ de passe \xE0 usage unique (One Time Password). " + annotation: Indispensable en 2025 + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.mfa + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '33' + name: " Adopter des politiques de s\xE9curit\xE9 d\xE9di\xE9es aux terminaux\ + \ mobiles" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node191 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Les ordiphones et tablettes font partie de notre quotidien personnel\ + \ et/ou professionnel. La premi\xE8re des recommandations consiste justement\ + \ \xE0 ne pas mutualiser les usages personnel et professionnel sur un seul\ + \ et m\xEAme terminal, par exemple en ne synchronisant pas simultan\xE9ment\ + \ comptes professionnel et personnel de messagerie, de r\xE9seaux sociaux,\ + \ d\u2019agendas, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node192 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Les terminaux, fournis par l\u2019entit\xE9 et utilis\xE9s en\ + \ contexte professionnel doivent faire l\u2019objet d\u2019une s\xE9curisation\ + \ \xE0 part enti\xE8re, d\xE8s lors qu\u2019ils se connectent au syst\xE8\ + me d\u2019information de l\u2019entit\xE9 ou qu\u2019ils contiennent des informations\ + \ professionnelles potentiellement sensibles (mails, fichiers partag\xE9s,\ + \ contacts, etc.). D\xE8s lors, l\u2019utilisation d\u2019une solution de\ + \ gestion centralis\xE9e des \xE9quipements mobiles est \xE0 privil\xE9gier.\ + \ Il sera notamment souhaitable de configurer de mani\xE8re homog\xE8ne les\ + \ politiques de s\xE9curit\xE9 inh\xE9rentes : moyen de d\xE9verrouillage\ + \ du terminal, limitation de l\u2019usage du magasin d\u2019applications \xE0\ + \ des applications valid\xE9es du point de vue de la s\xE9curit\xE9, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node193 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Dans le cas contraire, une configuration pr\xE9alable avant remise\ + \ de l\u2019\xE9quipement et une s\xE9ance de sensibilisation des utilisateurs\ + \ est souhaitable." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node194 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Entre autres usages potentiellement risqu\xE9s, celui d\u2019\ + un assistant vocal int\xE9gr\xE9 augmente sensiblement la surface d\u2019\ + attaque du terminal et des cas d\u2019attaque ont \xE9t\xE9 d\xE9montr\xE9\ + s. Pour ces raisons, il est donc d\xE9conseill\xE9." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii + assessable: false + depth: 1 + ref_id: VIII + name: "Maintenir le syst\xE8me d'information \xE0 jour" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii + ref_id: '34' + name: " D\xE9finir une politique de mise \xE0 jour des composants du syst\xE8\ + me d\u2019information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node197 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + description: "De nouvelles failles sont r\xE9guli\xE8rement d\xE9couvertes au\ + \ c\u0153ur des syst\xE8mes et logiciels. Ces derni\xE8res sont autant de\ + \ portes d\u2019acc\xE8s qu\u2019un attaquant peut exploiter pour r\xE9ussir\ + \ son intrusion dans le syst\xE8me d\u2019information. Il est donc primordial\ + \ de s\u2019informer de l\u2019apparition de nouvelles vuln\xE9rabilit\xE9\ + s (CERTFR) et d\u2019appliquer les correctifs de s\xE9curit\xE9 sur l\u2019\ + ensemble des composants du syst\xE8me dans le mois qui suit leur publication\ + \ par l\u2019\xE9diteur. Une politique de mise \xE0 jour doit ainsi \xEAtre\ + \ d\xE9finie et d\xE9clin\xE9e en proc\xE9dures op\xE9rationnelles. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node198 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + description: "Celles-ci doivent notamment pr\xE9ciser :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node199 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node198 + description: "la mani\xE8re dont l\u2019inventaire des composants du syst\xE8\ + me d\u2019information est r\xE9alis\xE9 ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node200 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node198 + description: "les sources d\u2019information relatives \xE0 la publication des\ + \ mises \xE0 jour ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.threat_intel + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node201 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node198 + description: "les outils pour d\xE9ployer les correctifs sur le parc (par exemple\ + \ WSUS pour les mises \xE0 jour des composants Microsoft, des outils gratuits\ + \ ou payants pour les composants tiers et autres syst\xE8mes d\u2019exploitation)\ + \ ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node202 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node198 + description: "l\u2019\xE9ventuelle qualification des correctifs et leur d\xE9\ + ploiement progressif sur le parc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node203 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + description: "Les composants obsol\xE8tes qui ne sont plus support\xE9s par\ + \ leurs fabricants doivent \xEAtre isol\xE9s du reste du syst\xE8me. Cette\ + \ recommandation s\u2019applique aussi bien au niveau r\xE9seau par un filtrage\ + \ strict des flux, qu\u2019au niveau des secrets d\u2019authentification qui\ + \ doivent \xEAtre d\xE9di\xE9s \xE0 ces syst\xE8mes. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii + ref_id: '35' + name: "Anticiper la fin de la maintenance des logiciels et syst\xE8mes et limiter\ + \ les adh\xE9rences logicielles" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35 + description: "L\u2019utilisation d\u2019un syst\xE8me ou d\u2019un logiciel\ + \ obsol\xE8te augmente significativement les possibilit\xE9s d\u2019attaque\ + \ informatique. Les syst\xE8mes deviennent vuln\xE9rables d\xE8s lors que\ + \ les correctifs ne sont plus propos\xE9s. En effet, des outils malveillants\ + \ exploitant ces vuln\xE9rabilit\xE9s peuvent se diffuser rapidement sur Internet\ + \ alors m\xEAme que l\u2019\xE9diteur ne propose pas de correctif de s\xE9\ + curit\xE9. \nPour anticiper ces obsolescences, un certain nombre de pr\xE9\ + cautions existent :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node206 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "\xE9tablir et tenir \xE0 jour un inventaire des syst\xE8mes et\ + \ applications du syst\xE8me d\u2019information ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node207 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "choisir des solutions dont le support est assur\xE9 pour une dur\xE9\ + e correspondant \xE0 leur utilisation ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node208 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "assurer un suivi des mises \xE0 jour et des dates de fin de support\ + \ des logiciels ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node209 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "maintenir un parc logiciel homog\xE8ne (la coexistence de versions\ + \ diff\xE9rentes d\u2019un m\xEAme produit multiplie les risques et complique\ + \ le suivi) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node210 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "limiter les adh\xE9rences logicielles, c\u2019est-\xE0-dire les\ + \ d\xE9pendances de fonctionnement d\u2019un logiciel par rapport \xE0 un\ + \ autre, en particulier lorsque le support de ce dernier arrive \xE0 son terme\ + \ ;" + annotation: "Principe de modularit\xE9 applicative" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.arc_principles + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node211 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "inclure dans les contrats avec les prestataires et fournisseurs\ + \ des clauses garantissant le suivi des correctifs de s\xE9curit\xE9 et la\ + \ gestion des obsolescences ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node212 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node205 + description: "identifier les d\xE9lais et ressources n\xE9cessaires (mat\xE9\ + rielles, humaines, budg\xE9taires) \xE0 la migration de chaque logiciel en\ + \ fin de vie (tests de non-r\xE9gression, proc\xE9dure de sauvegarde, proc\xE9\ + dure de migration des donn\xE9es, etc.)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + assessable: false + depth: 1 + ref_id: IX + name: "Superviser, auditer, r\xE9agir" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '36' + name: Activer et configurer les journaux des composants les plus importants + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node215 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Disposer de journaux pertinents est n\xE9cessaire afin de pouvoir\ + \ d\xE9tecter d\u2019\xE9ventuels dysfonctionnements et tentatives d\u2019\ + acc\xE8s illicites aux composants du syst\xE8me d\u2019information." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.monitor + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node216 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "La premi\xE8re \xE9tape consiste \xE0 d\xE9terminer quels sont\ + \ les composants critiques du syst\xE8me d\u2019information. Il peut notamment\ + \ s\u2019agir des \xE9quipements r\xE9seau et de s\xE9curit\xE9, des serveurs\ + \ critiques, des postes de travail d\u2019utilisateurs sensibles, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn:intuitem:risk:function:doc-pol:doc.is_map + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node217 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Pour chacun, il convient d\u2019analyser la configuration des\ + \ \xE9l\xE9ments journalis\xE9s (format, fr\xE9quence de rotation des fichiers,\ + \ taille maximale des fichiers journaux, cat\xE9gories d\u2019\xE9v\xE8nements\ + \ enregistr\xE9s, etc.) et de l\u2019adapter en cons\xE9quence." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node218 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Les \xE9v\xE8nements critiques pour la s\xE9curit\xE9 doivent\ + \ \xEAtre journalis\xE9s et gard\xE9s pendant au moins un an (ou plus en fonction\ + \ des obligations l\xE9gales du secteur d\u2019activit\xE9s)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.monitor + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node219 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Une \xE9tude contextuelle du syst\xE8me d\u2019information doit\ + \ \xEAtre effectu\xE9e et les \xE9l\xE9ments suivants doivent \xEAtre journalis\xE9\ + s :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node220 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node219 + description: "pare-feu : paquets bloqu\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node221 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node219 + description: "syst\xE8mes et applications : authentifications et autorisations\ + \ (\xE9checs et succ\xE8s), arr\xEAts inopin\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node222 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node219 + description: "services : erreurs de protocoles (par exemples les erreurs 403,\ + \ 404 et 500 pour les services hTTP), tra\xE7abilit\xE9 des flux applicatifs\ + \ aux interconnexions (URL sur un relai hTTP, en-t\xEAtes des messages sur\ + \ un relai SMTP, etc.)