diff --git a/README.md b/README.md index 668f78001..99d1fb86f 100644 --- a/README.md +++ b/README.md @@ -205,7 +205,7 @@ Checkout the [library](/backend/library/libraries/) and [tools](/tools/) for the A library can be a framework, a catalog of threats or reference controls, and even a custom risk matrix. -Take a look at the `tools` directory and its dedicated readme. The `convert_library.py` script will help you create your library from a simple Excel file. Once you have structured your items in that format, just run the script and use the resulting yaml file. +Take a look at the `tools` directory and its [dedicated README](tools/README.md). The `convert_library.py` script will help you create your library from a simple Excel file. Once you have structured your items in that format, just run the script and use the resulting yaml file. You can also find some specific converters in the tools directory (e.g. for CIS or CCM Controls). diff --git a/backend/core/migrations/0045_alter_appliedcontrol_category_and_more.py b/backend/core/migrations/0045_alter_appliedcontrol_category_and_more.py new file mode 100644 index 000000000..c3429f70b --- /dev/null +++ b/backend/core/migrations/0045_alter_appliedcontrol_category_and_more.py @@ -0,0 +1,46 @@ +# Generated by Django 5.1.1 on 2024-12-07 22:10 + +from django.db import migrations, models + + +class Migration(migrations.Migration): + dependencies = [ + ("core", "0044_qualification"), + ] + + operations = [ + migrations.AlterField( + model_name="appliedcontrol", + name="category", + field=models.CharField( + blank=True, + choices=[ + ("policy", "Policy"), + ("process", "Process"), + ("technical", "Technical"), + ("physical", "Physical"), + ("procedure", "Procedure"), + ], + max_length=20, + null=True, + verbose_name="Category", + ), + ), + migrations.AlterField( + model_name="referencecontrol", + name="category", + field=models.CharField( + blank=True, + choices=[ + ("policy", "Policy"), + ("process", "Process"), + ("technical", "Technical"), + ("physical", "Physical"), + ("procedure", "Procedure"), + ], + max_length=20, + null=True, + verbose_name="Category", + ), + ), + ] diff --git a/backend/core/models.py b/backend/core/models.py index 0ba763a11..59d8cd377 100644 --- a/backend/core/models.py +++ b/backend/core/models.py @@ -780,6 +780,7 @@ class ReferenceControl(ReferentialObjectMixin, I18nObjectMixin): ("process", _("Process")), ("technical", _("Technical")), ("physical", _("Physical")), + ("procedure", _("Procedure")), ] CSF_FUNCTION = [ diff --git a/backend/library/libraries/anssi-guide-hygiene-detail.yaml b/backend/library/libraries/anssi-guide-hygiene-detail.yaml new file mode 100644 index 000000000..fae350ce3 --- /dev/null +++ b/backend/library/libraries/anssi-guide-hygiene-detail.yaml @@ -0,0 +1,3214 @@ +urn: urn:intuitem:risk:library:anssi-guide-hygiene-detail +locale: fr +ref_id: ANSSI-GUIDE-HYGIENE-DETAIL +name: "ANSSI - Guide d'hygi\xE8ne informatique - version d\xE9taill\xE9e" +description: "Renforcer la s\xE9curit\xE9 de son syst\xE8me d\u2019information en\ + \ 42 mesures\nVersion d\xE9taill\xE9e\n https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf" +copyright: Licence Ouverte/Open Licence (Etalab - V1) +version: 1 +provider: ANSSI +packager: intuitem +objects: + framework: + urn: urn:intuitem:risk:framework:anssi-guide-hygiene-detail + ref_id: ANSSI-GUIDE-HYGIENE-DETAIL + name: "ANSSI - Guide d'hygi\xE8ne informatique - version d\xE9taill\xE9e" + description: "Renforcer la s\xE9curit\xE9 de son syst\xE8me d\u2019information\ + \ en 42 mesures\nVersion d\xE9taill\xE9e\n https://cyber.gouv.fr/sites/default/files/2017/01/guide_hygiene_informatique_anssi.pdf" + implementation_groups_definition: + - ref_id: S + name: standard + description: null + - ref_id: R + name: "renforc\xE9" + description: null + requirement_nodes: + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + assessable: false + depth: 1 + ref_id: I + name: Sensibiliser et former + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + ref_id: '1' + name: "Former les \xE9quipes op\xE9rationnelles \xE0 la s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + description: "Les \xE9quipes op\xE9rationnelles (administrateurs r\xE9seau,\ + \ s\xE9curit\xE9 et syst\xE8me, chefs de projet, d\xE9veloppeurs, RSSI) ont\ + \ des acc\xE8s privil\xE9gi\xE9s au syst\xE8me d\u2019information. Elles peuvent,\ + \ par inadvertance ou par m\xE9connaissance des cons\xE9quences de certaines\ + \ pratiques, r\xE9aliser des op\xE9rations g\xE9n\xE9ratrices de vuln\xE9\ + rabilit\xE9s.\nCitons par exemple l\u2019affectation de comptes disposant\ + \ de trop nombreux privil\xE8ges par rapport \xE0 la t\xE2che \xE0 r\xE9aliser,\ + \ l\u2019utilisation de comptes personnels pour ex\xE9cuter des services ou\ + \ t\xE2ches p\xE9riodiques, ou encore le choix de mots de passe peu robustes\ + \ donnant acc\xE8s \xE0 des comptes privil\xE9gi\xE9s.\nLes \xE9quipes op\xE9\ + rationnelles, pour \xEAtre \xE0 l\u2019\xE9tat de l\u2019art de la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information, doivent donc suivre - \xE0 leur prise\ + \ de poste puis \xE0 intervalles r\xE9guliers - des formations sur :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.educ + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:doc.educ_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 la l\xE9gislation en vigueur ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.legal + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 les principaux risques et menaces ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.threat + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 le maintien en condition de s\xE9curit\xE9 ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.mcs + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 l\u2019authentification et le contr\xF4le d\u2019acc\xE8\ + s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.iam + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 le param\xE9trage fin et le durcissement des syst\xE8mes\ + \ ; " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.hardening + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 le cloisonnement r\xE9seau ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.network_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1:7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:1 + description: "\u2022 et la journalisation. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:train.logging + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + description: "Cette liste doit \xEAtre pr\xE9cis\xE9e selon le m\xE9tier des\ + \ collaborateurs en consid\xE9rant des aspects tels que l\u2019int\xE9gration\ + \ de la s\xE9curit\xE9 pour les chefs de projet, le d\xE9veloppement s\xE9\ + curis\xE9 pour les d\xE9veloppeurs, les r\xE9f\xE9rentiels de s\xE9curit\xE9\ + \ pour les RSSI, etc. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:1 + description: "Il est par ailleurs n\xE9cessaire de faire mention de clauses\ + \ sp\xE9cifiques dans les contrats de prestation pour garantir une formation\ + \ r\xE9guli\xE8re \xE0 la s\xE9curit\xE9 des syst\xE8mes d\u2019information\ + \ du personnel externe et notamment les infog\xE9rants." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + ref_id: '2' + name: "Sensibiliser les utilisateurs aux bonnes pratiques \xE9l\xE9mentaires\ + \ de s\xE9curit\xE9 informatique" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "Chaque utilisateur est un maillon \xE0 part enti\xE8re de la cha\xEE\ + ne des syst\xE8mes d\u2019information. \xC0 ce titre et d\xE8s son arriv\xE9\ + e dans l\u2019entit\xE9, il doit \xEAtre inform\xE9 des enjeux de s\xE9curit\xE9\ + , des r\xE8gles \xE0 respecter et des bons comportements \xE0 adopter en mati\xE8\ + re de s\xE9curit\xE9 des syst\xE8mes d\u2019information \xE0 travers des actions\ + \ de sensibilisation et de formation." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn:intuitem:risk:function:doc-pol:pol.educ + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:doc.educ_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "Ces derni\xE8res doivent \xEAtre r\xE9guli\xE8res, adapt\xE9es\ + \ aux utilisateurs cibl\xE9s, peuvent prendre diff\xE9rentes formes (mails,\ + \ affichage, r\xE9unions, espace intranet d\xE9di\xE9, etc.) et aborder au\ + \ minimum les sujets suivants :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2 + description: "\u2022 les objectifs et enjeux que rencontre l\u2019entit\xE9\ + \ en mati\xE8re de s\xE9curit\xE9 des syst\xE8mes d\u2019information ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2 + description: "\u2022 les informations consid\xE9r\xE9es comme sensibles ;\n" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2 + description: "\u2022 les r\xE9glementations et obligations l\xE9gales ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2 + description: "\u2022 les r\xE8gles et consignes de s\xE9curit\xE9 r\xE9gissant\ + \ l\u2019activit\xE9 quotidienne : respect de la politique de s\xE9curit\xE9\ + , non-connexion d\u2019\xE9quipements personnels au r\xE9seau de l\u2019entit\xE9\ + , non-divulgation de mots de passe \xE0 un tiers, non-r\xE9utilisation de\ + \ mots de passe professionnels dans la sph\xE8re priv\xE9e et inversement,\ + \ signalement d\u2019\xE9v\xE9nements suspects, etc. ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2:5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:2 + description: "\u2022 les moyens disponibles et participant \xE0 la s\xE9curit\xE9\ + \ du syst\xE8me : verrouillage syst\xE9matique de la session lorsque l\u2019\ + utilisateur quitte son poste, outil de protection des mots de passe, etc. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:2 + description: "Pour renforcer ces mesures, l\u2019\xE9laboration et la signature\ + \ d\u2019une charte des moyens informatiques pr\xE9cisant les r\xE8gles et\ + \ consignes que doivent respecter les utilisateurs peut \xEAtre envisag\xE9\ + e." + annotation: "Utiliser le r\xE8glement int\xE9rieur en y annexant la charte d'utilisation\ + \ \xE9vite de devoir recueillir des signatures." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.internal_rules + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:i + ref_id: '3' + name: "Ma\xEEtriser les risques de l\u2019infog\xE9rance" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Lorsqu\u2019une entit\xE9 souhaite externaliser son syst\xE8me\ + \ d\u2019information ou ses donn\xE9es, elle doit en amont \xE9valuer les\ + \ risques sp\xE9cifiques \xE0 l\u2019infog\xE9rance (ma\xEEtrise du syst\xE8\ + me d\u2019information, actions \xE0 distance, h\xE9bergement mutualis\xE9\ + , etc.) afin de prendre en compte, d\xE8s la r\xE9daction des exigences applicables\ + \ au futur prestataire, les besoins et mesures de s\xE9curit\xE9 adapt\xE9\ + s. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn:intuitem:risk:function:doc-pol:doc.risk_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Les risques SSI inh\xE9rents \xE0 ce type de d\xE9marche peuvent\ + \ \xEAtre li\xE9s au contexte de l\u2019op\xE9ration d\u2019externalisation\ + \ mais aussi \xE0 des sp\xE9cifications contractuelles d\xE9ficientes ou incompl\xE8\ + tes.\nEn faveur du bon d\xE9roulement des op\xE9rations, il s\u2019agit donc\ + \ :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2 + description: "\u2022 d\u2019\xE9tudier attentivement les conditions des offres,\ + \ la possibilit\xE9 de les adapter \xE0 des besoins sp\xE9cifiques et les\ + \ limites de responsabilit\xE9 du prestataire ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:2 + description: "\u2022 d\u2019imposer une liste d\u2019exigences pr\xE9cises au\ + \ prestataire : r\xE9versibilit\xE9 du contrat, r\xE9alisation d\u2019audits,\ + \ sauvegarde et restitution des donn\xE9es dans un format ouvert normalis\xE9\ + , maintien \xE0 niveau de la s\xE9curit\xE9 dans le temps, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Pour formaliser ces engagements, le prestataire fournira au commanditaire\ + \ un plan d\u2019assurance s\xE9curit\xE9 (PAS) pr\xE9vu par l\u2019appel\ + \ d\u2019offre. Il s\u2019agit d\u2019un document contractuel d\xE9crivant\ + \ l\u2019ensemble des dispositions sp\xE9cifiques que les candidats s\u2019\ + engagent \xE0 mettre en \u0153uvre pour garantir le respect des exigences\ + \ de s\xE9curit\xE9 sp\xE9cifi\xE9es par l\u2019entit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.sap + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:3 + description: "Le recours \xE0 des solutions ou outils non ma\xEEtris\xE9s (par\ + \ exemple h\xE9berg\xE9s dans le nuage) n\u2019est pas ici consid\xE9r\xE9\ + \ comme \xE9tant du ressort de l\u2019infog\xE9rance et par ailleurs d\xE9\ + conseill\xE9 en cas de traitement d\u2019informations sensibles." + annotation: "V\xE9rifier que les biens sensibles ne sont pas stock\xE9s dans\ + \ des environnements non ma\xEEtris\xE9s" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + assessable: false + depth: 1 + ref_id: II + name: "Conna\xEEtre le syst\xE8me d'information" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '4' + name: " Identifier les informations et serveurs les plus sensibles et maintenir\ + \ un sch\xE9ma du r\xE9seau" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: "Chaque entit\xE9 poss\xE8de des donn\xE9es sensibles. Ces derni\xE8\ + res peuvent porter sur son activit\xE9 propre (propri\xE9t\xE9 intellectuelle,\ + \ savoir-faire, etc.) ou sur ses clients, administr\xE9s ou usagers (donn\xE9\ + es personnelles, contrats, etc.). Afin de pouvoir les prot\xE9ger efficacement,\ + \ il est indispensable de les identifier." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.asset + - urn:intuitem:risk:function:doc-pol:pol.classif + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: "\xC0 partir de cette liste de donn\xE9es sensibles, il sera possible\ + \ de d\xE9terminer sur quels composants du syst\xE8me d\u2019information elles\ + \ se localisent (bases de donn\xE9es, partages de fichiers, postes de travail,\ + \ etc.). Ces composants correspondent aux serveurs et postes critiques pour\ + \ l\u2019entit\xE9. \xC0 ce titre, ils devront faire l\u2019objet de mesures\ + \ de s\xE9curit\xE9 sp\xE9cifiques pouvant porter sur la sauvegarde, la journalisation,\ + \ les acc\xE8s, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.proc_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: "Il s\u2019agit donc de cr\xE9er et de maintenir \xE0 jour un sch\xE9\ + ma simplifi\xE9 du r\xE9seau (ou cartographie) repr\xE9sentant les diff\xE9\ + rentes zones IP et le plan d\u2019adressage associ\xE9, les \xE9quipements\ + \ de routage et de s\xE9curit\xE9 (pare-feu, relais applicatifs, etc.) et\ + \ les interconnexions avec l\u2019ext\xE9rieur (Internet, r\xE9seaux priv\xE9\ + s, etc.) et les partenaires." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.is_map + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:4 + description: " Ce sch\xE9ma doit \xE9galement permettre de localiser les serveurs\ + \ d\xE9tenteurs d\u2019informations sensibles de l\u2019entit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.is_map + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '5' + name: "Disposer d\u2019un inventaire exhaustif des comptes privil\xE9gi\xE9\ + s et le maintenir \xE0 jour" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + description: "Les comptes b\xE9n\xE9ficiant de droits sp\xE9cifiques sont des\ + \ cibles privil\xE9gi\xE9es par les attaquants qui souhaitent obtenir un acc\xE8\ + s le plus large possible au syst\xE8me d\u2019information. Ils doivent donc\ + \ faire l\u2019objet d\u2019une attention toute particuli\xE8re. Il s\u2019\ + agit pour cela d\u2019effectuer un inventaire de ces comptes, de le mettre\ + \ \xE0 jour r\xE9guli\xE8rement et d\u2019y renseigner les informations suivantes\ + \ :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1 + description: "\u2022 les utilisateurs ayant un compte administrateur ou des\ + \ droits sup\xE9rieurs \xE0 ceux d\u2019un utilisateur standard sur le syst\xE8\ + me d\u2019information ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1 + description: "\u2022 les utilisateurs disposant de suffisamment de droits pour\ + \ acc\xE9der aux r\xE9pertoires de travail des responsables ou de l\u2019\ + ensemble des utilisateurs ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:1 + description: "\u2022 les utilisateurs utilisant un poste non administr\xE9 par\ + \ le service informatique et qui ne fait pas l\u2019objet de mesures de s\xE9\ + curit\xE9 \xE9dict\xE9es par la politique de s\xE9curit\xE9 g\xE9n\xE9rale\ + \ de l\u2019entit\xE9. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + description: "Il est fortement recommand\xE9 de proc\xE9der \xE0 une revue p\xE9\ + riodique de ces comptes afin de s\u2019assurer que les acc\xE8s aux \xE9l\xE9\ + ments sensibles (notamment les r\xE9pertoires de travail et la messagerie\ + \ \xE9lectronique des responsables) soient maitris\xE9s. Ces revues permettront\ + \ \xE9galement de supprimer les acc\xE8s devenus obsol\xE8tes suite au d\xE9\ + part d\u2019un utilisateur par exemple. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.recertification + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:5 + description: "Enfin, il est souhaitable de d\xE9finir et d\u2019utiliser une\ + \ nomenclature simple et claire pour identifier les comptes de services et\ + \ les comptes d\u2019administration. \nCela facilitera notamment leur revue\ + \ et la d\xE9tection d\u2019intrusion." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '6' + name: " Organiser les proc\xE9dures d\u2019arriv\xE9e, de d\xE9part et de changement\ + \ de fonction des utilisateurs" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6 + description: "Les effectifs d\u2019une entit\xE9, qu\u2019elle soit publique\ + \ ou priv\xE9e, \xE9voluent sans cesse : arriv\xE9es, d\xE9parts, mobilit\xE9\ + \ interne. Il est par cons\xE9quent n\xE9cessaire que les droits et les acc\xE8\ + s au syst\xE8me d\u2019information soient mis \xE0 jour en fonction de ces\ + \ \xE9volutions. Il est notamment essentiel que l\u2019ensemble des droits\ + \ affect\xE9s \xE0 une personne soient r\xE9voqu\xE9s lors de son d\xE9part\ + \ ou en cas de changement de fonction. Les proc\xE9dures d\u2019arriv\xE9\ + e et de d\xE9part doivent donc \xEAtre d\xE9finies, en lien avec la fonction\ + \ ressources humaines. Elles doivent au minimum prendre en compte :" + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1 + description: "\u2022 la cr\xE9ation et la suppression des comptes informatiques\ + \ et bo\xEEtes aux lettres associ\xE9es ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.hr_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1 + description: "\u2022 la gestion des acc\xE8s physiques aux locaux (attribution,\ + \ restitution des badges et des cl\xE9s, etc.) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.physical_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1 + description: "\u2022 l\u2019affectation des \xE9quipements mobiles (ordinateur\ + \ portable, cl\xE9 USB, disque dur, ordiphone, etc.) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:1 + description: "\u2022 la gestion des documents et informations sensibles (transfert\ + \ de mots de passe, changement des mots de passe ou des codes sur les syst\xE8\ + mes existants)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.classif + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:6 + description: "Les proc\xE9dures doivent \xEAtre formalis\xE9es et mises \xE0\ + \ jour en fonction du contexte." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.proc_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ii + ref_id: '7' + name: "Autoriser la connexion au r\xE9seau de l\u2019entit\xE9 aux seuls \xE9\ + quipements ma\xEEtris\xE9s" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "Pour garantir la s\xE9curit\xE9 de son syst\xE8me d\u2019information,\ + \ l\u2019entit\xE9 doit ma\xEEtriser les \xE9quipements qui s\u2019y connectent,\ + \ chacun constituant un point d\u2019entr\xE9e potentiellement vuln\xE9rable.\ + \ Les \xE9quipements personnels (ordinateurs portables, tablettes, ordiphones,\ + \ etc.) sont, par d\xE9finition, difficilement ma\xEEtrisables dans la mesure\ + \ o\xF9 ce sont les utilisateurs qui d\xE9cident de leur niveau de s\xE9curit\xE9\ + . De la m\xEAme mani\xE8re, la s\xE9curit\xE9 des \xE9quipements dont sont\ + \ dot\xE9s les visiteurs \xE9chappe \xE0 tout contr\xF4le de l\u2019entit\xE9\ + ." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "Seule la connexion de terminaux ma\xEEtris\xE9s par l\u2019entit\xE9\ + \ doit \xEAtre autoris\xE9e sur ses diff\xE9rents r\xE9seaux d\u2019acc\xE8\ + s, qu\u2019ils soient filaire ou sans fil. Cette recommandation, avant tout\ + \ d\u2019ordre organisationnel, est souvent per\xE7ue comme inacceptable ou\ + \ r\xE9trograde. Cependant, y d\xE9roger fragilise le r\xE9seau de l\u2019\ + entit\xE9 et sert ainsi les int\xE9r\xEAts d\u2019un potentiel attaquant." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "La sensibilisation des utilisateurs doit donc s\u2019accompagner\ + \ de solutions pragmatiques r\xE9pondant \xE0 leurs besoins. Citons par exemple\ + \ la mise \xE0 disposition d\u2019un r\xE9seau Wi-Fi avec SSID d\xE9di\xE9\ + \ pour les terminaux personnels ou visiteurs." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:7 + description: "Ces am\xE9nagements peuvent \xEAtre compl\xE9t\xE9s par des mesures\ + \ techniques telles que l\u2019authentification des postes sur le r\xE9seau\ + \ (par exemple \xE0 l\u2019aide du standard 802.1X ou d\u2019un \xE9quivalent)." + annotation: "802.1X est le standard incontournable pour le contr\xF4le d'acc\xE8\ + s r\xE9seau, aussi bien en LAN qu'en Wi-Fi." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn:intuitem:risk:function:doc-pol:tech.nac + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + assessable: false + depth: 1 + ref_id: III + name: "Authentifier et contr\xF4ler les acc\xE8s" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '8' + name: "Identifier nomm\xE9ment chaque personne acc\xE9dant au syst\xE8me et\ + \ distinguer les r\xF4les utilisateur/administrateur" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "Afin de faciliter l\u2019attribution d\u2019une action sur le\ + \ syst\xE8me d\u2019information en cas d\u2019incident ou d\u2019identifier\ + \ d\u2019\xE9ventuels comptes compromis, les comptes d\u2019acc\xE8s doivent\ + \ \xEAtre nominatifs." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "L\u2019utilisation de comptes g\xE9n\xE9riques (ex : admin, user)\ + \ doit \xEAtre marginale et ceux-ci doivent pouvoir \xEAtre rattach\xE9s \xE0\ + \ un nombre limit\xE9 de personnes physiques.\nBien entendu, cette r\xE8gle\ + \ n\u2019interdit pas le maintien de comptes de service, rattach\xE9s \xE0\ + \ un processus informatique (ex : apache, mysqld).\nDans tous les cas, les\ + \ comptes g\xE9n\xE9riques et de service doivent \xEAtre g\xE9r\xE9s selon\ + \ une politique au moins aussi stricte que celle des comptes nominatifs. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "Par ailleurs, un compte d\u2019administration nominatif, distinct\ + \ du compte utilisateur, doit \xEAtre attribu\xE9 \xE0 chaque administrateur.\ + \ Les identifiants et secrets d\u2019authentification doivent \xEAtre diff\xE9\ + rents (ex : pmartin comme identifiant utilisateur, adm-pmartin comme identifiant\ + \ administrateur). Ce compte d\u2019administration, disposant de plus de privil\xE8\ + ges, doit \xEAtre d\xE9di\xE9 exclusivement aux actions d\u2019administration.\ + \ De plus, il doit \xEAtre utilis\xE9 sur des environnements d\xE9di\xE9s\ + \ \xE0 l\u2019administration afin de ne pas laisser de traces de connexion\ + \ ni de condensat de mot de passe sur un environnement plus expos\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:8 + description: "D\xE8s que possible la journalisation li\xE9e aux comptes (ex\ + \ : relev\xE9 des connexions r\xE9ussies/\xE9chou\xE9es) doit \xEAtre activ\xE9\ + e." + annotation: "Un EDR pourra g\xE9rer la journalisation des \xE9checs de connexion." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.monitor + - urn:intuitem:risk:function:doc-pol:tech.access_log + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '9' + name: "Attribuer les bons droits sur les ressources sensibles du syst\xE8me\ + \ d\u2019information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Certaines des ressources du syst\xE8me peuvent constituer une\ + \ source d\u2019information pr\xE9cieuse aux yeux d\u2019un attaquant (r\xE9\ + pertoires contenant des donn\xE9es sensibles, bases de donn\xE9es, bo\xEE\ + tes aux lettres \xE9lectroniques, etc.). Il est donc primordial d\u2019\xE9\ + tablir une liste pr\xE9cise de ces ressources et pour chacune d\u2019entre\ + \ elles :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1 + description: "\u2022 de d\xE9finir quelle population peut y avoir acc\xE8s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1 + description: "\u2022 de contr\xF4ler strictement son acc\xE8s, en s\u2019assurant\ + \ que les utilisateurs sont authentifi\xE9s et font partie de la population\ + \ cibl\xE9e ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:1 + description: "\u2022 d\u2019\xE9viter sa dispersion et sa duplication \xE0 des\ + \ endroits non ma\xEEtris\xE9s ou soumis \xE0 un contr\xF4le d\u2019acc\xE8\ + s moins strict." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Par exemple, les r\xE9pertoires des administrateurs regroupant\ + \ de nombreuses informations sensibles doivent faire l\u2019objet d\u2019\ + un contr\xF4le d\u2019acc\xE8s pr\xE9cis." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Il en va de m\xEAme pour les informations sensibles pr\xE9sentes\ + \ sur des partages r\xE9seau : exports de fichiers de configuration, documentation\ + \ technique du syst\xE8me d\u2019information, bases de donn\xE9es m\xE9tier,\ + \ etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:9 + description: "Une revue r\xE9guli\xE8re des droits d\u2019acc\xE8s doit par\ + \ ailleurs \xEAtre r\xE9alis\xE9e afin d\u2019identifier les acc\xE8s non\ + \ autoris\xE9s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.recertification + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '10' + name: "D\xE9finir et v\xE9rifier des r\xE8gles de choix et de dimensionnement\ + \ des mots de passe" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + description: "L\u2019ANSSI \xE9nonce un ensemble de r\xE8gles et de bonnes pratiques\ + \ en mati\xE8re de choix et de dimensionnement des mots de passe. Parmi les\ + \ plus critiques de ces r\xE8gles figure la sensibilisation des utilisateurs\ + \ aux risques li\xE9s au choix d\u2019un mot de passe qui serait trop facile\ + \ \xE0 deviner, ou encore la r\xE9utilisation de mots de passe d\u2019une\ + \ application \xE0 l\u2019autre et plus particuli\xE8rement entre messageries\ + \ personnelles et professionnelles." + annotation: "Voir le guide ANSSI : Recommandations relatives \xE0 l'authentification\ + \ multifacteur et aux mots de passe \nDepuis 2024, il est important de prendre\ + \ en compte les recommandations NIST-SP800-63B" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + description: "Pour encadrer et v\xE9rifier l\u2019application de ces r\xE8gles\ + \ de choix et de dimensionnement, l\u2019entit\xE9 pourra recourir \xE0 diff\xE9\ + rentes mesures parmi lesquelles :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2 + description: "\u2022 le blocage des comptes \xE0 l\u2019issue de plusieurs \xE9\ + checs de connexion ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2 + description: "\u2022 la d\xE9sactivation des options de connexion anonyme ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:2 + description: "\u2022 l\u2019utilisation d\u2019un outil d\u2019audit de la robustesse\ + \ des mots de passe." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:10 + description: "En amont de telles proc\xE9dures, un effort de communication visant\ + \ \xE0 expliquer le sens de ces r\xE8gles et \xE9veiller les consciences sur\ + \ leur importance est fondamental." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '11' + name: "Prot\xE9ger les mots de passe stock\xE9s sur les syst\xE8mes" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11 + description: "La complexit\xE9, la diversit\xE9 ou encore l\u2019utilisation\ + \ peu fr\xE9quente de certains mots de passe, peuvent encourager leur stockage\ + \ sur un support physique\n(m\xE9mo, post-it) ou num\xE9rique (fichiers de\ + \ mots de passe, envoi par mail \xE0 soi-m\xEAme, recours aux boutons \xAB\ + \ Se souvenir du mot de passe \xBB) afin de pallier\ntout oubli ou perte.\n\ + Or, les mots de passe sont une cible privil\xE9gi\xE9e par les attaquants\ + \ d\xE9sireux d\u2019acc\xE9der au syst\xE8me, que cela fasse suite \xE0 un\ + \ vol ou \xE0 un \xE9ventuel partage du support de stockage. C\u2019est pourquoi\ + \ ils doivent imp\xE9rativement \xEAtre prot\xE9g\xE9s au moyen de solutions\ + \ s\xE9curis\xE9es au premier rang desquelles figurent l\u2019utilisation\ + \ d\u2019un coffre-fort num\xE9rique et le recours \xE0 des m\xE9canismes\ + \ de chiffrement." + annotation: "En 2025, l'usage d'un gestionnaire de mots de passe est primordiale.\ + \ Les mots de passe doivent \xEAtre g\xE9n\xE9r\xE9s et avoir une entropie\ + \ sup\xE9rieure \xE0 100 bits." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.password_manager + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:11 + description: "Bien entendu, le choix d\u2019un mot de passe pour ce coffre-fort\ + \ num\xE9rique doit respecter les r\xE8gles \xE9nonc\xE9es pr\xE9c\xE9demment\ + \ et \xEAtre m\xE9moris\xE9 par l\u2019utilisateur, qui n\u2019a plus que\ + \ celui-ci \xE0 retenir." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '12' + name: "Changer les \xE9l\xE9ments d\u2019authentification par d\xE9faut sur\ + \ les \xE9quipements et services" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + description: "Il est imp\xE9ratif de partir du principe que les configurations\ + \ par d\xE9faut des syst\xE8mes d\u2019information sont syst\xE9matiquement\ + \ connues des attaquants, quand bien m\xEAme celles-ci ne le sont pas du grand\ + \ public. Ces configurations se r\xE9v\xE8lent (trop) souvent triviales (mot\ + \ de passe identique \xE0 l\u2019identifiant, mal dimensionn\xE9 ou commun\ + \ \xE0 l\u2019ensemble des \xE9quipements et services par exemple) et sont,\ + \ la plupart du temps, faciles \xE0 obtenir pour des attaquants capables de\ + \ se faire passer pour un utilisateur l\xE9gitime.\nLes \xE9l\xE9ments d\u2019\ + authentification par d\xE9faut des composants du syst\xE8me doivent donc \xEA\ + tre modifi\xE9s d\xE8s leur installation et, s\u2019agissant de mots de passe,\ + \ \xEAtre conformes aux recommandations pr\xE9c\xE9dentes en mati\xE8re de\ + \ choix, de dimensionnement et de stockage." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + description: "Si le changement d\u2019un identifiant par d\xE9faut se r\xE9\ + v\xE8le impossible pour cause, par exemple, de mot de passe ou certificat\ + \ \xAB en dur \xBB dans un \xE9quipement, ce probl\xE8me critique doit \xEA\ + tre signal\xE9 au distributeur du produit afin que cette vuln\xE9rabilit\xE9\ + \ soit corrig\xE9e au plus vite." + annotation: Inacceptable en 2025 + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:12 + description: "Afin de limiter les cons\xE9quences d\u2019une compromission,\ + \ il est par ailleurs essentiel, apr\xE8s changement des \xE9l\xE9ments d\u2019\ + authentification par d\xE9faut, de proc\xE9der \xE0 leur renouvellement r\xE9\ + gulier." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iii + ref_id: '13' + name: "Privil\xE9gier lorsque c\u2019est possible une authentification forte" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13 + description: "Il est vivement recommand\xE9 de mettre en \u0153uvre une authentification\ + \ forte n\xE9cessitant l\u2019utilisation de deux facteurs d\u2019authentification\ + \ diff\xE9rents parmi les suivants :\n\u2022 quelque chose que je sais (mot\ + \ de passe, trac\xE9 de d\xE9verrouillage, signature) ;\n\u2022 quelque chose\ + \ que je poss\xE8de (carte \xE0 puce, jeton USB, carte magn\xE9tique, RFID,\ + \ un t\xE9l\xE9phone pour recevoir un code SMS) ;\n\u2022 quelque chose que\ + \ je suis (une empreinte biom\xE9trique)." + annotation: "En 2025 cette pr\xE9conisation s'impose partout." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:13 + description: "Les cartes \xE0 puces doivent \xEAtre privil\xE9gi\xE9es ou, \xE0\ + \ d\xE9faut, les m\xE9canismes de mots de passe \xE0 usage unique (ou One\ + \ Time Password) avec jeton physique. Les op\xE9rations cryptographiques mises\ + \ en place dans ces deux facteurs offrent g\xE9n\xE9ralement de bonnes garanties\ + \ de s\xE9curit\xE9.\nLes cartes \xE0 puce peuvent \xEAtre plus complexes\ + \ \xE0 mettre en place car n\xE9cessitant une infrastructure de gestion des\ + \ cl\xE9s adapt\xE9e. Elles pr\xE9sentent cependant l\u2019avantage d\u2019\ + \xEAtre r\xE9utilisables \xE0 plusieurs fins : chiffrement, authentification\ + \ de messagerie, authentification sur le poste de travail, etc." + annotation: "L'utilisation du smartphone comme authentifiant s'av\xE8re en g\xE9\ + n\xE9ral plus pratique que la carte \xE0 puce. Celle-ci reste incontournable\ + \ pour les environnements les plus sensibles." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.access + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + assessable: false + depth: 1 + ref_id: IV + name: "S\xE9curiser les postes" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '14' + name: "Mettre en place un niveau de s\xE9curit\xE9 minimal sur l\u2019ensemble\ + \ du parc informatique" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + description: "L\u2019utilisateur plus ou moins au fait des bonnes pratiques\ + \ de s\xE9curit\xE9 informatique est, dans de tr\xE8s nombreux cas, la premi\xE8\ + re porte d\u2019entr\xE9e des attaquants vers le syst\xE8me. Il est donc fondamental\ + \ de mettre en place un niveau de s\xE9curit\xE9 minimal sur l\u2019ensemble\ + \ du parc informatique de l\u2019entit\xE9 (postes utilisateurs, serveurs,\ + \ imprimantes, t\xE9l\xE9phones, p\xE9riph\xE9riques USB, etc.) en impl\xE9\ + mentant les mesures suivantes :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1 + description: "limiter les applications install\xE9es et modules optionnels des\ + \ navigateurs web aux seuls n\xE9cessaires ;" + annotation: Par exemple SCCM + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1 + description: "doter les postes utilisateurs d\u2019un pare-feu local et d\u2019\ + un anti-virus (ceux-ci sont parfois inclus dans le syst\xE8me d\u2019exploitation)\ + \ ;" + annotation: "Choisir un antivirus int\xE9grant la fonction firewall\nUn EDR\ + \ est \xE9galement recommand\xE9 en 2025" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.malware + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1 + description: "chiffrer les partitions o\xF9 sont stock\xE9es les donn\xE9es\ + \ des utilisateurs ;" + annotation: "Par exemple Bitlocker, CRYHOD, MacOS\u2026" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:1 + description: "d\xE9sactiver les ex\xE9cutions automatiques (autorun)." + annotation: "GPO de d\xE9sactivation de l'autorun" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.gpo + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + description: "En cas de d\xE9rogation n\xE9cessaire aux r\xE8gles de s\xE9curit\xE9\ + \ globales applicables aux postes, ceux-ci doivent \xEAtre isol\xE9s du syst\xE8\ + me (s\u2019il est impossible de mettre \xE0 jour certaines applications pour\ + \ des raisons de compatibilit\xE9 par exemple)." + annotation: "Cloisonnement des \xE9quipements sp\xE9cifiques" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:14 + description: "Les donn\xE9es vitales au bon fonctionnement de l\u2019entit\xE9\ + \ que d\xE9tiennent les postes utilisateurs et les serveurs doivent faire\ + \ l\u2019objet de sauvegardes r\xE9guli\xE8res et stock\xE9es sur des \xE9\ + quipements d\xE9connect\xE9s, et leur restauration doit \xEAtre v\xE9rifi\xE9\ + e de mani\xE8re p\xE9riodique. En effet, de plus en plus de petites structures\ + \ font l\u2019objet d\u2019attaques rendant ces donn\xE9es indisponibles (par\ + \ exemple pour exiger en contrepartie de leur restitution le versement d\u2019\ + une somme cons\xE9quente (ran\xE7ongiciel))." + annotation: "Cette recommandation s'impose en 2025 pour couvrir le risque ransomware.\n\ + Utiliser un syst\xE8me de sauvegarde immutable sur site ou dans le cloud.\n\ + Il est important de v\xE9rifier p\xE9riodiquement l'efficacit\xE9 r\xE9elle\ + \ des sauvegardes au moyen de tests de r\xE9silience, consistant \xE0 simuler\ + \ un effacement de toutes les informations." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn:intuitem:risk:function:doc-pol:tech.immutable_backup + - urn:intuitem:risk:function:doc-pol:pol.bcp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '15' + name: "Se prot\xE9ger des menaces relatives \xE0 l\u2019utilisation de supports\ + \ amovibles" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Les supports amovibles peuvent \xEAtre utilis\xE9s afin de propager\ + \ des virus, voler des informations sensibles et strat\xE9giques ou encore\ + \ compromettre le r\xE9seau de l\u2019entit\xE9. De tels agissements peuvent\ + \ avoir des cons\xE9quences d\xE9sastreuses pour l\u2019activit\xE9 de la\ + \ structure cibl\xE9e.\nS\u2019il n\u2019est pas question d\u2019interdire\ + \ totalement l\u2019usage de supports amovibles au sein de l\u2019entit\xE9\ + , il est n\xE9anmoins n\xE9cessaire de traiter ces risques en identifiant\ + \ des mesures ad\xE9quates et en sensibilisant les utilisateurs aux risques\ + \ que ces supports peuvent v\xE9hiculer." + annotation: "EN 2025 il est viable d'interdire totalement le transfert d'information\ + \ par cl\xE9 USB dans le cas g\xE9n\xE9ral, avec une gestion d'exceptions." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Il convient notamment de proscrire le branchement de cl\xE9s USB\ + \ inconnues (ramass\xE9es dans un lieu public par exemple) et de limiter au\ + \ maximum celui de cl\xE9s non ma\xEEtris\xE9es (dont on connait la provenance\ + \ mais pas l\u2019int\xE9grit\xE9) sur le syst\xE8me d\u2019information \xE0\ + \ moins, dans ce dernier cas, de faire inspecter leur contenu par l\u2019\ + antivirus du poste de travail." + annotation: "Choisir un antivirus int\xE9grant la gestion des ports USB" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Sur les postes utilisateur, il est recommand\xE9 d\u2019utiliser\ + \ des solutions permettant d\u2019interdire l\u2019ex\xE9cution de programmes\ + \ sur les p\xE9riph\xE9riques amovibles (par exemple Applocker sous Windows\ + \ ou des options de montage noexec sous Unix). " + annotation: "Choisir un antivirus int\xE9grant la gestion des ports USB" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:15 + description: "Lors de la fin de vie des supports amovibles, il sera n\xE9cessaire\ + \ d\u2019impl\xE9menter et de respecter une proc\xE9dure de mise au rebut\ + \ stricte pouvant aller jusqu\u2019\xE0 leur destruction s\xE9curis\xE9e afin\ + \ de limiter la fuite d\u2019informations sensibles." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.disposal + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '16' + name: "Utiliser un outil de gestion centralis\xE9e afin d\u2019homog\xE9n\xE9\ + iser les politiques de s\xE9curit\xE9" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:16 + description: "La s\xE9curit\xE9 du syst\xE8me d\u2019information repose sur\ + \ la s\xE9curit\xE9 du maillon le plus faible. Il est donc n\xE9cessaire d\u2019\ + homog\xE9n\xE9iser la gestion des politiques de s\xE9curit\xE9 s\u2019appliquant\ + \ \xE0 l\u2019ensemble du parc informatique de l\u2019entit\xE9.\nL\u2019\ + application de ces politiques (gestion des mots de passe, restrictions de\ + \ connexions sur certains postes sensibles, configuration des navigateurs\ + \ Web, etc.) doit \xEAtre simple et rapide pour les administrateurs, en vue\ + \ notamment de faciliter la mise en \u0153uvre de contre-mesures en cas de\ + \ crise informatique.\nPour cela, l\u2019entit\xE9 pourra se doter d\u2019\ + un outil de gestion centralis\xE9e (par exemple Active Directory en environnement\ + \ Microsoft) auquel il s\u2019agit d\u2019inclure le plus grand nombre d\u2019\ + \xE9quipements informatiques possible. Les postes de travail et les serveurs\ + \ sont concern\xE9s par cette mesure qui n\xE9cessite \xE9ventuellement en\ + \ amont un travail d\u2019harmonisation des choix de mat\xE9riels et de syst\xE8\ + mes d\u2019exploitation.\nAinsi, des politiques de durcissement du syst\xE8\ + me d\u2019exploitation ou d\u2019applications pourront facilement s\u2019\ + appliquer depuis un point central tout en favorisant la r\xE9activit\xE9 attendue\ + \ en cas de besoin de reconfiguration." + annotation: 'AD est incontournable en environnement Windows. + + De nombreuses solutions multi-plateformes existent.' + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '17' + name: Activer et configurer le pare-feu local des postes de travail + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Apr\xE8s avoir r\xE9ussi \xE0 prendre le contr\xF4le d\u2019un\ + \ poste de travail (\xE0 cause, par exemple, d\u2019une vuln\xE9rabilit\xE9\ + \ pr\xE9sente dans le navigateur Internet), un attaquant cherchera souvent\ + \ \xE0 \xE9tendre son intrusion aux autres postes de travail pour, in fine,\ + \ acc\xE9der aux documents des utilisateurs.\nAfin de rendre plus difficile\ + \ ce d\xE9placement lat\xE9ral de l\u2019attaquant, il est n\xE9cessaire d\u2019\ + activer le pare-feu local des postes de travail au moyen de logiciels int\xE9\ + gr\xE9s (pare-feu local Windows) ou sp\xE9cialis\xE9s.\nLes flux de poste\ + \ \xE0 poste sont en effet tr\xE8s rares dans un r\xE9seau bureautique classique\ + \ : les fichiers sont stock\xE9s dans des serveurs de fichiers, les applications\ + \ accessibles sur des serveurs m\xE9tier, etc." + annotation: "Choisir un antivirus int\xE9grant la fonction firewall.\nUn EDR\ + \ est \xE9galement recommand\xE9 en 2025." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Le filtrage le plus simple consiste \xE0 bloquer l\u2019acc\xE8\ + s aux ports d\u2019administration par d\xE9faut des postes de travail (ports\ + \ TCP 135, 445 et 3389 sous Windows, port TCP 22 sous Unix), except\xE9 depuis\ + \ les ressources explicitement identifi\xE9es (postes d\u2019administration\ + \ et d\u2019assistance utilisateur, \xE9ventuels serveurs de gestion requ\xE9\ + rant l\u2019acc\xE8s \xE0 des partages r\xE9seau sur les postes, etc.)." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Une analyse des flux entrants utiles (administration, logiciels\ + \ d\u2019infrastructure, applications particuli\xE8res, etc.) doit \xEAtre\ + \ men\xE9e pour d\xE9finir la liste des autorisations \xE0 configurer. Il\ + \ est pr\xE9f\xE9rable de bloquer l\u2019ensemble des flux par d\xE9faut et\ + \ de n\u2019autoriser que les services n\xE9cessaires depuis les \xE9quipements\ + \ correspondants (\xAB liste blanche \xBB)." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.flow_matrix + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:17 + description: "Le pare-feu doit \xE9galement \xEAtre configur\xE9 pour journaliser\ + \ les flux bloqu\xE9s, et ainsi identifier les erreurs de configuration d\u2019\ + applications ou les tentatives d\u2019intrusion." + annotation: "Les antivirus et EDR g\xE8rent nativement la d\xE9tection des incidents\ + \ r\xE9seau." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:iv + ref_id: '18' + name: "Chiffrer les donn\xE9es sensibles transmises par voie Internet" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18 + description: "Internet est un r\xE9seau sur lequel il est quasi impossible d\u2019\ + obtenir des garanties sur le trajet que vont emprunter les donn\xE9es que\ + \ l\u2019on y envoie. Il est donc tout \xE0 fait possible qu\u2019un attaquant\ + \ se trouve sur le trajet de donn\xE9es transitant entre deux correspondants.\n\ + Toutes les donn\xE9es envoy\xE9es par courriel ou transmises au moyen d\u2019\ + outils d\u2019h\xE9bergement en ligne (Cloud) sont par cons\xE9quent vuln\xE9\ + rables. Il s\u2019agit donc de proc\xE9der \xE0 leur chiffrement syst\xE9\ + matique avant de les adresser \xE0 un correspondant ou de les h\xE9berger." + annotation: "On pourra utiliser 7zip, ZOD, pour l'envoi par mail.\nLes messageries\ + \ instantan\xE9es s\xE9curis\xE9es comme Signal, Olvid, s'av\xE8rent encore\ + \ plus pratiques." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:18 + description: "La transmission du secret (mot de passe, cl\xE9, etc.) permettant\ + \ alors de d\xE9chiffrer les donn\xE9es, si elle est n\xE9cessaire, doit \xEA\ + tre effectu\xE9e via un canal de confiance ou, \xE0 d\xE9faut, un canal distinct\ + \ du canal de transmission des donn\xE9es. Ainsi, si les donn\xE9es chiffr\xE9\ + es sont transmises par courriel, une remise en main propre du mot de passe\ + \ ou, \xE0 d\xE9faut, par t\xE9l\xE9phone doit \xEAtre privil\xE9gi\xE9e." + annotation: "Les messageries instantan\xE9es s\xE9curis\xE9es comme Signal ou\ + \ Olvid sont une tr\xE8s bonne solution." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + assessable: false + depth: 1 + ref_id: V + name: "S\xE9curiser le r\xE9seau" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '19' + name: "Segmenter le r\xE9seau et mettre en place un cloisonnement entre ces\ + \ zones" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + description: "Lorsque le r\xE9seau est \xAB \xE0 plat \xBB, sans aucun m\xE9\ + canisme de cloisonnement, chaque machine du r\xE9seau peut acc\xE9der \xE0\ + \ n\u2019importe quelle autre machine. La compromission de l\u2019une d\u2019\ + elles met alors en p\xE9ril l\u2019ensemble des machines connect\xE9es. Un\ + \ attaquant peut ainsi compromettre un poste utilisateur et ensuite \xAB rebondir\ + \ \xBB jusqu\u2019\xE0 des serveurs critiques.\nIl est donc important, d\xE8\ + s la conception de l\u2019architecture r\xE9seau, de raisonner par segmentation\ + \ en zones compos\xE9es de syst\xE8mes ayant des besoins de s\xE9curit\xE9\ + \ homog\xE8nes. On pourra par exemple regrouper distinctement des serveurs\ + \ d\u2019infrastructure, des serveurs m\xE9tiers, des postes de travail utilisateurs,\ + \ des postes de travail administrateurs, des postes de t\xE9l\xE9phonie sur\ + \ IP, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + description: "Une zone se caract\xE9rise alors par des VLAN et des sous-r\xE9\ + seaux IP d\xE9di\xE9s voire par des infrastructures d\xE9di\xE9es selon sa\ + \ criticit\xE9. Ainsi, des mesures de cloisonnement telles qu\u2019un filtrage\ + \ IP \xE0 l\u2019aide d\u2019un pare-feu peuvent \xEAtre mises en place entre\ + \ les diff\xE9rentes zones. On veillera en particulier \xE0 cloisonner autant\ + \ que possible les \xE9quipements et flux associ\xE9s aux t\xE2ches d\u2019\ + administration." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vlan + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:19 + description: "Pour les r\xE9seaux dont le cloisonnement a posteriori ne serait\ + \ pas ais\xE9, il est recommand\xE9 d\u2019int\xE9grer cette d\xE9marche dans\ + \ toute nouvelle extension du r\xE9seau ou \xE0 l\u2019occasion d\u2019un\ + \ renouvellement d\u2019\xE9quipements." + annotation: La microsegmentation permet d'agir a posteriori quand il n'est pas + possible de cloisonner par VLAN. + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.microsegmentation + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '20' + name: "S'assurer de la s\xE9curit\xE9 des r\xE9seaux d'acc\xE8s Wi-Fi et de\ + \ la s\xE9paration des usages" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "L\u2019usage du Wi-Fi en milieu professionnel est aujourd\u2019\ + hui d\xE9mocratis\xE9 mais pr\xE9sente toujours des risques de s\xE9curit\xE9\ + \ bien sp\xE9cifiques : faibles garanties en mati\xE8re de disponibilit\xE9\ + , pas de ma\xEEtrise de la zone de couverture pouvant mener \xE0 une attaque\ + \ hors du p\xE9rim\xE8tre g\xE9ographique de l\u2019entit\xE9, configuration\ + \ par d\xE9faut des points d\u2019acc\xE8s peu s\xE9curis\xE9e, etc.\nLa segmentation\ + \ de l\u2019architecture r\xE9seau doit permettre de limiter les cons\xE9\ + quences d\u2019une intrusion par voie radio \xE0 un p\xE9rim\xE8tre d\xE9\ + termin\xE9 du syst\xE8me d\u2019information. Les flux en provenance des postes\ + \ connect\xE9s au r\xE9seau d\u2019acc\xE8s Wi-Fi doivent donc \xEAtre filtr\xE9\ + s et restreints aux seuls flux n\xE9cessaires." + annotation: "Un acc\xE8s Wi-Fi correctement s\xE9curis\xE9 en 2025 est \xE9\ + quivalent \xE0 un acc\xE8s par c\xE2ble." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vlan + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "De plus, il est important d\u2019avoir recours prioritairement\ + \ \xE0 un chiffrement robuste (mode WPA2, algorithme AES CCMP) et \xE0 une\ + \ authentification centralis\xE9e, si possible par certificats clients des\ + \ machines." + annotation: "WPA3-Entreprise est.\xE0 l'\xE9tat de l'art. WPA2-Entreprise est\ + \ acceptable, mais on pr\xE9voiera une migration vers WPA3-Entreprise.\nWPA3/WPA2-Entreprise\ + \ s'appuient sur la gestion de certificats poste de travail.\nSur Windows\ + \ Server on pourra utiliser directement NPS (Network Policy Server). Il existe\ + \ d'autres solutions comme CISCO ISE, Ivanti, FreeRadius, ..." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.wifi_sec + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "La protection du r\xE9seau Wi-Fi par un mot de passe unique et\ + \ partag\xE9 est d\xE9conseill\xE9e. \xC0 d\xE9faut, il doit \xEAtre complexe\ + \ et son renouvellement pr\xE9vu mais il ne doit en aucun cas \xEAtre diffus\xE9\ + \ \xE0 des tiers non autoris\xE9s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "Les points d\u2019acc\xE8s doivent par ailleurs \xEAtre administr\xE9\ + s de mani\xE8re s\xE9curis\xE9e (ex : interface d\xE9di\xE9e, modification\ + \ du mot de passe administrateur par d\xE9faut)." + annotation: "Un NOC (Network Operating Center) est la tour de contr\xF4le du\ + \ r\xE9seau, et doit \xEAtre b\xE2ti sur un r\xE9seau d\xE9di\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:20 + description: "Enfin, toute connexion Wi-Fi de terminaux personnels ou visiteurs\ + \ (ordinateurs portables, ordiphones) doit \xEAtre s\xE9par\xE9e des connexions\ + \ Wi-Fi des terminaux de l\u2019entit\xE9 (ex : SSID et VLAN distincts, acc\xE8\ + s Internet d\xE9di\xE9)." + annotation: "Un r\xE9seau d\xE9di\xE9 pour les visiteurs \xE9vite tout risque\ + \ de confusion." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '21' + name: "Utiliser des protocoles r\xE9seaux s\xE9curis\xE9s d\xE8s qu'ils existent" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:21 + description: "Si aujourd\u2019hui la s\xE9curit\xE9 n\u2019est plus optionnelle,\ + \ cela n\u2019a pas toujours \xE9t\xE9 le cas. C\u2019est pourquoi de nombreux\ + \ protocoles r\xE9seaux ont d\xFB \xE9voluer pour int\xE9grer cette composante\ + \ et r\xE9pondre aux besoins de confidentialit\xE9 et d\u2019int\xE9grit\xE9\ + \ qu\u2019impose l\u2019\xE9change de donn\xE9es. Les protocoles r\xE9seaux\ + \ s\xE9curis\xE9s doivent \xEAtre utilis\xE9s d\xE8s que possible, que ce\ + \ soit sur des r\xE9seaux publics (Internet par exemple) ou sur le r\xE9seau\ + \ interne de l\u2019entit\xE9.\nBien qu\u2019il soit difficile d\u2019en dresser\ + \ une liste exhaustive, les protocoles les plus courants reposent sur l\u2019\ + utilisation de TLS et sont souvent identifiables par l\u2019ajout de la lettre\ + \ \xAB s \xBB (pour secure en anglais) \xE0 l\u2019acronyme du protocole.\ + \ Citons par exemple HTTPS pour la navigation Web ou IMAPS, SMTPS ou POP3S\ + \ pour la messagerie.\nD\u2019autres protocoles ont \xE9t\xE9 con\xE7us de\ + \ mani\xE8re s\xE9curis\xE9e d\xE8s la conception pour se substituer \xE0\ + \ d\u2019anciens protocoles non s\xE9curis\xE9s. Citons par exemple SSh (Secure\ + \ SHell) venu remplacer les protocoles de communication historiques TELNET\ + \ et RLOGIN." + annotation: "EN 2025 les flux non chiffr\xE9s peuvent \xEAtre quasiment \xE9\ + radiqu\xE9s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '22' + name: "Mettre en place une passerelle d'acc\xE8s s\xE9curis\xE9 \xE0 Internet" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "L\u2019acc\xE8s \xE0 Internet, devenu indispensable, pr\xE9sente\ + \ des risques importants : sites Web h\xE9bergeant du code malveillant, t\xE9\ + l\xE9chargement de fichiers \xAB toxiques \xBB et, par cons\xE9quent, possible\ + \ prise de contr\xF4le du terminal, fuite de donn\xE9es sensibles, etc. Pour\ + \ s\xE9curiser cet usage, il est donc indispensable que les terminaux utilisateurs\ + \ n\u2019aient pas d\u2019acc\xE8s r\xE9seau direct \xE0 Internet." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "C\u2019est pourquoi il est recommand\xE9 de mettre en \u0153uvre\ + \ une passerelle s\xE9curis\xE9e d\u2019acc\xE8s \xE0 Internet comprenant\ + \ au minimum un pare-feu au plus pr\xE8s de l\u2019acc\xE8s Internet pour\ + \ filtrer les connexions et un serveur mandataire (proxy) embarquant diff\xE9\ + rents m\xE9canismes de s\xE9curit\xE9. Celui-ci assure notamment l\u2019authentification\ + \ des utilisateurs et la journalisation des requ\xEAtes." + annotation: "Certains firewalls int\xE8grent un proxy Internet. Il est n\xE9\ + anmoins recommand\xE9 d'utiliser des \xE9quipements distincts, et de placer\ + \ le proxy dans une DMZ." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.web_proxy + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Des m\xE9canismes compl\xE9mentaires sur le serveur mandataire\ + \ pourront \xEAtre activ\xE9s selon les besoins de l\u2019entit\xE9 : analyse\ + \ antivirus du contenu, filtrage par cat\xE9gories d\u2019URLs, etc." + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Le maintien en condition de s\xE9curit\xE9 des \xE9quipements\ + \ de la passerelle est essentiel, il fera donc l\u2019objet de proc\xE9dures\ + \ \xE0 respecter. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Suivant le nombre de collaborateurs et le besoin de disponibilit\xE9\ + , ces \xE9quipements pourront \xEAtre redond\xE9s. " + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Par ailleurs, pour les terminaux utilisateurs, les r\xE9solutions\ + \ DNS en direct de noms de domaines publics seront par d\xE9faut d\xE9sactiv\xE9\ + es, celles-ci \xE9tant d\xE9l\xE9gu\xE9es au serveur mandataire." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.web_proxy + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22:7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:22 + description: "Enfin, il est fortement recommand\xE9 que les postes nomades \xE9\ + tablissent au pr\xE9alable une connexion s\xE9curis\xE9e au syst\xE8me d\u2019\ + information de l\u2019entit\xE9 pour naviguer de mani\xE8re s\xE9curis\xE9\ + e sur le Web \xE0 travers la passerelle." + annotation: "La plupart des firewalls int\xE8grent une passerelle VPN." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '23' + name: "Cloisonner les services visibles depuis Internet du reste du syst\xE8\ + me d'information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + description: "Une entit\xE9 peut choisir d\u2019h\xE9berger en interne des services\ + \ visibles sur Internet (site web, serveur de messagerie, etc.). Au regard\ + \ de l\u2019\xE9volution et du perfectionnement des cyberattaques sur Internet,\ + \ il est essentiel de garantir un haut niveau de protection de ce service\ + \ avec des administrateurs comp\xE9tents, form\xE9s de mani\xE8re continue\ + \ (\xE0 l\u2019\xE9tat de l\u2019art des technologies en la mati\xE8re) et\ + \ disponibles. Dans le cas contraire, le recours \xE0 un h\xE9bergement externalis\xE9\ + \ aupr\xE8s de professionnels est \xE0 privil\xE9gier." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + description: "De plus, les infrastructures d\u2019h\xE9bergement Internet doivent\ + \ \xEAtre physiquement cloisonn\xE9es de toutes les infrastructures du syst\xE8\ + me d\u2019information qui n\u2019ont pas vocation \xE0 \xEAtre visibles depuis\ + \ Internet." + annotation: "Une DMZ r\xE9alis\xE9e \xE0 l'aide d'un firewall r\xE9seau permet\ + \ de mettre en \u0153uvre cette recommandation." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:23 + description: "Enfin, il convient de mettre en place une infrastructure d\u2019\ + interconnexion de ces services avec Internet permettant de filtrer les flux\ + \ li\xE9s \xE0 ces services de mani\xE8re distincte des autres flux de l\u2019\ + entit\xE9. Il s\u2019agit \xE9galement d\u2019imposer le passage des flux\ + \ entrants par un serveur mandataire inverse (reverse proxy) embarquant diff\xE9\ + rents m\xE9canismes de s\xE9curit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.reverse_proxy + - urn:intuitem:risk:function:doc-pol:tech.waf + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '24' + name: "Prot\xE9ger sa messagerie professionnelle" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "La messagerie est le principal vecteur d\u2019infection du poste\ + \ de travail, qu\u2019il s\u2019agisse de l\u2019ouverture de pi\xE8ces jointes\ + \ contenant un code malveillant ou du clic malencontreux sur un lien redirigeant\ + \ vers un site lui-m\xEAme malveillant.\nLes utilisateurs doivent \xEAtre\ + \ particuli\xE8rement sensibilis\xE9s \xE0 ce sujet : l\u2019exp\xE9diteur\ + \ est-il connu ? Une information de sa part est-elle attendue ? Le lien propos\xE9\ + \ est-il coh\xE9rent avec le sujet \xE9voqu\xE9 ? En cas de doute, une v\xE9\ + rification de l\u2019authenticit\xE9 du message par un autre canal (t\xE9\ + l\xE9phone, SMS, etc.) est n\xE9cessaire. " + annotation: La simuation de phishing est un bon moyen de sensibilisation. + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Pour se pr\xE9munir d\u2019escroqueries (ex : demande de virement\ + \ frauduleux \xE9manant vraisemblablement d\u2019un dirigeant), des mesures\ + \ organisationnelles doivent \xEAtre appliqu\xE9es strictement." + annotation: "Les personnes g\xE9rant les paiements doivent \xEAtre tout particuli\xE8\ + rement sensibilis\xE9es aux escroqueries de plus en plus sophistiqu\xE9es." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.seg_duty + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Par ailleurs, la redirection de messages professionnels vers une\ + \ messagerie personnelle est \xE0 proscrire car cela constitue une fuite irr\xE9\ + m\xE9diable d\u2019informations de l\u2019entit\xE9. Si n\xE9cessaire des\ + \ moyens ma\xEEtris\xE9s et s\xE9curis\xE9s pour l\u2019acc\xE8s distant \xE0\ + \ la messagerie professionnelle doivent \xEAtre propos\xE9s. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Que l\u2019entit\xE9 h\xE9berge ou fasse h\xE9berger son syst\xE8\ + me de messagerie, elle doit s\u2019assurer :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4 + description: "\u2022 de disposer d\u2019un syst\xE8me d\u2019analyse antivirus\ + \ en amont des bo\xEEtes aux lettres des utilisateurs pour pr\xE9venir la\ + \ r\xE9ception de fichiers infect\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_antivirus + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:4 + description: "\u2022 de l\u2019activation du chiffrement TLS des \xE9changes\ + \ entre serveurs de messagerie (de l\u2019entit\xE9 ou publics) ainsi qu\u2019\ + entre les postes utilisateur et les serveurs h\xE9bergeant les bo\xEEtes aux\ + \ lettres." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.transfer + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Il est souhaitable de ne pas exposer directement les serveurs\ + \ de bo\xEEte aux lettres sur Internet. Dans ce cas, un serveur relai d\xE9\ + di\xE9 \xE0 l\u2019envoi et \xE0 la r\xE9ception des messages doit \xEAtre\ + \ mis en place en coupure d\u2019Internet." + annotation: "Certains firewalls int\xE8grent la fonction de passerelle de messagerie.\ + \ Toutefois, il est pr\xE9f\xE9rable de s\xE9parer ces fonctions, et de mettre\ + \ la passerelle de messagerie s\xE9curis\xE9e dans une DMZ." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.mail_gateway + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Alors que le spam - malveillant ou non - constitue la majorit\xE9\ + \ des courriels \xE9chang\xE9s sur Internet, le d\xE9ploiement d\u2019un service\ + \ anti-spam doit permettre d\u2019\xE9liminer cette source de risques." + annotation: "Les passerelles de messagerie s\xE9curis\xE9es int\xE8grent une\ + \ fonction anti-spam" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.mail_gateway + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24:7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:24 + description: "Enfin, l\u2019administrateur de messagerie s\u2019assurera de\ + \ la mise en place des m\xE9canismes de v\xE9rification d\u2019authenticit\xE9\ + \ et de la bonne configuration des enregistrements DNS publics li\xE9s \xE0\ + \ son infrastructure de messagerie (MX, SPF, DKIM, DMARC)." + annotation: "Les m\xE9chanismes SPIF, DKIM et DMARC sont indispensables en 2025.\ + \ Il est possible de les d\xE9l\xE9guer \xE0 un mandataire (par exemple avec\ + \ Office365)" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.email_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '25' + name: "S\xE9curiser les interconnexions r\xE9seau d\xE9di\xE9es avec les partenaires" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Pour des besoins op\xE9rationnels, une entit\xE9 peut \xEAtre\ + \ amen\xE9e \xE0 \xE9tablir une interconnexion r\xE9seau d\xE9di\xE9e avec\ + \ un fournisseur ou un client (ex : infog\xE9rance, \xE9change de donn\xE9\ + es informatis\xE9es, flux mon\xE9tiques, etc.).\nCette interconnexion peut\ + \ se faire au travers d\u2019un lien sur le r\xE9seau priv\xE9 de l\u2019\ + entit\xE9 ou directement sur Internet. Dans le second cas, il convient d\u2019\ + \xE9tablir un tunnel site \xE0 site, de pr\xE9f\xE9rence IPsec, en respectant\ + \ les pr\xE9conisations de l\u2019ANSSI." + annotation: "Cette fonction est int\xE9gr\xE9e dans la plupart des firewalls." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Le partenaire \xE9tant consid\xE9r\xE9 par d\xE9faut comme non\ + \ s\xFBr, il est indispensable d\u2019effectuer un filtrage IP \xE0 l\u2019\ + aide d\u2019un pare-feu au plus pr\xE8s de l\u2019entr\xE9e des flux sur le\ + \ r\xE9seau de l\u2019entit\xE9. La matrice des flux (entrants et sortants)\ + \ devra \xEAtre r\xE9duite au juste besoin op\xE9rationnel, maintenue dans\ + \ le temps et la configuration des \xE9quipements devra y \xEAtre conforme." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Pour des entit\xE9s ayant des besoins de s\xE9curit\xE9 plus exigeants,\ + \ il conviendra de s\u2019assurer que l\u2019\xE9quipement de filtrage IP\ + \ pour les connexions partenaires est d\xE9di\xE9 \xE0 cet usage." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "L\u2019ajout d\u2019un \xE9quipement de d\xE9tection d\u2019intrusions\ + \ peut \xE9galement constituer une bonne pratique." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.ids + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:25 + description: "Par ailleurs la connaissance d\u2019un point de contact \xE0 jour\ + \ chez le partenaire est n\xE9cessaire pour pouvoir r\xE9agir en cas d\u2019\ + incident de s\xE9curit\xE9." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:v + ref_id: '26' + name: "Contr\xF4ler et prot\xE9ger l'acc\xE8s aux salles serveurs et aux locaux\ + \ techniques" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Les m\xE9canismes de s\xE9curit\xE9 physique doivent faire partie\ + \ int\xE9grante de la s\xE9curit\xE9 des syst\xE8mes d\u2019information et\ + \ \xEAtre \xE0 l\u2019\xE9tat de l\u2019art afin de s\u2019assurer qu\u2019\ + ils ne puissent pas \xEAtre contourn\xE9s ais\xE9ment par un attaquant. Il\ + \ convient donc d\u2019identifier les mesures de s\xE9curit\xE9 physique ad\xE9\ + quates et de sensibiliser continuellement les utilisateurs aux risques engendr\xE9\ + s par le contournement des r\xE8gles." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.physical + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Les acc\xE8s aux salles serveurs et aux locaux techniques doivent\ + \ \xEAtre contr\xF4l\xE9s \xE0 l\u2019aide de serrures ou de m\xE9canismes\ + \ de contr\xF4le d\u2019acc\xE8s par badge. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.physical + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Les acc\xE8s non accompagn\xE9s des prestataires ext\xE9rieurs\ + \ aux salles serveurs et aux locaux techniques sont \xE0 proscrire, sauf s\u2019\ + il est possible de tracer strictement les acc\xE8s et de limiter ces derniers\ + \ en fonction des plages horaires." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.physical_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Une revue des droits d\u2019acc\xE8s doit \xEAtre r\xE9alis\xE9\ + e r\xE9guli\xE8rement afin d\u2019identifier les acc\xE8s non autoris\xE9\ + s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.physical_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Lors du d\xE9part d\u2019un collaborateur ou d\u2019un changement\ + \ de prestataire, il est n\xE9cessaire de proc\xE9der au retrait des droits\ + \ d\u2019acc\xE8s ou au changement des codes d\u2019acc\xE8s." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.hr_security + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26:6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:26 + description: "Enfin, les prises r\xE9seau se trouvant dans des zones ouvertes\ + \ au public (salle de r\xE9union, hall d\u2019accueil, couloirs, placards,\ + \ etc.) doivent \xEAtre restreintes ou d\xE9sactiv\xE9es afin d\u2019emp\xEA\ + cher un attaquant de gagner facilement l\u2019acc\xE8s au r\xE9seau de l\u2019\ + entreprise." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + assessable: false + depth: 1 + ref_id: VI + name: "S\xE9curiser l'administration" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + ref_id: '27' + name: "Interdire l\u2019acc\xE8s \xE0 Internet depuis les postes ou serveurs\ + \ utilis\xE9s pour l\u2019administration du syst\xE8me d\u2019information" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Un poste de travail ou un serveur utilis\xE9 pour les actions\ + \ d\u2019administration ne doit en aucun cas avoir acc\xE8s \xE0 Internet,\ + \ en raison des risques que la navigation Web (\xE0 travers des sites contenant\ + \ du code malveillant) et la messagerie (au travers de pi\xE8ces jointes potentiellement\ + \ v\xE9rol\xE9es) font peser sur son int\xE9grit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Pour les autres usages des administrateurs n\xE9cessitant Internet\ + \ (consultation de documentation en ligne, de leur messagerie, etc.), il est\ + \ recommand\xE9 de mettre \xE0 leur disposition un poste de travail distinct.\ + \ \xC0 d\xE9faut, l\u2019acc\xE8s \xE0 une infrastructure virtualis\xE9e distante\ + \ pour la bureautique depuis un poste d\u2019administration est envisageable.\ + \ La r\xE9ciproque consistant \xE0 fournir un acc\xE8s distant \xE0 une infrastructure\ + \ d\u2019administration depuis un poste bureautique est d\xE9conseill\xE9\ + e car elle peut mener \xE0 une \xE9l\xE9vation de privil\xE8ges en cas de\ + \ r\xE9cup\xE9ration des authentifiants d\u2019administration." + annotation: "Pour les environnements les plus sensibles, la politique de gestion\ + \ des acc\xE8s \xE0 privil\xE8ge pr\xE9voiera des postes d\xE9di\xE9s pour\ + \ les administrateurs." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Concernant les mises \xE0 jour logicielles des \xE9quipements\ + \ administr\xE9s, elles doivent \xEAtre r\xE9cup\xE9r\xE9es depuis une source\ + \ s\xFBre (le site de l\u2019\xE9diteur par exemple), contr\xF4l\xE9es puis\ + \ transf\xE9r\xE9es sur le poste ou le serveur utilis\xE9 pour l\u2019administration\ + \ et non connect\xE9 \xE0 Internet." + annotation: "V\xE9rifier que la signature soit bien contr\xF4l\xE9e" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Ce transfert peut \xEAtre r\xE9alis\xE9 sur un support amovible\ + \ d\xE9di\xE9. " + annotation: "Il s'agit d'une exception l\xE9gitime au blocage USB." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:27 + description: "Pour des entit\xE9s voulant automatiser certaines t\xE2ches, la\ + \ mise en place d\u2019une zone d\u2019\xE9changes est conseill\xE9e. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + ref_id: '28' + name: "Utiliser un r\xE9seau d\xE9di\xE9 et cloisonn\xE9 pour l\u2019administration\ + \ du syst\xE8me d\u2019information" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28 + description: "Un r\xE9seau d\u2019administration interconnecte, entre autres,\ + \ les postes ou serveurs d\u2019administration et les interfaces d\u2019administration\ + \ des \xE9quipements. Dans la logique de segmentation du r\xE9seau global\ + \ de l\u2019entit\xE9, il est indispensable de cloisonner sp\xE9cifiquement\ + \ le r\xE9seau d\u2019administration, notamment vis-\xE0-vis du r\xE9seau\ + \ bureautique des utilisateurs, pour se pr\xE9munir de toute compromission\ + \ par rebond depuis un poste utilisateur vers une ressource d\u2019administration. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28 + description: "Selon les besoins de s\xE9curit\xE9 de l\u2019entit\xE9, il est\ + \ recommand\xE9 :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2 + description: "\u2022 de privil\xE9gier en premier lieu un cloisonnement physique\ + \ des r\xE9seaux d\xE8s que cela est possible, cette solution pouvant repr\xE9\ + senter des co\xFBts et un temps de d\xE9ploiement importants;" + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2 + description: "\u2022 \xE0 d\xE9faut, de mettre en \u0153uvre un cloisonnement\ + \ logique cryptographique reposant sur la mise en place de tunnels IPsec.\ + \ Ceci permet d\u2019assurer l\u2019int\xE9grit\xE9 et la confidentialit\xE9\ + \ des informations v\xE9hicul\xE9es sur le r\xE9seau d\u2019administration\ + \ vis-\xE0-vis du r\xE9seau bureautique des utilisateurs ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:28:2 + description: "\u2022 au minimum, de mettre en \u0153uvre un cloisonnement logique\ + \ par VLAN. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vi + ref_id: '29' + name: "\_Limiter au strict besoin op\xE9rationnel les droits d\u2019administration\ + \ sur les postes de travail" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29 + description: "De nombreux utilisateurs, y compris au sommet des hi\xE9rarchies,\ + \ sont tent\xE9s de demander \xE0 leur service informatique de pouvoir disposer,\ + \ par analogie avec leur usage personnel, de privil\xE8ges plus importants\ + \ sur leurs postes de travail : installation de logiciels, configuration du\ + \ syst\xE8me, etc. Par d\xE9faut, il est recommand\xE9 qu\u2019un utilisateur\ + \ du SI, quelle que soit sa position hi\xE9rarchique et ses attributions,\ + \ ne dispose pas de privil\xE8ges d\u2019administration sur son poste de travail.\ + \ Cette mesure, apparemment contraignante, vise \xE0 limiter les cons\xE9\ + quences de l\u2019ex\xE9cution malencontreuse d\u2019un code malveillant.\ + \ La mise \xE0 disposition d\u2019un magasin \xE9toff\xE9 d\u2019applications\ + \ valid\xE9es par l\u2019entit\xE9 du point de vue de la s\xE9curit\xE9 permettra\ + \ de r\xE9pondre \xE0 la majorit\xE9 des besoins. \nPar cons\xE9quent, seuls\ + \ les administrateurs charg\xE9s de l\u2019administration des postes doivent\ + \ disposer de ces droits lors de leurs interventions. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:29 + description: "Si une d\xE9l\xE9gation de privil\xE8ges sur un poste de travail\ + \ est r\xE9ellement n\xE9cessaire pour r\xE9pondre \xE0 un besoin ponctuel\ + \ de l\u2019utilisateur, celle-ci doit \xEAtre trac\xE9e, limit\xE9e dans\ + \ le temps et retir\xE9e \xE0 \xE9ch\xE9ance." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:pol.access + - urn:intuitem:risk:function:doc-pol:proc.pam + - urn:intuitem:risk:function:doc-pol:doc.pam_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + assessable: false + depth: 1 + ref_id: VII + name: "G\xE9rer le nomadisme" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '30' + name: " Prendre des mesures de s\xE9curisation physique des terminaux nomades" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Les terminaux nomades (ordinateurs portables, tablettes, ordiphones)\ + \ sont, par nature, expos\xE9s \xE0 la perte et au vol. Ils peuvent contenir\ + \ localement des informations sensibles pour l\u2019entit\xE9 et constituer\ + \ un point d\u2019entr\xE9e vers de plus amples ressources du syst\xE8me d\u2019\ + information. Au-del\xE0 de l\u2019application au minimum des politiques de\ + \ s\xE9curit\xE9 de l\u2019entit\xE9, des mesures sp\xE9cifiques de s\xE9\ + curisation de ces \xE9quipements sont donc \xE0 pr\xE9voir. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "En tout premier lieu, les utilisateurs doivent \xEAtre sensibilis\xE9\ + s pour augmenter leur niveau de vigilance lors de leurs d\xE9placements et\ + \ conserver leurs \xE9quipements \xE0 port\xE9e de vue. N\u2019importe quelle\ + \ entit\xE9, m\xEAme de petite taille, peut \xEAtre victime d\u2019une attaque\ + \ informatique. D\xE8s lors, en mobilit\xE9, tout \xE9quipement devient une\ + \ cible potentielle voire privil\xE9gi\xE9e." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.educ + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn:intuitem:risk:function:doc-pol:doc.educ_register + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Il est recommand\xE9 que les terminaux nomades soient aussi banalis\xE9\ + s que possible en \xE9vitant toute mention explicite de l\u2019entit\xE9 d\u2019\ + appartenance (par l\u2019apposition d\u2019un autocollant aux couleurs de\ + \ l\u2019entit\xE9 par exemple)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Pour \xE9viter toute indiscr\xE9tion lors de d\xE9placements,\ + \ notamment dans les transports ou les lieux d\u2019attente, un filtre de\ + \ confidentialit\xE9 doit \xEAtre positionn\xE9 sur chaque \xE9cran." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.screen_filter + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:30 + description: "Enfin, afin de rendre inutilisable le poste seul, l\u2019utilisation\ + \ d\u2019un support externe compl\xE9mentaire (carte \xE0 puce ou jeton USB\ + \ par exemple) pour conserver des secrets de d\xE9chiffrement ou d\u2019authentification\ + \ peut \xEAtre envisag\xE9e. Dans ce cas il doit \xEAtre conserv\xE9 \xE0\ + \ part. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '31' + name: "Chiffrer les donn\xE9es sensibles, en particulier sur le mat\xE9riel\ + \ potentiellement perdable" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + description: "Les d\xE9placements fr\xE9quents en contexte professionnel et\ + \ la miniaturisation du mat\xE9riel informatique conduisent souvent \xE0 la\ + \ perte ou au vol de celui-ci dans l\u2019espace public. Cela peut porter\ + \ atteinte aux donn\xE9es sensibles de l\u2019entit\xE9 qui y sont stock\xE9\ + es.\nIl faut donc ne stocker que des donn\xE9es pr\xE9alablement chiffr\xE9\ + es sur l\u2019ensemble des mat\xE9riels nomades (ordinateurs portables, ordiphones,\ + \ cl\xE9s USB, disques durs externes, etc.) afin de pr\xE9server leur confidentialit\xE9\ + . Seul un secret (mot de passe, carte \xE0 puce, code PIN, etc.) pourra permettre\ + \ \xE0 celui qui le poss\xE8de d\u2019acc\xE9der \xE0 ces donn\xE9es." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.crypto + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + description: "Une solution de chiffrement de partition, d\u2019archives ou de\ + \ fichier peut \xEAtre envisag\xE9e selon les besoins. L\xE0 encore, il est\ + \ essentiel de s\u2019assurer de l\u2019unicit\xE9 et de la robustesse du\ + \ secret de d\xE9chiffrement utilis\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:31 + description: "Dans la mesure du possible, il est conseill\xE9 de commencer par\ + \ un chiffrement complet du disque avant d\u2019envisager le chiffrement d\u2019\ + archives ou de fichiers. En effet, ces derniers r\xE9pondent \xE0 des besoins\ + \ diff\xE9rents et peuvent potentiellement laisser sur le support de stockage\ + \ des informations non chiffr\xE9es (fichiers de restauration de suite bureautique,\ + \ par exemple)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.disk_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '32' + name: "S\xE9curiser la connexion r\xE9seau des postes utilis\xE9s en situation\ + \ de nomadisme" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "En situation de nomadisme, il n\u2019est pas rare qu\u2019un utilisateur\ + \ ait besoin de se connecter au syst\xE8me d\u2019information de l\u2019entit\xE9\ + . Il convient par cons\xE9quent de s\u2019assurer du caract\xE8re s\xE9curis\xE9\ + \ de cette connexion r\xE9seau \xE0 travers Internet. M\xEAme si la possibilit\xE9\ + \ d\u2019\xE9tablir des tunnels VPN SSL/TLS est aujourd\u2019hui courante,\ + \ il est fortement recommand\xE9 d\u2019\xE9tablir un tunnel VPN IPsec entre\ + \ le poste nomade et une passerelle VPN IPsec mise \xE0 disposition par l\u2019\ + entit\xE9." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "Pour garantir un niveau de s\xE9curit\xE9 optimal, ce tunnel VPN\ + \ IPsec doit \xEAtre automatiquement \xE9tabli et ne pas \xEAtre d\xE9brayable\ + \ par l\u2019utilisateur, c\u2019est-\xE0-dire qu\u2019aucun flux ne doit\ + \ pouvoir \xEAtre transmis en dehors de ce tunnel." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "Pour les besoins sp\xE9cifiques d\u2019authentification aux portails\ + \ captifs, l\u2019entit\xE9 peut choisir de d\xE9roger \xE0 la connexion automatique\ + \ en autorisant une connexion \xE0 la demande ou maintenir cette recommandation\ + \ en encourageant l\u2019utilisateur \xE0 utiliser un partage de connexion\ + \ sur un t\xE9l\xE9phone mobile de confiance." + annotation: "Cette fonction est int\xE9gr\xE9e dans les logiciels VPN les plus\ + \ courants." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.vpn + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:32 + description: "Afin d\u2019\xE9viter toute r\xE9utilisation d\u2019authentifiants\ + \ depuis un poste vol\xE9 ou perdu (identifiant et mot de passe enregistr\xE9\ + s par exemple), il est pr\xE9f\xE9rable d\u2019avoir recours \xE0 une authentification\ + \ forte, par exemple avec un mot de passe et un certificat stock\xE9 sur un\ + \ support externe (carte \xE0 puce ou jeton USB) ou un m\xE9canisme de mot\ + \ de passe \xE0 usage unique (One Time Password). " + annotation: L'authentification MFA est indispensable en 2025, compte-tenu de + la puissance d'attaque en force brute disponible pour les attaquants. + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.mfa + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:vii + ref_id: '33' + name: " Adopter des politiques de s\xE9curit\xE9 d\xE9di\xE9es aux terminaux\ + \ mobiles" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Les ordiphones et tablettes font partie de notre quotidien personnel\ + \ et/ou professionnel. La premi\xE8re des recommandations consiste justement\ + \ \xE0 ne pas mutualiser les usages personnel et professionnel sur un seul\ + \ et m\xEAme terminal, par exemple en ne synchronisant pas simultan\xE9ment\ + \ comptes professionnel et personnel de messagerie, de r\xE9seaux sociaux,\ + \ d\u2019agendas, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:pol.accept + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Les terminaux, fournis par l\u2019entit\xE9 et utilis\xE9s en\ + \ contexte professionnel doivent faire l\u2019objet d\u2019une s\xE9curisation\ + \ \xE0 part enti\xE8re, d\xE8s lors qu\u2019ils se connectent au syst\xE8\ + me d\u2019information de l\u2019entit\xE9 ou qu\u2019ils contiennent des informations\ + \ professionnelles potentiellement sensibles (mails, fichiers partag\xE9s,\ + \ contacts, etc.). D\xE8s lors, l\u2019utilisation d\u2019une solution de\ + \ gestion centralis\xE9e des \xE9quipements mobiles est \xE0 privil\xE9gier.\ + \ Il sera notamment souhaitable de configurer de mani\xE8re homog\xE8ne les\ + \ politiques de s\xE9curit\xE9 inh\xE9rentes : moyen de d\xE9verrouillage\ + \ du terminal, limitation de l\u2019usage du magasin d\u2019applications \xE0\ + \ des applications valid\xE9es du point de vue de la s\xE9curit\xE9, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Dans le cas contraire, une configuration pr\xE9alable avant remise\ + \ de l\u2019\xE9quipement et une s\xE9ance de sensibilisation des utilisateurs\ + \ est souhaitable." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:33 + description: "Entre autres usages potentiellement risqu\xE9s, celui d\u2019\ + un assistant vocal int\xE9gr\xE9 augmente sensiblement la surface d\u2019\ + attaque du terminal et des cas d\u2019attaque ont \xE9t\xE9 d\xE9montr\xE9\ + s. Pour ces raisons, il est donc d\xE9conseill\xE9." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.work + - urn:intuitem:risk:function:doc-pol:tech.uem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii + assessable: false + depth: 1 + ref_id: VIII + name: "Maintenir le syst\xE8me d'information \xE0 jour" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii + ref_id: '34' + name: " D\xE9finir une politique de mise \xE0 jour des composants du syst\xE8\ + me d\u2019information" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + description: "De nouvelles failles sont r\xE9guli\xE8rement d\xE9couvertes au\ + \ c\u0153ur des syst\xE8mes et logiciels. Ces derni\xE8res sont autant de\ + \ portes d\u2019acc\xE8s qu\u2019un attaquant peut exploiter pour r\xE9ussir\ + \ son intrusion dans le syst\xE8me d\u2019information. Il est donc primordial\ + \ de s\u2019informer de l\u2019apparition de nouvelles vuln\xE9rabilit\xE9\ + s (CERTFR) et d\u2019appliquer les correctifs de s\xE9curit\xE9 sur l\u2019\ + ensemble des composants du syst\xE8me dans le mois qui suit leur publication\ + \ par l\u2019\xE9diteur. Une politique de mise \xE0 jour doit ainsi \xEAtre\ + \ d\xE9finie et d\xE9clin\xE9e en proc\xE9dures op\xE9rationnelles. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + description: "Celles-ci doivent notamment pr\xE9ciser :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2 + description: "\u2022 la mani\xE8re dont l\u2019inventaire des composants du\ + \ syst\xE8me d\u2019information est r\xE9alis\xE9 ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2 + description: "\u2022 les sources d\u2019information relatives \xE0 la publication\ + \ des mises \xE0 jour ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.threat_intel + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2 + description: "\u2022 les outils pour d\xE9ployer les correctifs sur le parc\ + \ (par exemple WSUS pour les mises \xE0 jour des composants Microsoft, des\ + \ outils gratuits ou payants pour les composants tiers et autres syst\xE8\ + mes d\u2019exploitation) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:2 + description: "\u2022 l\u2019\xE9ventuelle qualification des correctifs et leur\ + \ d\xE9ploiement progressif sur le parc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.update + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:34 + description: "Les composants obsol\xE8tes qui ne sont plus support\xE9s par\ + \ leurs fabricants doivent \xEAtre isol\xE9s du reste du syst\xE8me. Cette\ + \ recommandation s\u2019applique aussi bien au niveau r\xE9seau par un filtrage\ + \ strict des flux, qu\u2019au niveau des secrets d\u2019authentification qui\ + \ doivent \xEAtre d\xE9di\xE9s \xE0 ces syst\xE8mes. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.network + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:viii + ref_id: '35' + name: "Anticiper la fin de la maintenance des logiciels et syst\xE8mes et limiter\ + \ les adh\xE9rences logicielles" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35 + description: "L\u2019utilisation d\u2019un syst\xE8me ou d\u2019un logiciel\ + \ obsol\xE8te augmente significativement les possibilit\xE9s d\u2019attaque\ + \ informatique. Les syst\xE8mes deviennent vuln\xE9rables d\xE8s lors que\ + \ les correctifs ne sont plus propos\xE9s. En effet, des outils malveillants\ + \ exploitant ces vuln\xE9rabilit\xE9s peuvent se diffuser rapidement sur Internet\ + \ alors m\xEAme que l\u2019\xE9diteur ne propose pas de correctif de s\xE9\ + curit\xE9. \nPour anticiper ces obsolescences, un certain nombre de pr\xE9\ + cautions existent :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 \xE9tablir et tenir \xE0 jour un inventaire des syst\xE8\ + mes et applications du syst\xE8me d\u2019information ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 choisir des solutions dont le support est assur\xE9 pour\ + \ une dur\xE9e correspondant \xE0 leur utilisation ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 assurer un suivi des mises \xE0 jour et des dates de fin\ + \ de support des logiciels ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.file_encryption + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 maintenir un parc logiciel homog\xE8ne (la coexistence\ + \ de versions diff\xE9rentes d\u2019un m\xEAme produit multiplie les risques\ + \ et complique le suivi) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 limiter les adh\xE9rences logicielles, c\u2019est-\xE0\ + -dire les d\xE9pendances de fonctionnement d\u2019un logiciel par rapport\ + \ \xE0 un autre, en particulier lorsque le support de ce dernier arrive \xE0\ + \ son terme ;" + annotation: "Principe de modularit\xE9 applicative" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.arc_principles + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 inclure dans les contrats avec les prestataires et fournisseurs\ + \ des clauses garantissant le suivi des correctifs de s\xE9curit\xE9 et la\ + \ gestion des obsolescences ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1:7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:35:1 + description: "\u2022 identifier les d\xE9lais et ressources n\xE9cessaires (mat\xE9\ + rielles, humaines, budg\xE9taires) \xE0 la migration de chaque logiciel en\ + \ fin de vie (tests de non-r\xE9gression, proc\xE9dure de sauvegarde, proc\xE9\ + dure de migration des donn\xE9es, etc.)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.maintenance + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + assessable: false + depth: 1 + ref_id: IX + name: "Superviser, auditer, r\xE9agir" + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '36' + name: Activer et configurer les journaux des composants les plus importants + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Disposer de journaux pertinents est n\xE9cessaire afin de pouvoir\ + \ d\xE9tecter d\u2019\xE9ventuels dysfonctionnements et tentatives d\u2019\ + acc\xE8s illicites aux composants du syst\xE8me d\u2019information." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.monitor + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "La premi\xE8re \xE9tape consiste \xE0 d\xE9terminer quels sont\ + \ les composants critiques du syst\xE8me d\u2019information. Il peut notamment\ + \ s\u2019agir des \xE9quipements r\xE9seau et de s\xE9curit\xE9, des serveurs\ + \ critiques, des postes de travail d\u2019utilisateurs sensibles, etc." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.asset_register + - urn:intuitem:risk:function:doc-pol:doc.is_map + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Pour chacun, il convient d\u2019analyser la configuration des\ + \ \xE9l\xE9ments journalis\xE9s (format, fr\xE9quence de rotation des fichiers,\ + \ taille maximale des fichiers journaux, cat\xE9gories d\u2019\xE9v\xE8nements\ + \ enregistr\xE9s, etc.) et de l\u2019adapter en cons\xE9quence." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Les \xE9v\xE8nements critiques pour la s\xE9curit\xE9 doivent\ + \ \xEAtre journalis\xE9s et gard\xE9s pendant au moins un an (ou plus en fonction\ + \ des obligations l\xE9gales du secteur d\u2019activit\xE9s)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.monitor + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Une \xE9tude contextuelle du syst\xE8me d\u2019information doit\ + \ \xEAtre effectu\xE9e et les \xE9l\xE9ments suivants doivent \xEAtre journalis\xE9\ + s :" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5 + description: "\u2022 pare-feu : paquets bloqu\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn:intuitem:risk:function:doc-pol:tech.network_firewall + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5 + description: "\u2022 syst\xE8mes et applications : authentifications et autorisations\ + \ (\xE9checs et succ\xE8s), arr\xEAts inopin\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:5 + description: "\u2022 services : erreurs de protocoles (par exemples les erreurs\ + \ 403, 404 et 500 pour les services hTTP), tra\xE7abilit\xE9 des flux applicatifs\ + \ aux interconnexions (URL sur un relai HTTP, en-t\xEAtes des messages sur\ + \ un relai SMTP, etc.)." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.logging + - urn:intuitem:risk:function:doc-pol:tech.edr + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:6 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Afin de pouvoir corr\xE9ler les \xE9v\xE8nements entre les diff\xE9\ + rents composants, leur source de synchronisation de temps (gr\xE2ce au protocole\ + \ NTP) doit \xEAtre identique." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.ntp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36:7 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:36 + description: "Si toutes les actions pr\xE9c\xE9dentes ont \xE9t\xE9 mises en\ + \ \u0153uvre, une centralisation des journaux sur un dispositif d\xE9di\xE9\ + \ pourra \xEAtre envisag\xE9e. Cela permet de faciliter la recherche automatis\xE9\ + e d\u2019\xE9v\xE9nements suspects, d\u2019archiver les journaux sur une longue\ + \ dur\xE9e et d\u2019emp\xEAcher un attaquant d\u2019effacer d\u2019\xE9ventuelles\ + \ traces de son passage sur les \xE9quipements qu\u2019il a compromis. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:tech.siem + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '37' + name: "D\xE9finir et appliquer une politique de sauvegarde des composants critiques" + implementation_groups: + - S + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Suite \xE0 un incident d\u2019exploitation ou en contexte de gestion\ + \ d\u2019une intrusion, la disponibilit\xE9 de sauvegardes conserv\xE9es\ + \ en lieu s\xFBr est indispensable \xE0 la poursuite de l\u2019activit\xE9\ + . Il est donc fortement recommand\xE9 de formaliser une politique de sauvegarde\ + \ r\xE9guli\xE8rement mise \xE0 jour. Cette derni\xE8re a pour objectif de\ + \ d\xE9finir des exigences en mati\xE8re de sauvegarde de l\u2019information,\ + \ des logiciels et des syst\xE8mes. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Cette politique doit au moins int\xE9grer les \xE9l\xE9ments suivants\ + \ :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 la liste des donn\xE9es jug\xE9es vitales pour l\u2019\ + organisme et les serveurs concern\xE9s ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 les diff\xE9rents types de sauvegarde (par exemple le mode\ + \ hors ligne) ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 la fr\xE9quence des sauvegardes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:4 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 la proc\xE9dure d\u2019administration et d\u2019ex\xE9\ + cution des sauvegardes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:5 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 les informations de stockage et les restrictions d\u2019\ + acc\xE8s aux sauvegardes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:6 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 les proc\xE9dures de test de restauration ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2:7 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:2 + description: "\u2022 la destruction des supports ayant contenu les sauvegardes." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.disposal + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3 + assessable: false + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Les tests de restauration peuvent \xEAtre r\xE9alis\xE9s de plusieurs\ + \ mani\xE8res :" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3:1 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3 + description: "\u2022 syst\xE9matique, par un ordonnanceur de t\xE2ches pour\ + \ les applications importantes ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3:2 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3 + description: "\u2022 ponctuelle, en cas d\u2019erreur sur les fichiers ;" + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.backup + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3:3 + assessable: true + depth: 4 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:3 + description: "\u2022 g\xE9n\xE9rale, pour une sauvegarde et restauration enti\xE8\ + res du syst\xE8me d\u2019information." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.bcp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:37 + description: "Un fois cette politique de sauvegarde \xE9tablie, il est souhaitable\ + \ de planifier au moins une fois par an un exercice de restauration des donn\xE9\ + es et de conserver une trace technique des r\xE9sultats." + annotation: "On pourra faire les tests de restauration dans une zone virtuelle\ + \ d\xE9di\xE9e." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.bcp + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '38' + name: "Proc\xE9der \xE0 des contr\xF4les et audits de s\xE9curit\xE9 r\xE9guliers\ + \ puis appliquer les actions correctives associ\xE9es (renforc\xE9)" + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "La r\xE9alisation d\u2019audits r\xE9guliers (au moins une fois\ + \ par an) du syst\xE8me d\u2019information est essentielle car elle permet\ + \ d\u2019\xE9valuer concr\xE8tement l\u2019efficacit\xE9 des mesures mises\ + \ en \u0153uvre et leur maintien dans le temps. Ces contr\xF4les et audits\ + \ permettent \xE9galement de mesurer les \xE9carts pouvant persister entre\ + \ la r\xE8gle et la pratique." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.audit + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "Ils peuvent \xEAtre r\xE9alis\xE9s par d\u2019\xE9ventuelles \xE9\ + quipes d\u2019audit internes ou par des soci\xE9t\xE9s externes sp\xE9cialis\xE9\ + es. Selon le p\xE9rim\xE8tre \xE0 contr\xF4ler, des audits techniques et/ou\ + \ organisationnels seront effectu\xE9s par les professionnels mobilis\xE9\ + s. Ces audits sont d\u2019autant plus n\xE9cessaires que l\u2019entit\xE9\ + \ doit \xEAtre conforme \xE0 des r\xE9glementations et obligations l\xE9gales\ + \ directement li\xE9es \xE0 ses activit\xE9s." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.audit_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "\xC0 l\u2019issue de ces audits, des actions correctives doivent\ + \ \xEAtre identifi\xE9es, leur application planifi\xE9e et des points de suivi\ + \ organis\xE9s \xE0 intervalles r\xE9guliers. Pour une plus grande efficacit\xE9\ + , des indicateurs sur l\u2019\xE9tat d\u2019avancement du plan d\u2019action\ + \ pourront \xEAtre int\xE9gr\xE9s dans un tableau de bord \xE0 l\u2019adresse\ + \ de la direction. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.nc_log + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:38 + description: "Si les audits de s\xE9curit\xE9 participent \xE0 la s\xE9curit\xE9\ + \ du syst\xE8me d\u2019information en permettant de mettre en \xE9vidence\ + \ d\u2019\xE9ventuelles vuln\xE9rabilit\xE9s, ils ne constituent jamais une\ + \ preuve de leur absence et ne dispensent donc pas d\u2019autres mesures de\ + \ contr\xF4le. " + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.main + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '39' + name: "D\xE9signer un r\xE9f\xE9rent en s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information et le faire conna\xEEtre aupr\xE8s du personnel" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Toute entit\xE9 doit disposer d\u2019un r\xE9f\xE9rent en s\xE9\ + curit\xE9 des syst\xE8mes d\u2019information qui sera soutenu par la direction\ + \ ou par une instance d\xE9cisionnelle sp\xE9cialis\xE9e selon le niveau de\ + \ maturit\xE9 de la structure. " + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.raci + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Ce r\xE9f\xE9rent devra \xEAtre connu de tous les utilisateurs\ + \ et sera le premier contact pour toutes les questions relatives \xE0 la s\xE9\ + curit\xE9 des syst\xE8mes d\u2019information :\n\u2022 d\xE9finition des\ + \ r\xE8gles \xE0 appliquer selon le contexte ;\n\u2022 v\xE9rification de\ + \ l\u2019application des r\xE8gles ;\n\u2022 sensibilisation des utilisateurs\ + \ et d\xE9finition d\u2019un plan de formation des acteurs informatiques ;\n\ + \u2022 centralisation et traitement des incidents de s\xE9curit\xE9 constat\xE9\ + s ou remont\xE9s par les utilisateurs." + annotation: 'n ' + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Ce r\xE9f\xE9rent devra \xEAtre form\xE9 \xE0 la s\xE9curit\xE9\ + \ des syst\xE8mes d\u2019information et \xE0 la gestion de crise." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.educ_plan + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:39 + description: "Dans les entit\xE9s les plus importantes, ce correspondant peut\ + \ \xEAtre d\xE9sign\xE9 pour devenir le relais du RSSI. Il pourra par exemple\ + \ signaler les dol\xE9ances des utilisateurs et identifier les th\xE9matiques\ + \ \xE0 aborder dans le cadre des sensibilisations, permettant ainsi d\u2019\ + \xE9lever le niveau de s\xE9curit\xE9 du syst\xE8me d\u2019information au\ + \ sein de l\u2019organisme." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.raci + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:ix + ref_id: '40' + name: "D\xE9finir une proc\xE9dure de gestion des incidents de s\xE9curit\xE9" + implementation_groups: + - S + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: "Le constat d\u2019un comportement inhabituel de la part d\u2019\ + un poste de travail ou d\u2019un serveur (connexion impossible, activit\xE9\ + \ importante, activit\xE9s inhabituelles, services ouverts non autoris\xE9\ + s, fichiers cr\xE9\xE9s, modifi\xE9s ou supprim\xE9s sans autorisation, multiples\ + \ alertes de l\u2019antivirus, etc.) peut alerter sur une \xE9ventuelle intrusion." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: "Une mauvaise r\xE9action en cas d\u2019incident de s\xE9curit\xE9\ + \ peut faire empirer la situation et emp\xEAcher de traiter correctement le\ + \ probl\xE8me. Le bon r\xE9flexe est de d\xE9connecter la machine du r\xE9\ + seau, pour stopper l\u2019attaque. En revanche, il faut la maintenir sous\ + \ tension et ne pas la red\xE9marrer, pour ne pas perdre d\u2019informations\ + \ utiles pour l\u2019analyse de l\u2019attaque. Il faut ensuite pr\xE9venir\ + \ la hi\xE9rarchie, ainsi que le r\xE9f\xE9rent en s\xE9curit\xE9 des syst\xE8\ + mes d\u2019information." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:proc.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:3 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: "\nCelui-ci peut prendre contact avec un prestataire de r\xE9ponse\ + \ aux incidents de s\xE9curit\xE9 (PRIS) afin de faire r\xE9aliser les op\xE9\ + rations techniques n\xE9cessaires (copie physique du disque, analyse de la\ + \ m\xE9moire, des journaux et d\u2019\xE9ventuels codes malveillants, etc.)\ + \ et de d\xE9terminer si d\u2019autres \xE9l\xE9ments du syst\xE8me d\u2019\ + information ont \xE9t\xE9 compromis. Il s\u2019agira \xE9galement d\u2019\xE9\ + laborer la r\xE9ponse \xE0 apporter afin de supprimer d\u2019\xE9ventuels\ + \ codes malveillants et acc\xE8s dont disposerait l\u2019attaquant et de proc\xE9\ + der au changement des mots de passe compromis." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40:4 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:40 + description: " Tout incident doit \xEAtre consign\xE9 dans un registre centralis\xE9\ + . Une plainte pourra \xE9galement \xEAtre d\xE9pos\xE9e aupr\xE8s du service\ + \ judiciaire comp\xE9tent." + implementation_groups: + - S + reference_controls: + - urn:intuitem:risk:function:doc-pol:doc.incident_register + - urn:intuitem:risk:function:doc-pol:proc.incident + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x + assessable: false + depth: 1 + ref_id: X + name: Pour aller plus loin + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x + ref_id: '41' + name: "Mener une analyse de risques formelle (renforc\xE9)" + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41 + description: "Chaque entit\xE9 \xE9volue dans un environnement informationnel\ + \ complexe qui lui est propre. Aussi, toute prise de position ou plan d\u2019\ + action impliquant la s\xE9curit\xE9 du syst\xE8me d\u2019information doit\ + \ \xEAtre consid\xE9r\xE9 \xE0 la lumi\xE8re des risques pressentis par la\ + \ direction. En effet, qu\u2019il s\u2019agisse de mesures organisationnelles\ + \ ou techniques, leur mise en \u0153uvre repr\xE9sente un co\xFBt pour l\u2019\ + entit\xE9 qui n\xE9cessite de s\u2019assurer qu\u2019elles permettent de r\xE9\ + duire au bon niveau un risque identifi\xE9.\nDans les cas les plus sensibles,\ + \ l\u2019analyse de risque peut remettre en cause certains choix pass\xE9\ + s. Ce peut notamment \xEAtre le cas si la probabilit\xE9 d\u2019apparition\ + \ d\u2019un \xE9v\xE9nement et ses cons\xE9quences potentielles s\u2019av\xE8\ + rent critiques pour l\u2019entit\xE9 et qu\u2019il n\u2019existe aucune action\ + \ pr\xE9ventive pour le ma\xEEtriser.\nLa d\xE9marche recommand\xE9e consiste,\ + \ dans les grandes lignes, \xE0 d\xE9finir le contexte, appr\xE9cier les risques\ + \ et les traiter. L\u2019\xE9valuation de ces risques s\u2019op\xE8re g\xE9\ + n\xE9ralement selon deux axes : leur probabilit\xE9 d\u2019apparition et leur\ + \ gravit\xE9. S\u2019ensuit l\u2019\xE9laboration d\u2019un plan de traitement\ + \ du risque \xE0 faire valider par une autorit\xE9 d\xE9sign\xE9e \xE0 plus\ + \ haut niveau." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.risk + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41:2 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:41 + description: "Trois types d\u2019approches peuvent \xEAtre envisag\xE9s pour\ + \ ma\xEEtriser les risques associ\xE9s \xE0 son syst\xE8me d\u2019information\ + \ :\n\u2022 le recours aux bonnes pratiques de s\xE9curit\xE9 informatique\ + \ ;\n\u2022 une analyse de risques syst\xE9matique fond\xE9e sur les retours\ + \ d\u2019exp\xE9rience des utilisateurs ;\n\u2022 une gestion structur\xE9\ + e des risques formalis\xE9e par une m\xE9thodologie d\xE9di\xE9e.\nDans ce\ + \ dernier cas, la m\xE9thode EBIOS r\xE9f\xE9renc\xE9e par l\u2019ANSSI est\ + \ recommand\xE9e. Elle permet d\u2019exprimer les besoins de s\xE9curit\xE9\ + , d\u2019identifier les objectifs de s\xE9curit\xE9 et de d\xE9terminer les\ + \ exigences de s\xE9curit\xE9." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.audit + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42 + assessable: false + depth: 2 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:x + ref_id: '42' + name: "Privil\xE9gier l\u2019usage de produits et de services qualifi\xE9s par\ + \ l'ANSSI (renforc\xE9)" + implementation_groups: + - R + - urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42:1 + assessable: true + depth: 3 + parent_urn: urn:intuitem:risk:req_node:anssi-guide-hygiene-detail:42 + description: "La qualification prononc\xE9e par l\u2019ANSSI offre des garanties\ + \ de s\xE9curit\xE9 et de confiance aux acheteurs de solutions list\xE9es\ + \ dans les catalogues de produits et de prestataires de service qualifi\xE9\ + s que publie l\u2019agence.\nAu-del\xE0 des entit\xE9s soumises \xE0 r\xE9\ + glementation, l\u2019ANSSI encourage plus g\xE9n\xE9ralement l\u2019ensemble\ + \ des entreprises et administrations fran\xE7aises \xE0 utiliser des produits\ + \ qu\u2019elle qualifie, seul gage d\u2019une \xE9tude s\xE9rieuse et approfondie\ + \ du fonctionnement technique de la solution et de son \xE9cosyst\xE8me.\n\ + S\u2019agissant des prestataires de service qualifi\xE9s, ce label permet\ + \ de r\xE9pondre aux enjeux et projets de cybers\xE9curit\xE9 pour l\u2019\ + ensemble du tissu \xE9conomique fran\xE7ais que l\u2019ANSSI ne saurait adresser\ + \ seule. \xC9valu\xE9s sur des crit\xE8res techniques et organisationnels,\ + \ les prestataires qualifi\xE9s couvrent l\u2019essentiel des m\xE9tiers de\ + \ la s\xE9curit\xE9 des syst\xE8mes d\u2019information. Ainsi, en fonction\ + \ de ses besoins et du maillage national, une entit\xE9 pourra faire appel\ + \ \xE0 un Prestataire d\u2019audit de la s\xE9curit\xE9 des syst\xE8mes d\u2019\ + information (PASSI), un Prestataire de r\xE9ponse aux incidents de s\xE9curit\xE9\ + \ (PRIS), un Prestataire de d\xE9tection des incidents de s\xE9curit\xE9 (