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node223 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Afin de pouvoir corr\xE9ler les \xE9v\xE8nements entre les diff\xE9\ + rents composants, leur source de synchronisation de temps (gr\xE2ce au protocole\ + \ NTP) doit \xEAtre identique." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.ntp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node224 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Si toutes les actions pr\xE9c\xE9dentes ont \xE9t\xE9 mises en\ + \ \u0153uvre, une centralisation des journaux sur un dispositif d\xE9di\xE9\ + \ pourra \xEAtre envisag\xE9e. Cela permet de faciliter la recherche automatis\xE9\ + e d\u2019\xE9v\xE9nements suspects, d\u2019archiver les journaux sur une longue\ + \ dur\xE9e et d\u2019emp\xEAcher un attaquant d\u2019effacer d\u2019\xE9ventuelles\ + \ traces de son passage sur les \xE9quipements qu\u2019il a compromis. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.siem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '37' + name: "D\xE9finir et appliquer une politique de sauvegarde des composants critiques" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node226 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Suite \xE0 un incident d\u2019exploitation ou en contexte de gestion\ + \ d\u2019une intrusion, la disponibilit\xE9 de sauvegardes conserv\xE9es\ + \ en lieu s\xFBr est indispensable \xE0 la poursuite de l\u2019activit\xE9\ + . Il est donc fortement recommand\xE9 de formaliser une politique de sauvegarde\ + \ r\xE9guli\xE8rement mise \xE0 jour. Cette derni\xE8re a pour objectif de\ + \ d\xE9finir des exigences en mati\xE8re de sauvegarde de l\u2019information,\ + \ des logiciels et des syst\xE8mes. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Cette politique doit au moins int\xE9grer les \xE9l\xE9ments suivants\ + \ :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node228 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: "la liste des donn\xE9es jug\xE9es vitales pour l\u2019organisme\ + \ et les serveurs concern\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node229 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: "les diff\xE9rents types de sauvegarde (par exemple le mode hors\ + \ ligne) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node230 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: "la fr\xE9quence des sauvegardes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node231 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: "la proc\xE9dure d\u2019administration et d\u2019ex\xE9cution des\ + \ sauvegardes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node232 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: "les informations de stockage et les restrictions d\u2019acc\xE8\ + s aux sauvegardes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node233 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: "les proc\xE9dures de test de restauration ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node234 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node227 + description: ' la destruction des supports ayant contenu les sauvegardes.' + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.disposal + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node235 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Les tests de restauration peuvent \xEAtre r\xE9alis\xE9s de plusieurs\ + \ mani\xE8res :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node236 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node235 + description: "syst\xE9matique, par un ordonnanceur de t\xE2ches pour les applications\ + \ importantes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node237 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node235 + description: "ponctuelle, en cas d\u2019erreur sur les fichiers ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node238 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node235 + description: "g\xE9n\xE9rale, pour une sauvegarde et restauration enti\xE8res\ + \ du syst\xE8me d\u2019information." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.bcp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node239 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Un fois cette politique de sauvegarde \xE9tablie, il est souhaitable\ + \ de planifier au moins une fois par an un exercice de restauration des donn\xE9\ + es et de conserver une trace technique des r\xE9sultats." + annotation: "On pourra faire les tests de restauration dans une zone virtuelle\ + \ d\xE9di\xE9e." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.bcp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '38' + name: "Proc\xE9der \xE0 des contr\xF4les et audits de s\xE9curit\xE9 r\xE9guliers\ + \ puis appliquer les actions correctives associ\xE9es (renforc\xE9)" + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node241 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "La r\xE9alisation d\u2019audits r\xE9guliers (au moins une fois\ + \ par an) du syst\xE8me d\u2019information est essentielle car elle permet\ + \ d\u2019\xE9valuer concr\xE8tement l\u2019efficacit\xE9 des mesures mises\ + \ en \u0153uvre et leur maintien dans le temps. Ces contr\xF4les et audits\ + \ permettent \xE9galement de mesurer les \xE9carts pouvant persister entre\ + \ la r\xE8gle et la pratique." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.audit + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node242 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "Ils peuvent \xEAtre r\xE9alis\xE9s par d\u2019\xE9ventuelles \xE9\ + quipes d\u2019audit internes ou par des soci\xE9t\xE9s externes sp\xE9cialis\xE9\ + es. Selon le p\xE9rim\xE8tre \xE0 contr\xF4ler, des audits techniques et/ou\ + \ organisationnels seront effectu\xE9s par les professionnels mobilis\xE9\ + s. Ces audits sont d\u2019autant plus n\xE9cessaires que l\u2019entit\xE9\ + \ doit \xEAtre conforme \xE0 des r\xE9glementations et obligations l\xE9gales\ + \ directement li\xE9es \xE0 ses activit\xE9s." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.audit_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node243 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "\xC0 l\u2019issue de ces audits, des actions correctives doivent\ + \ \xEAtre identifi\xE9es, leur application planifi\xE9e et des points de suivi\ + \ organis\xE9s \xE0 intervalles r\xE9guliers. Pour une plus grande efficacit\xE9\ + , des indicateurs sur l\u2019\xE9tat d\u2019avancement du plan d\u2019action\ + \ pourront \xEAtre int\xE9gr\xE9s dans un tableau de bord \xE0 l\u2019adresse\ + \ de la direction. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.nc_log + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node244 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "Si les audits de s\xE9curit\xE9 participent \xE0 la s\xE9curit\xE9\ + \ du syst\xE8me d\u2019information en permettant de mettre en \xE9vidence\ + \ d\u2019\xE9ventuelles vuln\xE9rabilit\xE9s, ils ne constituent jamais une\ + \ preuve de leur absence et ne dispensent donc pas d\u2019autres mesures de\ + \ contr\xF4le. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.main + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '39' + name: "D\xE9signer un r\xE9f\xE9rent en s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information et le faire conna\xEEtre aupr\xE8s du personnel" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node246 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Toute entit\xE9 doit disposer d\u2019un r\xE9f\xE9rent en s\xE9\ + curit\xE9 des syst\xE8mes d\u2019information qui sera soutenu par la direction\ + \ ou par une instance d\xE9cisionnelle sp\xE9cialis\xE9e selon le niveau de\ + \ maturit\xE9 de la structure. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.raci + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node247 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Ce r\xE9f\xE9rent devra \xEAtre connu de tous les utilisateurs\ + \ et sera le premier contact pour toutes les questions relatives \xE0 la s\xE9\ + curit\xE9 des syst\xE8mes d\u2019information :\n> d\xE9finition des r\xE8\ + gles \xE0 appliquer selon le contexte ;\n> v\xE9rification de l\u2019application\ + \ des r\xE8gles ;\n> sensibilisation des utilisateurs et d\xE9finition d\u2019\ + un plan de formation des acteurs informatiques ;\n> centralisation et traitement\ + \ des incidents de s\xE9curit\xE9 constat\xE9s ou remont\xE9s par les utilisateurs." + annotation: 'n ' + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node248 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Ce r\xE9f\xE9rent devra \xEAtre form\xE9 \xE0 la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information et \xE0 la gestion de crise." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node249 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Dans les entit\xE9s les plus importantes, ce correspondant peut\ + \ \xEAtre d\xE9sign\xE9 pour devenir le relais du RSSI. Il pourra par exemple\ + \ signaler les dol\xE9ances des utilisateurs et identifier les th\xE9matiques\ + \ \xE0 aborder dans le cadre des sensibilisations, permettant ainsi d\u2019\ + \xE9lever le niveau de s\xE9curit\xE9 du syst\xE8me d\u2019information au\ + \ sein de l\u2019organisme." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.raci + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '40' + name: "D\xE9finir une proc\xE9dure de gestion des incidents de s\xE9curit\xE9" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node251 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: "Le constat d\u2019un comportement inhabituel de la part d\u2019\ + un poste de travail ou d\u2019un serveur (connexion impossible, activit\xE9\ + \ importante, activit\xE9s inhabituelles, services ouverts non autoris\xE9\ + s, fichiers cr\xE9\xE9s, modifi\xE9s ou supprim\xE9s sans autorisation, multiples\ + \ alertes de l\u2019antivirus, etc.) peut alerter sur une \xE9ventuelle intrusion." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node252 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: "Une mauvaise r\xE9action en cas d\u2019incident de s\xE9curit\xE9\ + \ peut faire empirer la situation et emp\xEAcher de traiter correctement le\ + \ probl\xE8me. Le bon r\xE9flexe est de d\xE9connecter la machine du r\xE9\ + seau, pour stopper l\u2019attaque. En revanche, il faut la maintenir sous\ + \ tension et ne pas la red\xE9marrer, pour ne pas perdre d\u2019informations\ + \ utiles pour l\u2019analyse de l\u2019attaque. Il faut ensuite pr\xE9venir\ + \ la hi\xE9rarchie, ainsi que le r\xE9f\xE9rent en s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node253 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: "\nCelui-ci peut prendre contact avec un prestataire de r\xE9ponse\ + \ aux incidents de s\xE9curit\xE9 (PRIS) afin de faire r\xE9aliser les op\xE9\ + rations techniques n\xE9cessaires (copie physique du disque, analyse de la\ + \ m\xE9moire, des journaux et d\u2019\xE9ventuels codes malveillants, etc.)\ + \ et de d\xE9terminer si d\u2019autres \xE9l\xE9ments du syst\xE8me d\u2019\ + information ont \xE9t\xE9 compromis. Il s\u2019agira \xE9galement d\u2019\xE9\ + laborer la r\xE9ponse \xE0 apporter afin de supprimer d\u2019\xE9ventuels\ + \ codes malveillants et acc\xE8s dont disposerait l\u2019attaquant et de proc\xE9\ + der au changement des mots de passe compromis." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node254 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: " Tout incident doit \xEAtre consign\xE9 dans un registre centralis\xE9\ + . Une plainte pourra \xE9galement \xEAtre d\xE9pos\xE9e aupr\xE8s du service\ + \ judiciaire comp\xE9tent." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.incident_register + - urn:intuitem:risk:function:doc-pol:proc.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x + assessable: false + depth: 1 + ref_id: X + name: Pour aller plus loin + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x + ref_id: '41' + name: "Mener une analyse de risques formelle (renforc\xE9)" + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node257 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41 + description: "Chaque entit\xE9 \xE9volue dans un environnement informationnel\ + \ complexe qui lui est propre. Aussi, toute prise de position ou plan d\u2019\ + action impliquant la s\xE9curit\xE9 du syst\xE8me d\u2019information doit\ + \ \xEAtre consid\xE9r\xE9 \xE0 la lumi\xE8re des risques pressentis par la\ + \ direction. En effet, qu\u2019il s\u2019agisse de mesures organisationnelles\ + \ ou techniques, leur mise en \u0153uvre repr\xE9sente un co\xFBt pour l\u2019\ + entit\xE9 qui n\xE9cessite de s\u2019assurer qu\u2019elles permettent de r\xE9\ + duire au bon niveau un risque identifi\xE9.\nDans les cas les plus sensibles,\ + \ l\u2019analyse de risque peut remettre en cause certains choix pass\xE9\ + s. Ce peut notamment \xEAtre le cas si la probabilit\xE9 d\u2019apparition\ + \ d\u2019un \xE9v\xE9nement et ses cons\xE9quences potentielles s\u2019av\xE8\ + rent critiques pour l\u2019entit\xE9 et qu\u2019il n\u2019existe aucune action\ + \ pr\xE9ventive pour le ma\xEEtriser.\nLa d\xE9marche recommand\xE9e consiste,\ + \ dans les grandes lignes, \xE0 d\xE9finir le contexte, appr\xE9cier les risques\ + \ et les traiter. L\u2019\xE9valuation de ces risques s\u2019op\xE8re g\xE9\ + n\xE9ralement selon deux axes : leur probabilit\xE9 d\u2019apparition et leur\ + \ gravit\xE9. S\u2019ensuit l\u2019\xE9laboration d\u2019un plan de traitement\ + \ du risque \xE0 faire valider par une autorit\xE9 d\xE9sign\xE9e \xE0 plus\ + \ haut niveau." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.risk + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node258 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41 + description: "Trois types d\u2019approches peuvent \xEAtre envisag\xE9s pour\ + \ ma\xEEtriser les risques associ\xE9s \xE0 son syst\xE8me d\u2019information\ + \ :\n> le recours aux bonnes pratiques de s\xE9curit\xE9 informatique ;\n\ + > une analyse de risques syst\xE9matique fond\xE9e sur les retours d\u2019\ + exp\xE9rience des utilisateurs ;\n> une gestion structur\xE9e des risques\ + \ formalis\xE9e par une m\xE9thodologie d\xE9di\xE9e.\nDans ce dernier cas,\ + \ la m\xE9thode EBIOS r\xE9f\xE9renc\xE9e par l\u2019ANSSI est recommand\xE9\ + e. Elle permet d\u2019exprimer les besoins de s\xE9curit\xE9, d\u2019identifier\ + \ les objectifs de s\xE9curit\xE9 et de d\xE9terminer les exigences de s\xE9\ + curit\xE9." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.audit + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x + ref_id: '42' + name: "Privil\xE9gier l\u2019usage de produits et de services qualifi\xE9s par\ + \ l'ANSSI (renforc\xE9)" + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:node260 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42 + description: "La qualification prononc\xE9e par l\u2019ANSSI offre des garanties\ + \ de s\xE9curit\xE9 et de confiance aux acheteurs de solutions list\xE9es\ + \ dans les catalogues de produits et de prestataires de service qualifi\xE9\ + s que publie l\u2019agence.\nAu-del\xE0 des entit\xE9s soumises \xE0 r\xE9\ + glementation, l\u2019ANSSI encourage plus g\xE9n\xE9ralement l\u2019ensemble\ + \ des entreprises et administrations fran\xE7aises \xE0 utiliser des produits\ + \ qu\u2019elle qualifie, seul gage d\u2019une \xE9tude s\xE9rieuse et approfondie\ + \ du fonctionnement technique de la solution et de son \xE9cosyst\xE8me.\n\ + S\u2019agissant des prestataires de service qualifi\xE9s, ce label permet\ + \ de r\xE9pondre aux enjeux et projets de cybers\xE9curit\xE9 pour l\u2019\ + ensemble du tissu \xE9conomique fran\xE7ais que l\u2019ANSSI ne saurait adresser\ + \ seule. \xC9valu\xE9s sur des crit\xE8res techniques et organisationnels,\ + \ les prestataires qualifi\xE9s couvrent l\u2019essentiel des m\xE9tiers de\ + \ la s\xE9curit\xE9 des syst\xE8mes d\u2019information. Ainsi, en fonction\ + \ de ses besoins et du maillage national, une entit\xE9 pourra faire appel\ + \ \xE0 un Prestataire d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information (PASSI), un Prestataire de r\xE9ponse aux incidents de s\xE9curit\xE9\ + \ (PRIS), un Prestataire de d\xE9tection des incidents de s\xE9curit\xE9 (PDIS)\ + \ ou \xE0 un prestataire de service d\u2019informatique en nuage (SecNumCloud)." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier diff --git a/backend/library/libraries/doc-pol.yaml b/backend/library/libraries/doc-pol.yaml index b15d8eba07..9464078d76 100644 --- a/backend/library/libraries/doc-pol.yaml +++ b/backend/library/libraries/doc-pol.yaml @@ -1,22 +1,25 @@ urn: urn:intuitem:risk:library:doc-pol locale: en -ref_id: doc-pol -name: Documents and policies -description: Typical documents and policies recommended by intuitem +ref_id: usual-controls +name: Usual reference controls +description: Usual documents, policies, procedures, training and technical controls + recommended by intuitem copyright: "\xA9 intuitem - 2024" -version: 2 +version: 3 provider: intuitem packager: intuitem translations: fr: - name: Documents et politiques - description: "Documents et politiques typiques recommand\xE9s par intuitem" + name: "Mesures de r\xE9f\xE9rence courantes" + description: "Documents, politiques, proc\xE9dures, formations et mesures techniques\ + \ recommand\xE9s par intuitem" objects: reference_controls: - urn: urn:intuitem:risk:function:doc-pol:doc.overview ref_id: DOC.OVERVIEW name: Organization overview document category: process + csf_function: govern description: 'Objectives of the organization Organigram @@ -38,6 +41,7 @@ objects: ref_id: DOC.CONTEXT name: Context of organization document category: process + csf_function: govern description: 'Stakeholders Authorities @@ -59,6 +63,7 @@ objects: ref_id: DOC.SCOPE name: ISMS Scope document category: process + csf_function: govern description: 'Products and services Products and services requiring certification @@ -91,6 +96,7 @@ objects: ref_id: DOC.LEGAL name: legal register category: process + csf_function: govern description: "Legal requirements \nStatutory requirements \nRegulatory requirements\ \ \nContractual requirements \nIntellectual property rights\nEmployment contracts\n\ NDAs" @@ -111,6 +117,7 @@ objects: ref_id: DOC.SOA name: Statement of Applicabilty document category: process + csf_function: govern translations: fr: name: "D\xE9claration d'applicabilit\xE9" @@ -119,6 +126,7 @@ objects: ref_id: DOC.CONTROLS name: Controls accountability matrix category: process + csf_function: govern annotation: 5.1.c translations: fr: @@ -128,6 +136,7 @@ objects: ref_id: DOC.AUDIT_PLAN name: Audit plan document category: process + csf_function: govern description: 'Context of the organization Leadership @@ -161,6 +170,7 @@ objects: ref_id: DOC.COMPETENCY name: Competency matrix category: process + csf_function: govern annotation: 5.1.f translations: fr: @@ -170,6 +180,7 @@ objects: ref_id: DOC.RACI name: Responsibility matrix category: process + csf_function: govern description: RACI for ISMS translations: fr: @@ -179,6 +190,7 @@ objects: ref_id: DOC.COM name: Communication plan document category: process + csf_function: govern annotation: '7.4' translations: fr: @@ -188,6 +200,7 @@ objects: ref_id: DOC.RISK_REGISTER name: Risk register category: process + csf_function: govern description: 'Risk owner Impact @@ -215,6 +228,7 @@ objects: ref_id: DOC.SO_REGISTER name: Security objectives register category: process + csf_function: govern annotation: '6.2' translations: fr: @@ -224,6 +238,7 @@ objects: ref_id: DOC.MGMT_REVIEW name: Management review plan document category: process + csf_function: govern description: 'Review of risks Review of security objectives @@ -244,7 +259,10 @@ objects: ref_id: DOC.EDUC_REGISTER name: Training and awareness register category: process - annotation: '7.2' + csf_function: govern + annotation: '7.2 + + A.6.3' translations: fr: name: Registre de formation et sensibilisation @@ -253,6 +271,7 @@ objects: ref_id: DOC.DOC_REGISTER name: Document register category: process + csf_function: govern description: 'Rules for edition and maintenance Version control @@ -270,46 +289,17 @@ objects: ref_id: DOC.PROC_REGISTER name: Operational procedures register category: process - description: 'Risk management procdure - - Incident management procedure - - Problem management procedure - - Vulnerability management procedure - - HR procedures - - Change management procedure - - Procedure for externalization - - Physical security procedures - - Privileged access procedure' - annotation: '8.1 - - A.6.1 - - 8.1 - - 8.1. - - A.7.1 - - A.8.2' + csf_function: govern + annotation: A.5.37 translations: fr: name: "Registre des proc\xE9dures op\xE9rationnelles" - description: "Processus de gestion des risques\nProc\xE9dure de gestion des\ - \ incidents\nProc\xE9dure de gestion des probl\xE8mes\nProc\xE9dure de gestion\ - \ des vuln\xE9rabilit\xE9s\nProc\xE9dures RH\nProc\xE9dure de gestion du\ - \ changement\nProc\xE9dure d\u2019externalisation\nProc\xE9dures de s\xE9\ - curit\xE9 physique\nProc\xE9dure d\u2019acc\xE8s privil\xE9gi\xE9" + description: null - urn: urn:intuitem:risk:function:doc-pol:doc.nc_log ref_id: DOC.NC_LOG name: Log of non-conformities category: process + csf_function: govern description: "List of non-conformities (incident, problems, \u2026)\nCorrective\ \ action taken" annotation: '10.1' @@ -322,6 +312,7 @@ objects: ref_id: DOC.INTERNAL_RULES name: Rules of procedure document category: process + csf_function: govern annotation: A.5.4, A.6.2 translations: fr: @@ -331,6 +322,7 @@ objects: ref_id: DOC.ASSET_REGISTER name: Registry of assets category: process + csf_function: identify annotation: A.5.9 translations: fr: @@ -340,15 +332,401 @@ objects: ref_id: DOC.SUPPLIER_REGISTER name: Registry of suppliers category: process + csf_function: identify description: Risk management translations: fr: name: Registre des fournisseurs description: Gestion des risques + - urn: urn:intuitem:risk:function:doc-pol:doc.educ_plan + ref_id: DOC.EDUC_PLAN + name: Information security awareness and traning plan + category: process + csf_function: govern + description: 'Objective: Raise awareness for all employees and provide targeted + training for relevant staff to promote secure behaviors, ensure compliance, + and reduce risks. + + Scope: Awareness for all employees and contractors; targeted training for specific + teams (e.g., IT, security, access managers). + + Roles and Responsibilities: Assign responsibilities to IT, HR, and security + teams. + + Training Requirements: Define mandatory topics (e.g., access management, secure + configurations) and frequency (e.g., annual, onboarding). + + Delivery Methods: Awareness through e-learning and campaigns; training through + hands-on workshops and simulations. + + Evaluation: Track participation rates, quiz scores, and phishing test results. + + Compliance: Align with regulations (e.g., GDPR, ISO 27001) and maintain audit-ready + records. + + Continuous Improvement: Update based on feedback and emerging threats.' + annotation: '7.3.c + + A.6.3' + translations: + fr: + name: Plan de sensibilisation et de formation + description: "Objectif : Sensibiliser l\u2019ensemble des employ\xE9s \xE0\ + \ la s\xE9curit\xE9 de l\u2019information et former sp\xE9cifiquement les\ + \ personnes concern\xE9es pour promouvoir des comportements s\xE9curis\xE9\ + s, assurer la conformit\xE9 et r\xE9duire les risques.\nPort\xE9e : Sensibilisation\ + \ pour tous les employ\xE9s et prestataires, formation cibl\xE9e pour les\ + \ \xE9quipes concern\xE9es (ex. : IT, s\xE9curit\xE9, responsables d'acc\xE8\ + s).\nR\xF4les et Responsabilit\xE9s : Attribution des responsabilit\xE9\ + s aux \xE9quipes IT, RH et s\xE9curit\xE9.\nExigences de Formation : D\xE9\ + finir les sujets obligatoires (ex. : gestion des acc\xE8s, configuration\ + \ s\xE9curis\xE9e) et la fr\xE9quence (ex. : annuelle, \xE0 l\u2019int\xE9\ + gration).\nM\xE9thodes de Diffusion : Sensibilisation via e-learning et\ + \ campagnes, formation via ateliers pratiques et simulations.\n\xC9valuation\ + \ : Suivre les taux de participation, les r\xE9sultats des quiz et les tests\ + \ de phishing.\nConformit\xE9 : S\u2019aligner sur les r\xE9glementations\ + \ (ex. : RGPD, ISO 27001) et conserver des dossiers pour audits.\nAm\xE9\ + lioration Continue : Mettre \xE0 jour en fonction des retours et des menaces\ + \ \xE9mergentes." + - urn: urn:intuitem:risk:function:doc-pol:doc.sap + ref_id: DOC.SAP + name: Security Assurance Plan + category: process + csf_function: govern + description: 'A document provided by suppliers outlining security measures, compliance + with standards (e.g., ISO 27001), and testing procedures to ensure the security + of their products, services, or systems. It demonstrates their commitment to + maintaining a secure environment and provides evidence of compliance and security + practices. + + + + + ' + annotation: A.5.19 + translations: + fr: + name: "Plan d'Assurance S\xE9curit\xE9 (PAS)" + description: "Document fourni par les fournisseurs d\xE9crivant les mesures\ + \ de s\xE9curit\xE9, la conformit\xE9 aux normes (ex. : ISO 27001) et les\ + \ proc\xE9dures de test mises en \u0153uvre pour garantir la s\xE9curit\xE9\ + \ de leurs produits, services ou syst\xE8mes. Il d\xE9montre leur engagement\ + \ \xE0 maintenir un environnement s\xE9curis\xE9 et fournit des preuves\ + \ de conformit\xE9 et de bonnes pratiques de s\xE9curit\xE9." + - urn: urn:intuitem:risk:function:doc-pol:doc.is_map + ref_id: DOC.IS_MAP + name: Information System Mapping + category: process + csf_function: identify + description: A visual representation of an organization's information system components + and their interactions to enhance management and security. + annotation: A.5.9 + translations: + fr: + name: Cartographie du SI + description: "Repr\xE9sentation visuelle des composants d\u2019un syst\xE8\ + me d\u2019information et de leurs interactions pour am\xE9liorer la gestion\ + \ et la s\xE9curit\xE9." + - urn: urn:intuitem:risk:function:doc-pol:doc.pam_register + ref_id: DOC.PAM_REGISTER + name: Register of privileged access accounts + category: process + csf_function: identify + annotation: A.5.18 + translations: + fr: + name: "Registre des acc\xE8s \xE0 privil\xE8ges" + description: null + - urn: urn:intuitem:risk:function:doc-pol:doc.incident_register + ref_id: DOC.INCIDENT_REGiSTER + name: Security Incident Register + category: process + csf_function: respond + annotation: A.5.34 + translations: + fr: + name: "Registre des incidents de s\xE9curit\xE9" + description: null + - urn: urn:intuitem:risk:function:doc-pol:doc.flow_matrix + ref_id: DOC.FLOW_MATRIX + name: Flow Matrix + category: process + csf_function: identify + description: A document mapping authorized data flows between systems, applications, + or network zones to ensure secure and compliant communication. + annotation: A.5.20 + translations: + fr: + name: Matrice de flux + description: "Document cartographiant les flux de donn\xE9es autoris\xE9s\ + \ entre syst\xE8mes, applications ou zones r\xE9seau pour garantir des communications\ + \ s\xE9curis\xE9es et conformes." + - urn: urn:intuitem:risk:function:doc-pol:doc.arc_principles + ref_id: DOC.ARC_PRINCIPLES + name: Security Architecture Principles + category: process + csf_function: protect + annotation: A.8.27 + translations: + fr: + name: "Principes d'architecture s\xE9curit\xE9" + description: null + - urn: urn:intuitem:risk:function:doc-pol:proc.pam + ref_id: PROC.PAM + name: Privileged Access Management Procedure + category: procedure + csf_function: protect + description: A document outlining the processes and controls for managing and + securing privileged accounts, ensuring only authorized users have access to + critical systems and data, with measures like monitoring, auditing, and time-limited + access to minimize risks. + annotation: 'A.5.18 + + A.8.2' + translations: + fr: + name: "Proc\xE9dure de gestion des acc\xE8s \xE0 privil\xE8ges" + description: "Document d\xE9crivant les processus et contr\xF4les pour g\xE9\ + rer et s\xE9curiser les comptes \xE0 privil\xE8ges, en s'assurant que seuls\ + \ les utilisateurs autoris\xE9s ont acc\xE8s aux syst\xE8mes et donn\xE9\ + es critiques. Elle inclut des mesures telles que la surveillance, l'audit,\ + \ et l'acc\xE8s limit\xE9 dans le temps pour r\xE9duire les risques." + - urn: urn:intuitem:risk:function:doc-pol:proc.recertification + ref_id: PROC.RECERTIFICATION + name: Account recertification procedure + category: procedure + csf_function: govern + description: A document that defines the process for regularly reviewing and validating + user access rights, system certifications, or compliance with standards. It + ensures that only authorized users and systems retain access or certification, + and it helps identify and revoke outdated or unnecessary permissions. + annotation: A.5.22 + translations: + fr: + name: "Proc\xE9dure de recertification des acc\xE8s" + description: "\nDocument d\xE9crivant le processus de r\xE9vision et de validation\ + \ r\xE9guli\xE8res des droits d'acc\xE8s des utilisateurs, des certifications\ + \ des syst\xE8mes ou de la conformit\xE9 aux normes. Il garantit que seuls\ + \ les utilisateurs et syst\xE8mes autoris\xE9s conservent leurs acc\xE8\ + s ou certifications, et aide \xE0 identifier et r\xE9voquer les autorisations\ + \ obsol\xE8tes ou inutiles." + - urn: urn:intuitem:risk:function:doc-pol:proc.hr_security + ref_id: PROC.HR_SECURITY + name: HR Security Procedure + category: procedure + csf_function: govern + description: "A document that outlines processes and controls related to managing\ + \ human resources within an organization, ensuring compliance with legal, regulatory,\ + \ and security standards. It includes recruitment, onboarding, role changes,\ + \ training, and termination procedures to safeguard the organization\u2019s\ + \ information and assets." + annotation: 'A.5.7 + + A.5.8 + + A.5.30 + + A.5.18' + translations: + fr: + name: "Proc\xE9dure de s\xE9curit\xE9 RH" + description: "Document d\xE9crivant les processus et contr\xF4les li\xE9s\ + \ \xE0 la gestion des ressources humaines au sein d'une organisation, en\ + \ garantissant la conformit\xE9 aux normes l\xE9gales, r\xE9glementaires\ + \ et de s\xE9curit\xE9. Il inclut les proc\xE9dures de recrutement, d'int\xE9\ + gration, de changement de r\xF4le, de formation et de d\xE9part afin de\ + \ prot\xE9ger les informations et les actifs de l'organisation." + - urn: urn:intuitem:risk:function:doc-pol:proc.physical_security + ref_id: PROC.PHYSICAL_SECURITY + name: Physical Security Procedure + category: procedure + csf_function: govern + description: 'Access Control: Procedures for granting, revoking, and monitoring + physical access to secure areas. + + Asset Protection: Guidelines for safeguarding critical assets (e.g., servers, + storage devices). + + Surveillance: Use of cameras, alarms, and monitoring systems to detect and prevent + breaches. + + Visitor Management: Policies for registering and escorting visitors in secure + areas. + + Incident Response: Steps to address physical security breaches or emergencies.' + annotation: 'A.5.14 + + A.5.20 + + A.5.21' + translations: + fr: + name: "Proc\xE9dure de s\xE9curit\xE9 physique" + description: "Contr\xF4le des acc\xE8s : Proc\xE9dures pour accorder, r\xE9\ + voquer et surveiller l'acc\xE8s physique aux zones s\xE9curis\xE9es.\nProtection\ + \ des actifs : Lignes directrices pour prot\xE9ger les actifs critiques\ + \ (ex. : serveurs, dispositifs de stockage).\nSurveillance : Utilisation\ + \ de cam\xE9ras, d'alarmes et de syst\xE8mes de monitoring pour d\xE9tecter\ + \ et pr\xE9venir les violations.\nGestion des visiteurs : Politiques pour\ + \ l'enregistrement et l'accompagnement des visiteurs dans les zones s\xE9\ + curis\xE9es.\nR\xE9ponse aux incidents : \xC9tapes pour traiter les violations\ + \ de s\xE9curit\xE9 physique ou les situations d'urgence." + - urn: urn:intuitem:risk:function:doc-pol:proc.gpo + ref_id: PROC.GPO + name: Group Policy Objects Procedure + category: procedure + csf_function: protect + description: defines how to create, configure, and manage GPOs to enforce security + settings, system configurations, and user policies across a Windows environment. + It ensures consistent implementation of organizational policies for secure and + compliant IT operations. + annotation: A.5.23 + translations: + fr: + name: "Proc\xE9dure GPO" + description: "D\xE9finit comment cr\xE9er, configurer et g\xE9rer les GPO\ + \ pour appliquer les param\xE8tres de s\xE9curit\xE9, les configurations\ + \ syst\xE8me et les politiques utilisateur dans un environnement Windows.\ + \ Cela garantit une mise en \u0153uvre coh\xE9rente des politiques organisationnelles\ + \ pour des op\xE9rations informatiques s\xE9curis\xE9es et conformes." + - urn: urn:intuitem:risk:function:doc-pol:proc.update + ref_id: PROC.UPDATE + name: Update management procedure + category: procedure + csf_function: protect + description: 'Roles and Responsibilities + + Update Classification + + Update Planning + + Testing and Validation + + Deployment Process + + Monitoring and Verification + + Documentation and Reporting' + annotation: A.8.8 + translations: + fr: + name: "Proc\xE9dure de gestion des mises \xE0 jour" + description: "R\xF4les et responsabilit\xE9s\nClassification des mises \xE0\ + \ jour\nPlanification des mises \xE0 jour\nTests et validation\nProcessus\ + \ de d\xE9ploiement\nSuivi et v\xE9rification\nDocumentation et rapports" + - urn: urn:intuitem:risk:function:doc-pol:proc.incident + ref_id: PROC.INCIDENT + name: Incident Management Procedure + category: procedure + csf_function: protect + description: Practical implementation of the incident management policy + annotation: 'A.5.24 + + A.5.25 + + A.5.26 + + A.5.27 + + A.5.28' + translations: + fr: + name: "Proc\xE9dure de gestion des incidents" + description: "Impl\xE9mentation pratique de la politique de gestion des incidents" + - urn: urn:intuitem:risk:function:doc-pol:proc.disposal + ref_id: PROC.DISPOSAL + name: Secure Disposal Procedure + category: procedure + csf_function: protect + description: 'Roles and Responsibilities + + Asset Identification for Disposal + + Secure Disposal Methods + + Data Sanitization + + Compliance with Legal and Regulatory Requirements + + Documentation and Record Keeping + + Verification and Audit' + annotation: A.7.14 + translations: + fr: + name: "Proc\xE9dure de gestion de la mise au rebut" + description: "R\xF4les et responsabilit\xE9s\nIdentification des actifs \xE0\ + \ mettre au rebut\nM\xE9thodes de mise au rebut s\xE9curis\xE9e\nEffacement\ + \ des donn\xE9es\nConformit\xE9 aux exigences l\xE9gales et r\xE9glementaires\n\ + Documentation et tenue des registres\nV\xE9rification et audit" + - urn: urn:intuitem:risk:function:doc-pol:proc.ntp + ref_id: PROC.NTP + name: Time Synchronization Procedure + category: procedure + csf_function: protect + description: ' + + Time Source: Use reliable external sources (e.g., NTP servers). + + Configuration: Define synchronization intervals and fallback mechanisms. + + Monitoring: Regularly verify time synchronization status.' + annotation: A.8.17 + translations: + fr: + name: "Proc\xE9dure de synchronisation des horloges" + description: "Source temporelle : Utiliser des sources fiables (ex. : serveurs\ + \ NTP).\nConfiguration : D\xE9finir les intervalles de synchronisation et\ + \ les m\xE9canismes de secours.\nSurveillance : V\xE9rifier r\xE9guli\xE8\ + rement l\u2019\xE9tat de la synchronisation temporelle." + - urn: urn:intuitem:risk:function:doc-pol:proc.email_security + ref_id: PROC.EMAIL_SECURITY + name: Email Security Configuration Procedure + category: procedure + csf_function: protect + description: 'Email Server Configuration + + Domain-Based Email Protection + + Anti-Malware and Anti-Spam Controls + + Encryption and Secure Communication + + Access Control and Monitoring + + Backup and Recovery + + User Awareness and Training' + annotation: A.8.21 + translations: + fr: + name: "Proc\xE9dure de s\xE9curisation des emails" + description: "Configuration du serveur de messagerie\nProtection des emails\ + \ bas\xE9e sur le domaine\nContr\xF4les anti-malware et anti-spam\nChiffrement\ + \ et communication s\xE9curis\xE9e\nContr\xF4le d\u2019acc\xE8s et surveillance\n\ + Sauvegarde et r\xE9cup\xE9ration\nSensibilisation et formation des utilisateurs" + - urn: urn:intuitem:risk:function:doc-pol:proc.logging + ref_id: PROC.LOGGING + name: Logging procedure + category: procedure + csf_function: detect + description: 'Log collection and categorization + + Secure storage and retention policies + + Analysis for anomaly detection and incident response' + annotation: A.8.15 + translations: + fr: + name: "Proc\xE9dure de gestion de la journalisation" + description: "Collecte et cat\xE9gorisation des journaux\nStockage s\xE9curis\xE9\ + \ et politiques de r\xE9tention\nAnalyse pour la d\xE9tection d'anomalies\ + \ et la r\xE9ponse aux incidents" - urn: urn:intuitem:risk:function:doc-pol:pol.main ref_id: POL.MAIN name: Main policy category: policy + csf_function: govern description: 'information security objectives commitment @@ -377,6 +755,7 @@ objects: ref_id: POL.EDUC name: Information security awareness and traning policy category: policy + csf_function: govern description: 'implications of not respecting Security event reporting @@ -397,6 +776,7 @@ objects: ref_id: POL.WORK name: Workstations and teleworking policy category: policy + csf_function: govern description: 'Workstations Mobile devices @@ -424,6 +804,7 @@ objects: ref_id: POL.CRYPTO name: Cryptographic policy category: policy + csf_function: govern description: 'Key management Encryption @@ -438,6 +819,7 @@ objects: ref_id: POL.CLASSIF name: Information classification and handling policy category: policy + csf_function: govern description: 'classification protection and handling of information @@ -475,6 +857,7 @@ objects: ref_id: POL.AUDIT name: Internal and external audit policy category: policy + csf_function: govern description: Protection of audit information annotation: A.8.34 translations: @@ -485,6 +868,7 @@ objects: ref_id: POL.BCP name: Business continuity policy category: policy + csf_function: govern translations: fr: name: "Politique de continuit\xE9 d\u2019activit\xE9" @@ -493,6 +877,8 @@ objects: ref_id: POL.SEG_DUTY name: Segregation of duties policy category: policy + csf_function: govern + annotation: A.5.3 translations: fr: name: "Politique sur la s\xE9paration des t\xE2ches" @@ -501,6 +887,7 @@ objects: ref_id: POL.ACCESS name: Access control policy category: policy + csf_function: govern description: 'Identification authentication @@ -538,6 +925,7 @@ objects: ref_id: POL.MALWARE name: Malware protection policy category: policy + csf_function: govern description: 'antivirus EDR' @@ -551,6 +939,7 @@ objects: ref_id: POL.RISK name: Risk management policy category: policy + csf_function: govern description: 'Risk management definition Risk appetite @@ -594,6 +983,7 @@ objects: ref_id: POL.ASSET name: Asset management policy category: policy + csf_function: govern translations: fr: name: "Politique de gestion d\u2019actifs" @@ -602,6 +992,7 @@ objects: ref_id: POL.BACKUP name: Backup and restore policy category: policy + csf_function: govern translations: fr: name: Politique de sauvegarde et de restauration @@ -610,6 +1001,7 @@ objects: ref_id: POL.SUPPLIER name: Third party supplier security policy category: policy + csf_function: govern annotation: A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 translations: fr: @@ -619,6 +1011,7 @@ objects: ref_id: POL.MONITOR name: Logging and monitoring policy category: policy + csf_function: govern description: Logging annotation: A.8.15 translations: @@ -629,6 +1022,7 @@ objects: ref_id: POL.TRANSFER name: Information transfer policy category: policy + csf_function: govern annotation: A.5.14 translations: fr: @@ -638,6 +1032,7 @@ objects: ref_id: POL.SECDEV name: Secure development policy category: policy + csf_function: govern translations: fr: name: "Politique de d\xE9veloppement s\xE9curis\xE9" @@ -646,6 +1041,7 @@ objects: ref_id: POL.PHYSICAL name: Physical security policy category: policy + csf_function: govern description: 'Physical security perimeter Secure areas @@ -671,6 +1067,7 @@ objects: ref_id: POL.NETWORK name: Network security management policy category: policy + csf_function: govern translations: fr: name: "Politique de gestion de la s\xE9curit\xE9 du r\xE9seau" @@ -679,23 +1076,42 @@ objects: ref_id: POL.ACCEPT name: Acceptable use policy category: policy + csf_function: govern + description: 'Objective: To define the permitted and prohibited uses of resources. + + Scope: All IS users. + + Rules: Permitted and prohibited activities, safety obligations. + + Confidentiality: Protection of sensitive data. + + Compliance: Monitoring, penalties for non-compliance.' annotation: A.5.10 translations: fr: name: "Politique d\u2019utilisation acceptable" - description: null + description: "Objectif : D\xE9finir les usages autoris\xE9s et interdits des\ + \ ressources.\nPort\xE9e : Tous les utilisateurs du SI.\nR\xE8gles : Activit\xE9\ + s permises et proscrites, obligations de s\xE9curit\xE9.\nConfidentialit\xE9\ + \ : Protection des donn\xE9es sensibles.\nConformit\xE9 : Surveillance,\ + \ sanctions en cas de non-respect." - urn: urn:intuitem:risk:function:doc-pol:pol.project ref_id: POL.PROJECT name: IS project integration policy category: policy + csf_function: govern + description: Rules for the integration of security in IS projects + annotation: A.5.8 translations: fr: name: "Politique d\u2019int\xE9gration de projets SI" - description: null + description: "R\xE8gles d'int\xE9gration de la s\xE9curit\xE9 dans les projets\ + \ SI" - urn: urn:intuitem:risk:function:doc-pol:pol.threat_intel ref_id: POL.THREAT_INTEL name: Threat intelligence policy category: policy + csf_function: govern description: 'Known Exploited Vulnerabilities Threat actors activity @@ -711,27 +1127,697 @@ objects: ref_id: POL.INCIDENT name: IS incident management policy category: policy - description: 'Security incident management + csf_function: govern + description: 'Incident Classification + + Incident Reporting + + Incident Response Process + + Root Cause Analysis and Lessons Learned + + Documentation and Communication - Vulnerability management' - annotation: A.5.24, A.5.25, A.5.26, A.5.27 + Roles and Responsibilities + + Review and Updates' + annotation: 'A.5.24 + + A.5.25 + + A.5.26 + + A.5.27 + + A.5.28' translations: fr: name: Politique de gestion des incidents du SI - description: "Gestion des incidents de s\xE9curit\xE9\nGestion des vuln\xE9\ - rabilit\xE9s" + description: "Classification des incidents\nSignalement des incidents\nProcessus\ + \ de r\xE9ponse aux incidents\nAnalyse des causes et retours d'exp\xE9rience\n\ + Documentation et communication\nR\xF4les et responsabilit\xE9s\nRevue et\ + \ mises \xE0 jour" - urn: urn:intuitem:risk:function:doc-pol:pol.maintenance ref_id: POL.MAINTENANCE name: Maintenance policy category: policy + csf_function: govern description: 'Obsolescence management Maintenance contracts Change management' - annotation: A.7.13 + annotation: 'A.7.13 + + A.8.32' translations: fr: name: Politique de maintenance description: "Gestion de l\u2019obsolescence\nContrats de maintenance\nGestion\ \ du changement" + - urn: urn:intuitem:risk:function:doc-pol:pol.vulnerability + ref_id: POL.VULNERABILITY + name: Vulnerability management policy + category: policy + csf_function: govern + description: 'Vulnerability detection and management + + Patch management' + annotation: 'A.8.8 + + A.5.35' + translations: + fr: + name: "Politique de gestion des vuln\xE9rabilit\xE9s" + description: "D\xE9tection et gestion des vuln\xE9rabilit\xE9s\nGestion des\ + \ mises \xE0 jour" + - urn: urn:intuitem:risk:function:doc-pol:train.legal + ref_id: TRAIN.LEGAL + name: Legal and regulatory training + category: process + csf_function: govern + description: 'Objective: Ensure awareness of legal and regulatory compliance. + + Audience: All employees; tailored for specific roles. + + Topics: Key laws (e.g., GDPR), data handling, non-compliance risks. + + Methods: E-learning, workshops, case studies. + + Assessment: Quizzes and scenario-based tests.' + annotation: '7.2 + + 7.3' + translations: + fr: + name: "Formation conformit\xE9 l\xE9gal et r\xE9glementaire" + description: "Objectif : Assurer une sensibilisation aux obligations l\xE9\ + gales et r\xE9glementaires.\nPublic : Tous les employ\xE9s, avec des contenus\ + \ adapt\xE9s aux r\xF4les sp\xE9cifiques.\nSujets : Lois cl\xE9s (ex. :\ + \ RGPD), gestion des donn\xE9es, risques de non-conformit\xE9.\nM\xE9thodes\ + \ : E-learning, ateliers, \xE9tudes de cas.\n\xC9valuation : Quiz et tests\ + \ bas\xE9s sur des sc\xE9narios." + - urn: urn:intuitem:risk:function:doc-pol:train.threat + ref_id: TRAIN.THREAT + name: Threat landscape training + category: process + csf_function: govern + description: 'Objective: Understand current cyber threats and mitigation strategies. + + Audience: IT staff, security teams, and decision-makers. + + Topics: Emerging threats, attack techniques, defense mechanisms. + + Methods: Presentations, case studies, scenario-based discussions. + + Outcome: Improved awareness and readiness to address evolving threats.' + annotation: '7.2 + + 7.3' + translations: + fr: + name: "Formation sur l'\xE9tat de la menace" + description: "Objectif : Comprendre les menaces cyber actuelles et les strat\xE9\ + gies d\u2019att\xE9nuation.\nPublic : \xC9quipes IT, \xE9quipes de s\xE9\ + curit\xE9, et d\xE9cideurs.\nSujets : Menaces \xE9mergentes, techniques\ + \ d'attaque, m\xE9canismes de d\xE9fense.\nM\xE9thodes : Pr\xE9sentations,\ + \ \xE9tudes de cas, discussions bas\xE9es sur des sc\xE9narios.\nR\xE9sultat\ + \ : Sensibilisation accrue et meilleure pr\xE9paration face aux menaces\ + \ \xE9volutives." + - urn: urn:intuitem:risk:function:doc-pol:train.iam + ref_id: TRAIN.IAM + name: IAM (Identity and Access Management) training + category: process + csf_function: govern + description: 'Objective: Understand and master identity and access management. + + Audience: IT administrators, security teams, access managers. + + Topics: + + - Key concepts (identity, authentication, authorization, RBAC/ABAC models). + + - IAM best practices (rights management, provisioning, audits). + + - Standards and tools (SAML, OAuth, Active Directory, etc.). + + Methods: Practical workshops, use cases, demonstrations. + + Outcome: Enhanced skills to secure and efficiently manage access.' + annotation: '7.2' + translations: + fr: + name: "Formation IAM (Gestion des Identit\xE9s et des Acc\xE8s)" + description: "Objectif : Comprendre et ma\xEEtriser la gestion des identit\xE9\ + s et des acc\xE8s.\nPublic : Administrateurs IT, \xE9quipes de s\xE9curit\xE9\ + , responsables d\u2019acc\xE8s.\nSujets :\nConcepts cl\xE9s (identit\xE9\ + , authentification, autorisation, mod\xE8les RBAC/ABAC).\nBonnes pratiques\ + \ IAM (gestion des droits, provisionnement, audits).\nNormes et outils (SAML,\ + \ OAuth, Active Directory, etc.).\nM\xE9thodes : Ateliers pratiques, cas\ + \ d\u2019usage, d\xE9monstrations.\nR\xE9sultat : Capacit\xE9s renforc\xE9\ + es pour s\xE9curiser et g\xE9rer les acc\xE8s efficacement." + - urn: urn:intuitem:risk:function:doc-pol:train.network_security + ref_id: TRAIN.NETWORK_SECURITY + name: Network security training + category: process + csf_function: govern + description: 'Objective: Teach best practices for securing network infrastructures + and preventing cyber threats. + + Audience: IT administrators, network engineers, security professionals. + + Topics: + + - Network segregation principles. + + - Firewall configuration and monitoring. + + - Intrusion detection/prevention systems (IDS/IPS/NDR). + + - Network segmentation and access control. + + - Secure protocols (e.g., HTTPS, VPN, SSH). + + - Threat mitigation (e.g., DDoS, malware). + + Methods: Interactive labs, simulations, and hands-on exercises. + + Outcome: Enhanced ability to protect and monitor network environments.' + annotation: '7.2' + translations: + fr: + name: "Formation s\xE9curit\xE9 r\xE9seau" + description: "Objectif : Enseigner les meilleures pratiques pour s\xE9curiser\ + \ les infrastructures r\xE9seau et pr\xE9venir les cybermenaces.\nPublic\ + \ : Administrateurs IT, ing\xE9nieurs r\xE9seau, professionnels de la s\xE9\ + curit\xE9.\nSujets :\n\nPrincipes de cloisonnement r\xE9seau.\nConfiguration\ + \ et surveillance des pare-feu.\nSyst\xE8mes de d\xE9tection/pr\xE9vention\ + \ d'intrusion (IDS/IPS/NDR).\nSegmentation r\xE9seau et contr\xF4le des\ + \ acc\xE8s.\nProtocoles s\xE9curis\xE9s (ex. : HTTPS, VPN, SSH).\nAtt\xE9\ + nuation des menaces (ex. : DDoS, malwares).\nM\xE9thodes : Laboratoires\ + \ interactifs, simulations et exercices pratiques.\nR\xE9sultat : Capacit\xE9\ + s renforc\xE9es pour prot\xE9ger et surveiller les environnements r\xE9\ + seau." + - urn: urn:intuitem:risk:function:doc-pol:train.mcs + ref_id: TRAIN.MCS + category: process + csf_function: govern + description: 'Objective: Build expertise in maintaining secure IT systems through + monitoring, patching, compliance, and incident response. + + Audience: IT security professionals, system administrators, compliance officers, + and incident response teams. + + Topics: + + - Principles of maintaining security and its importance in cybersecurity. + + - Security monitoring tools and techniques (e.g., SIEM, IDS). + + - Patch management and secure system configurations. + + - Incident detection, response planning, and execution. + + - Compliance with security policies and regulatory standards. + + Methods: Practical labs, simulated scenarios, and case studies on maintaining + security conditions. + + Outcome: Enhanced capability to continuously secure IT environments, mitigate + risks, and ensure compliance.' + annotation: 'A.7.13 + + A.8.32' + translations: + fr: + name: "Formation Maintien en Condition de S\xE9curit\xE9 (MCS)" + description: "Objectif : D\xE9velopper une expertise dans le maintien en condition\ + \ de s\xE9curit\xE9 (MCS)\nPublic : Professionnels de la s\xE9curit\xE9\ + \ IT, administrateurs syst\xE8mes, responsables conformit\xE9 et \xE9quipes\ + \ de r\xE9ponse aux incidents.\nSujets :\n- Principes du MCS et son importance\ + \ en cybers\xE9curit\xE9.\n- Outils et techniques de surveillance de la\ + \ s\xE9curit\xE9 (ex. : SIEM, IDS).\n- Gestion des correctifs et configurations\ + \ s\xE9curis\xE9es des syst\xE8mes.\n- D\xE9tection des incidents, planification\ + \ et ex\xE9cution des r\xE9ponses.\n- Conformit\xE9 aux politiques de s\xE9\ + curit\xE9 et aux r\xE9glementations.\nM\xE9thodes : Exercices pratiques,\ + \ sc\xE9narios simul\xE9s et \xE9tudes de cas sur le maintien des conditions\ + \ de s\xE9curit\xE9.\nR\xE9sultat attendu : Capacit\xE9 renforc\xE9e \xE0\ + \ s\xE9curiser en continu les environnements IT, \xE0 att\xE9nuer les risques\ + \ et \xE0 garantir la conformit\xE9." + - urn: urn:intuitem:risk:function:doc-pol:train.logging + ref_id: TRAIN.LOGGING + name: Logging and Monitoring Training + category: process + csf_function: govern + description: "1. Objective: Teach effective logging practices and monitoring techniques\ + \ to enhance security and incident response. \n2. Audience: IT administrators,\ + \ security teams, and SOC analysts. \n3. Topics: \n - Importance of logging\ + \ and compliance requirements. \n - Configuring and managing log sources\ + \ (e.g., servers, firewalls, applications). \n - Centralized logging systems\ + \ (e.g., SIEM, ELK stack). \n - Detecting anomalies and analyzing logs. \ + \ \n - Incident response based on log insights. \n4. Methods: Hands-on labs,\ + \ real-world scenarios, and log analysis exercises. \n5. Outcome: Improved\ + \ ability to collect, analyze, and act on log data to prevent and respond to\ + \ incidents. " + annotation: '7.2 + + 7.12 + + 7.13 + + 7.14 + + A.5.12 + + A.5.13 + + A.5.14 + + A.5.15' + translations: + fr: + name: Formation sur la Journalisation et la Surveillance + description: "Objectif : Enseigner les pratiques efficaces de journalisation\ + \ et les techniques de surveillance pour renforcer la s\xE9curit\xE9 et\ + \ la r\xE9ponse aux incidents.\nPublic : Administrateurs IT, \xE9quipes\ + \ de s\xE9curit\xE9, analystes SOC.\nSujets :\nImportance de la journalisation\ + \ et exigences de conformit\xE9.\nConfiguration et gestion des sources de\ + \ journaux (ex. : serveurs, pare-feu, applications).\nSyst\xE8mes de journalisation\ + \ centralis\xE9e (ex. : SIEM, ELK stack).\nD\xE9tection d'anomalies et analyse\ + \ des journaux.\nR\xE9ponse aux incidents bas\xE9e sur les informations\ + \ des journaux.\nM\xE9thodes : Ateliers pratiques, sc\xE9narios r\xE9els\ + \ et exercices d'analyse des journaux.\nR\xE9sultat : Capacit\xE9 renforc\xE9\ + e \xE0 collecter, analyser et exploiter les donn\xE9es de journaux pour\ + \ pr\xE9venir et g\xE9rer les incidents." + - urn: urn:intuitem:risk:function:doc-pol:train.hardening + ref_id: TRAIN.HARDENING + name: Hardening and Secure Configuration Training + category: process + csf_function: govern + description: 'Objective: Equip participants with the knowledge to implement secure + configurations and harden systems to reduce vulnerabilities. + + Audience: IT administrators, system engineers, security professionals. + + Topics: + + - Principles of system hardening. + + - Hardening operating systems (Windows, Linux). + + - Securing databases (e.g., MySQL, PostgreSQL). + + - Network device hardening (firewalls, routers, switches). + + - Applying CIS Benchmarks and ANSSI guidelines. + + - Tools for automation (e.g., Ansible, Puppet, Chef). + + Methods: + + - Hands-on labs for OS and application hardening. + + - Case studies on hardening failures and solutions. + + Outcome: Participants will gain the ability to implement secure configurations + and improve overall system resilience.' + annotation: '7.2 + + A.5.23 + + A.5.12 + + A.5.16 + + A.5.35' + translations: + fr: + name: "Formation sur le Durcissement des Syst\xE8mes" + description: "Objectif : Former les participants \xE0 appliquer des configurations\ + \ s\xE9curis\xE9es et \xE0 durcir les syst\xE8mes pour r\xE9duire les vuln\xE9\ + rabilit\xE9s.\nPublic : Administrateurs IT, ing\xE9nieurs syst\xE8mes, professionnels\ + \ de la s\xE9curit\xE9.\nSujets :\n- Principes fondamentaux du durcissement\ + \ des syst\xE8mes.\n- Durcissement des syst\xE8mes d\u2019exploitation (Windows,\ + \ Linux).\n- S\xE9curisation des bases de donn\xE9es (ex. : MySQL, PostgreSQL).\n\ + - Durcissement des \xE9quipements r\xE9seau (pare-feu, routeurs, switchs).\n\ + - Application des benchmarks CIS et recommandations ANSSI.\n- Automatisation\ + \ des configurations (ex. : Ansible, Puppet, Chef).\nM\xE9thodes :\n- Ateliers\ + \ pratiques pour le durcissement des syst\xE8mes et applications.\n- \xC9\ + tudes de cas sur les \xE9checs de durcissement et leurs solutions.\nR\xE9\ + sultat : Les participants ma\xEEtriseront la mise en \u0153uvre de configurations\ + \ s\xE9curis\xE9es et l'am\xE9lioration de la r\xE9silience des syst\xE8\ + mes." + - urn: urn:intuitem:risk:function:doc-pol:tech.nac + ref_id: TECH.NAC + name: Network Access Control (802.1X) + category: technical + csf_function: protect + description: A capacity that enforces authentication and authorization of devices + or users before granting network access. It ensures secure access to wired and + wireless networks by leveraging protocols like 82.1X and RADIUS to validate + credentials and apply access policies. + annotation: A.5.20 + translations: + fr: + name: "Contr\xF4le d'Acc\xE8s R\xE9seau (802.1X)" + description: "Une capacit\xE9 permettant d'assurer l'authentification et l'autorisation\ + \ des appareils ou des utilisateurs avant de leur accorder l'acc\xE8s au\ + \ r\xE9seau. Elle garantit un acc\xE8s s\xE9curis\xE9 aux r\xE9seaux filaires\ + \ et sans fil en utilisant des protocoles comme 802.1X et RADIUS pour valider\ + \ les identifiants et appliquer les politiques d'acc\xE8s." + - urn: urn:intuitem:risk:function:doc-pol:tech.access_log + ref_id: TECH.ACCESS_LOG + name: Access Logging + category: technical + csf_function: detect + annotation: 'A.5.12 + + A.5.15' + translations: + fr: + name: "Journalisation des acc\xE8s" + description: null + - urn: urn:intuitem:risk:function:doc-pol:tech.edr + ref_id: TECH.EDR + name: Event Detection and Response (EDR) Capacity + category: technical + csf_function: detect + annotation: 'A.5.12 + + A.5.15' + translations: + fr: + name: "Capacit\xE9 de d\xE9tection et de traitement des \xE9v\xE9nements (EDR)" + description: null + - urn: urn:intuitem:risk:function:doc-pol:tech.password_manager + ref_id: TECH.PASSWORD_MANAGER + name: Password Management Capacity + category: technical + csf_function: protect + description: A capacity that enables secure creation, storage, management, and + usage of passwords for systems, applications, and accounts. It reduces the risk + of unauthorized access by enforcing strong password policies and ensuring secure + handling of credentials. + annotation: A.5.18 + translations: + fr: + name: "Syst\xE8me de gestion des mots de passe" + description: "Capacit\xE9 permettant la cr\xE9ation, le stockage, la gestion\ + \ et l'utilisation s\xE9curis\xE9s des mots de passe pour les syst\xE8mes,\ + \ les applications et les comptes. Elle r\xE9duit le risque d'acc\xE8s non\ + \ autoris\xE9 en appliquant des politiques de mots de passe robustes et\ + \ en garantissant une gestion s\xE9curis\xE9e des identifiants." + - urn: urn:intuitem:risk:function:doc-pol:tech.uem + ref_id: TECH.UEM + name: Unified Endpoint Management Capacity + category: technical + csf_function: protect + description: A capacity that provides centralized control and management of all + endpoints, including desktops, laptops, mobile devices, and IoT devices, through + a single platform. It ensures secure configuration, policy enforcement, application + management, and monitoring across an organization's endpoint ecosystem. + annotation: A.5.23 + translations: + fr: + name: "Syst\xE8me unifi\xE9 de gestion des terminaux" + description: "Capacit\xE9 permettant le contr\xF4le et la gestion centralis\xE9\ + s de tous les terminaux, y compris les ordinateurs de bureau, les ordinateurs\ + \ portables, les appareils mobiles et les dispositifs IoT, via une plateforme\ + \ unique. Elle garantit une configuration s\xE9curis\xE9e, l'application\ + \ des politiques, la gestion des applications et la surveillance de l'\xE9\ + cosyst\xE8me des terminaux de l'organisation." + - urn: urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + ref_id: TECH.ENDPOINT_PROTECTION + name: Host antivirus, firewall and USB control + category: technical + csf_function: detect + description: "Integrated solutions for securing endpoints, including antivirus,\ + \ firewall, and USB port control\_" + annotation: A.8.7 + translations: + fr: + name: Antivirus et pare-feu pour poste de travail + description: "Solutions int\xE9gr\xE9es pour s\xE9curiser les terminaux, incluant\ + \ antivirus, pare-feu et gestion des ports USB" + - urn: urn:intuitem:risk:function:doc-pol:tech.disk_encryption + ref_id: TECH.DISK_ENCRYPTION + name: Disk Encryption Capacity + category: technical + csf_function: protect + description: Full-disk encryption for workstations + annotation: A.8.24 + translations: + fr: + name: "Capacit\xE9 de chiffrement de disque" + description: Chiffrement de disque complet pour les postes de travail + - urn: urn:intuitem:risk:function:doc-pol:tech.immutable_backup + ref_id: TECH.IMMUTABLE_BACKUP + name: Immutable backup capacity + category: technical + csf_function: recover + description: A capability that ensures backups cannot be altered, deleted, or + overwritten, protecting data integrity against ransomware and unauthorized access. + annotation: A.5.30 + translations: + fr: + name: "Capacit\xE9 de sauvegarde immuable" + description: "Capacit\xE9 qui garantit que les sauvegardes ne peuvent pas\ + \ \xEAtre modifi\xE9es, supprim\xE9es ou \xE9cras\xE9es, assurant l\u2019\ + int\xE9grit\xE9 des donn\xE9es contre les ransomwares et les acc\xE8s non\ + \ autoris\xE9s." + - urn: urn:intuitem:risk:function:doc-pol:tech.file_encryption + ref_id: TECH.FILE_ENCRYPTION + name: File encryption capacity + category: technical + csf_function: protect + description: File encryption utilities like 7zip + annotation: A.8.24 + translations: + fr: + name: "Capacit\xE9 de chiffrement de fichiers" + description: Utilitaire de chiffrement de fichier comme 7zip. + - urn: urn:intuitem:risk:function:doc-pol:tech.cmdb + ref_id: TECH.CMDB + name: Configuration Management DataBase (CMDB) + category: technical + csf_function: identify + description: A centralized repository that stores and manages information about + IT assets, their configurations, and relationships to support effective IT management. + annotation: A.5.23 + translations: + fr: + name: "Base de donn\xE9es de gestion des configurations (CMDB)" + description: "R\xE9f\xE9rentiel centralis\xE9 qui stocke et g\xE8re les informations\ + \ sur les actifs IT, leurs configurations et leurs relations pour une gestion\ + \ IT efficace." + - urn: urn:intuitem:risk:function:doc-pol:tech.siem + ref_id: TECH.SIEM + name: Security Information and Event Management (SIEM) + category: technical + csf_function: detect + description: 'A system that collects, analyzes, and correlates security data from + multiple sources to detect and respond to threats. + + ' + annotation: A.5.12 + translations: + fr: + name: "Gestion des informations et des \xE9v\xE9nements de s\xE9curit\xE9\ + \ (SIEM) " + description: "Syst\xE8me qui collecte, analyse et corr\xE8le les donn\xE9\ + es de s\xE9curit\xE9 provenant de multiples sources pour d\xE9tecter et\ + \ r\xE9pondre aux menaces." + - urn: urn:intuitem:risk:function:doc-pol:tech.screen_filter + ref_id: TECH.SCREEN_FILTER + name: Screen Filter + category: technical + csf_function: protect + description: A physical or digital filter that limits screen visibility to authorized + users, reducing the risk of visual data breaches. + annotation: A.7.9 + translations: + fr: + name: "Filtre d'\xE9cran" + description: "Filtre physique ou num\xE9rique qui limite la visibilit\xE9\ + \ de l'\xE9cran aux utilisateurs autoris\xE9s, r\xE9duisant le risque de\ + \ divulgation visuelle de donn\xE9es." + - urn: urn:intuitem:risk:function:doc-pol:tech.network_firewall + ref_id: TECH.NETWORK_FIREWALL + name: Network Firewall + category: technical + csf_function: protect + description: ecurity system that monitors and controls incoming and outgoing network + traffic based on predefined rules. + annotation: A.8.22 + translations: + fr: + name: "Pare-feu r\xE9seau" + description: "Syst\xE8me de s\xE9curit\xE9 qui surveille et contr\xF4le le\ + \ trafic r\xE9seau entrant et sortant selon des r\xE8gles pr\xE9d\xE9finies" + - urn: urn:intuitem:risk:function:doc-pol:tech.mail_gateway + ref_id: TECH.MAIL_GATEWAY + name: Secure Mail Gateway + category: technical + csf_function: protect + description: system that filters, monitors, and protects email communications + against spam, malware, and unauthorized access + annotation: A.5.23 + translations: + fr: + name: "Passerelle mail s\xE9curis\xE9e" + description: "Syst\xE8me qui filtre, surveille et prot\xE8ge les communications\ + \ par email contre le spam, les logiciels malveillants et les acc\xE8s non\ + \ autoris\xE9s." + - urn: urn:intuitem:risk:function:doc-pol:tech.network_antivirus + ref_id: TECH.NETWORK_ANTIVIRUS + name: Network Antivirus + category: technical + csf_function: detect + description: Protects email and web traffic at the network edge against malware + annotation: A.8.7 + translations: + fr: + name: "Antivirus r\xE9seau" + description: "Prot\xE8ge les emails et le trafic web \xE0 la p\xE9riph\xE9\ + rie du r\xE9seau contre les malwares" + - urn: urn:intuitem:risk:function:doc-pol:tech.vlan + ref_id: TECH.VLAN + name: VLAN + category: technical + csf_function: protect + description: VLANs isolate and segment network traffic to enhance security and + optimize performance. + annotation: A.8.22 + translations: + fr: + name: VLAN + description: "Les VLAN isolent et segmentent le trafic r\xE9seau pour renforcer\ + \ la s\xE9curit\xE9 et optimiser les performances." + - urn: urn:intuitem:risk:function:doc-pol:tech.microsegmentation + ref_id: TECH.MICROSEGMENTATION + name: Microsegmentation + category: technical + csf_function: protect + description: Microsegmentation is a security strategy that creates fine-grained, + context-aware policies to isolate individual workloads or applications within + a network, limiting lateral movement and containing breaches. + annotation: A.8.22 + translations: + fr: + name: Micro-segmentation + description: "La microsegmentation est une strat\xE9gie de s\xE9curit\xE9\ + \ qui cr\xE9e des politiques granulaires et contextuelles pour isoler des\ + \ charges de travail ou des applications sp\xE9cifiques dans un r\xE9seau,\ + \ limitant les mouvements lat\xE9raux et contenant les violations" + - urn: urn:intuitem:risk:function:doc-pol:tech.wifi_sec + ref_id: TECH.WIFI_SEC + name: Wi-Fi Security + category: technical + csf_function: protect + description: Wi-Fi security ensures secure wireless communications through WPA3 + Enterprise encryption, robust authentication, and advanced access control mechanisms. + While WPA2 Enterprise remains acceptable, transitioning to WPA3 is strongly + recommended for enhanced security. + annotation: 'A.8.20 + + A.8.24' + translations: + fr: + name: "S\xE9curit\xE9 Wi-Fi" + description: "La s\xE9curit\xE9 Wi-Fi garantit des communications sans fil\ + \ s\xE9curis\xE9es gr\xE2ce au chiffrement WPA3 Enterprise, \xE0 une authentification\ + \ robuste et \xE0 des m\xE9canismes de contr\xF4le d'acc\xE8s avanc\xE9\ + s. Bien que WPA2 Enterprise soit acceptable, il est fortement recommand\xE9\ + \ de passer \xE0 WPA3 pour une s\xE9curit\xE9 renforc\xE9e." + - urn: urn:intuitem:risk:function:doc-pol:tech.reverse_proxy + ref_id: TECH.REVERSE_PROXY + name: Reverse Proxy + category: technical + csf_function: protect + description: A reverse proxy forwards client requests to backend servers, enhancing + security, load balancing, and performance. + annotation: A.8.23 + translations: + fr: + name: Proxy inverse + description: "Un proxy inverse transf\xE8re les requ\xEAtes des clients vers\ + \ les serveurs backend, am\xE9liorant la s\xE9curit\xE9, l'\xE9quilibrage\ + \ de charge et les performances" + - urn: urn:intuitem:risk:function:doc-pol:tech.waf + ref_id: TECH.WAF + name: Web Application Firewall (WAF) + category: technical + csf_function: detect + description: A Web Application Firewall (WAF) protects web applications by filtering + and monitoring HTTP traffic to block malicious activity. + annotation: A.8.23 + translations: + fr: + name: Firewall applicatif web + description: "Un pare-feu pour applications web (WAF) prot\xE8ge les applications\ + \ web en filtrant et surveillant le trafic HTTP pour bloquer les activit\xE9\ + s malveillantes." + - urn: urn:intuitem:risk:function:doc-pol:tech.ids + ref_id: TECH.IDS + name: Intrusion Detection System (IDS) + category: technical + csf_function: detect + description: An Intrusion Detection System (IDS) monitors network traffic to detect + and alert on potential security threats or unauthorized activities + annotation: A.8.20 + translations: + fr: + name: "Syst\xE8me de d\xE9tection d'intrusion (IDS)" + description: "Un syst\xE8me de d\xE9tection d'intrusion (IDS) surveille le\ + \ trafic r\xE9seau pour d\xE9tecter et alerter sur les menaces de s\xE9\ + curit\xE9 potentielles ou les activit\xE9s non autoris\xE9es." + - urn: urn:intuitem:risk:function:doc-pol:tech.web_proxy + ref_id: TECH.WEB_PROXY + name: Web Proxy + category: technical + csf_function: protect + description: A web proxy filters and monitors web traffic, enforces security policies, + and supports user authentication to control and secure internet access + annotation: A.8.23 + translations: + fr: + name: Proxy web + description: "Un proxy web filtre et surveille le trafic web, applique des\ + \ politiques de s\xE9curit\xE9 et prend en charge l'authentification des\ + \ utilisateurs pour contr\xF4ler et s\xE9curiser l'acc\xE8s \xE0 Internet." + - urn: urn:intuitem:risk:function:doc-pol:tech.vpn + ref_id: TECH.VPN + name: VPN + category: technical + csf_function: protect + description: A Virtual Private Network (VPN) secures data transmission by encrypting + traffic using protocols like IPSec, ensuring privacy and protection against + interception." + annotation: 'A.8.20 + + A.8.24' + translations: + fr: + name: VPN + description: "Un r\xE9seau priv\xE9 virtuel (VPN) s\xE9curise la transmission\ + \ des donn\xE9es en chiffrant le trafic gr\xE2ce \xE0 des protocoles comme\ + \ IPSec, garantissant la confidentialit\xE9 et la protection contre les\ + \ interceptions." + - urn: urn:intuitem:risk:function:doc-pol:tech.mfa + ref_id: TECH.MFA + name: Multi-Factor Authentication (MFA) + category: technical + csf_function: protect + description: 'Multi-Factor Authentication (MFA) enhances security by requiring + two verification factors from different categories: something you know (e.g., + a password), something you have (e.g., a token or smartphone), and something + you are (e.g., a fingerprint or facial recognition).' + annotation: A.8.5 + translations: + fr: + name: Authentification Multi-Facteur (MFA) + description: "L'authentification multifacteur (MFA) am\xE9liore la s\xE9curit\xE9\ + \ en exigeant deux facteurs de v\xE9rification issus de cat\xE9gories diff\xE9\ + rentes : ce que vous savez (ex. : un mot de passe), ce que vous poss\xE9\ + dez (ex. : un jeton ou un smartphone) et ce que vous \xEAtes (ex. : une\ + \ empreinte digitale ou une reconnaissance faciale)" diff --git a/backend/library/utils.py b/backend/library/utils.py index 03913c9067..b06edb9f95 100644 --- a/backend/library/utils.py +++ b/backend/library/utils.py @@ -97,16 +97,18 @@ def import_requirement_node(self, framework_object: Framework): is_published=True, question=self.requirement_data.get("question"), ) - + print(requirement_node) for threat in self.requirement_data.get("threats", []): requirement_node.threats.add( Threat.objects.get(urn=threat.lower()) ) # URN are not case insensitive in the whole codebase yet, we should fix that and make sure URNs are always transformed into lowercase before being used. for reference_control in self.requirement_data.get("reference_controls", []): + print(reference_control) requirement_node.reference_controls.add( ReferenceControl.objects.get(urn=reference_control.lower()) ) + print("done", reference_control) class RequirementMappingImporter: @@ -637,6 +639,7 @@ def import_objects(self, library_object): threat.import_threat(library_object) for reference_control in self._reference_controls: + print(reference_control) reference_control.import_reference_control(library_object) for risk_matrix in self._risk_matrices: diff --git a/frontend/messages/ar.json b/frontend/messages/ar.json index 1bcdb4f622..02dd1bafae 100644 --- a/frontend/messages/ar.json +++ b/frontend/messages/ar.json @@ -392,6 +392,7 @@ "technical": "تقني", "physical": "مادي", "process": "عملية", + "procedure": "إجراء", "veryLow": "منخفض جدًا", "low": "منخفض", "high": "مرتفع", diff --git a/frontend/messages/cz.json b/frontend/messages/cz.json index 20895bae20..bf0e1bb6ab 100644 --- a/frontend/messages/cz.json +++ b/frontend/messages/cz.json @@ -389,6 +389,7 @@ "technical": "Technické", "physical": "Fyzické", "process": "Proces", + "procedure": "postup", "veryLow": "Velmi nízké", "low": "Nízké", "high": "Vysoké", diff --git a/frontend/messages/de.json b/frontend/messages/de.json index 3be9296d19..269002270f 100644 --- a/frontend/messages/de.json +++ b/frontend/messages/de.json @@ -391,6 +391,7 @@ "technical": "Technisch", "physical": "Physisch", "process": "Prozess", + "procedure": "Verfahren", "veryLow": "Sehr niedrig", "low": "Niedrig", "high": "Hoch", diff --git a/frontend/messages/en.json b/frontend/messages/en.json index 11b1f8bf39..b1f0d40bcf 100644 --- a/frontend/messages/en.json +++ b/frontend/messages/en.json @@ -393,6 +393,7 @@ "technical": "Technical", "physical": "Physical", "process": "Process", + "procedure": "Procedure", "veryLow": "Very low", "low": "Low", "high": "High", diff --git a/frontend/messages/es.json b/frontend/messages/es.json index 6d3af4836f..c5804188d8 100644 --- a/frontend/messages/es.json +++ b/frontend/messages/es.json @@ -391,6 +391,7 @@ "technical": "Técnico", "physical": "Físico", "process": "Proceso", + "procedure": "Procedimiento", "veryLow": "Muy bajo", "low": "Bajo", "high": "Alto", diff --git a/frontend/messages/fr.json b/frontend/messages/fr.json index a9fed187e2..930edd1061 100644 --- a/frontend/messages/fr.json +++ b/frontend/messages/fr.json @@ -393,6 +393,7 @@ "technical": "Technique", "physical": "Physique", "process": "Processus", + "procedure": "Procédure", "veryLow": "Très faible", "low": "Faible", "high": "Haut", diff --git a/frontend/messages/hi.json b/frontend/messages/hi.json index 051d2e76c2..fda7ffecc0 100644 --- a/frontend/messages/hi.json +++ b/frontend/messages/hi.json @@ -391,6 +391,7 @@ "technical": "तकनीकी", "physical": "भौतिक", "process": "प्रक्रिया", + "procedure": "प्रक्रिया", "veryLow": "बहुत कम", "low": "कम", "high": "उच्च", diff --git a/frontend/messages/it.json b/frontend/messages/it.json index 837ab5dea3..10b260ee07 100644 --- a/frontend/messages/it.json +++ b/frontend/messages/it.json @@ -391,6 +391,7 @@ "technical": "Tecnico", "physical": "Fisico", "process": "Processo", + "procedure": "Procedura", "veryLow": "Bassissimo", "low": "Basso", "high": "Alto", diff --git a/frontend/messages/nl.json b/frontend/messages/nl.json index fab932bd37..f8efeae7aa 100644 --- a/frontend/messages/nl.json +++ b/frontend/messages/nl.json @@ -391,6 +391,7 @@ "technical": "Technisch", "physical": "Fysiek", "process": "Proces", + "procedure": "Procedure", "veryLow": "Zeer laag", "low": "Laag", "high": "Hoog", diff --git a/frontend/messages/pl.json b/frontend/messages/pl.json index 1991efea23..7eff89efe3 100644 --- a/frontend/messages/pl.json +++ b/frontend/messages/pl.json @@ -391,6 +391,7 @@ "technical": "Techniczne", "physical": "Fizyczne", "process": "Proces", + "procedure": "Procedura", "veryLow": "Bardzo niskie", "low": "Niskie", "high": "Wysokie", diff --git a/frontend/messages/pt.json b/frontend/messages/pt.json index 4ecdb5a0ab..4c4271b0b0 100644 --- a/frontend/messages/pt.json +++ b/frontend/messages/pt.json @@ -391,6 +391,7 @@ "technical": "Técnico", "physical": "Físico", "process": "Processo", + "procedure": "Procedimento", "veryLow": "Muito baixo", "low": "Baixo", "high": "Alto", diff --git a/frontend/messages/ro.json b/frontend/messages/ro.json index 09b3994311..b451cbb0a8 100644 --- a/frontend/messages/ro.json +++ b/frontend/messages/ro.json @@ -391,6 +391,7 @@ "technical": "Tehnic", "physical": "Fizic", "process": "Proces", + "procedure": "Procedură", "veryLow": "Foarte scăzut", "low": "Scăzut", "high": "Ridicat", diff --git a/frontend/messages/sv.json b/frontend/messages/sv.json index aeee7ca161..2493768ff2 100644 --- a/frontend/messages/sv.json +++ b/frontend/messages/sv.json @@ -392,6 +392,7 @@ "technical": "Teknisk", "physical": "Fysisk", "process": "Process", + "procedure": "Förfarande", "veryLow": "Mycket låg", "low": "Låg", "high": "Hög", diff --git a/frontend/messages/ur.json b/frontend/messages/ur.json index 0d822959d8..e1a5a630da 100644 --- a/frontend/messages/ur.json +++ b/frontend/messages/ur.json @@ -391,6 +391,7 @@ "technical": "تکنیکی", "physical": "جسمانی", "process": "عمل", + "procedure": "طریقہ کار", "veryLow": "بہت کم", "low": "کم", "high": "زیادہ", diff --git a/tools/anssi/anssi-guide-hygiene-detail.xlsx b/tools/anssi/anssi-guide-hygiene-detail.xlsx new file mode 100644 index 0000000000..160d48238a Binary files /dev/null and b/tools/anssi/anssi-guide-hygiene-detail.xlsx differ diff --git a/tools/convert_library.py b/tools/convert_library.py index 0bd58c553f..69c856a410 100644 --- a/tools/convert_library.py +++ b/tools/convert_library.py @@ -68,8 +68,8 @@ - ref_id(*) - name - description - - category (policy/process/techncial/physical). - - csf_function (govern/identitfy/protect/detect/respond/recover). + - category (policy/process/technial/physical). + - csf_function (govern/identify/protect/detect/respond/recover). - annotation For risk matrices: The first line is a header, with the following mandatory fields: @@ -526,7 +526,7 @@ def build_ids_set(tab_name): for element in re.split(r"[\s,]+", req_reference_controls): parts = re.split(r":", element) prefix = parts.pop(0) - part_name = ":".join(parts) + part_name = ":".join(parts).lower() urn_prefix = library_vars_dict_reverse[ "reference_control_base_urn" ][prefix] diff --git a/tools/doc-pol.xlsx b/tools/doc-pol.xlsx deleted file mode 100644 index c6f050e686..0000000000 Binary files a/tools/doc-pol.xlsx and /dev/null differ diff --git a/tools/intuitem/doc-pol.xlsx b/tools/intuitem/doc-pol.xlsx index 4ee9800756..d19a72125b 100644 Binary files a/tools/intuitem/doc-pol.xlsx and b/tools/intuitem/doc-pol.xlsx differ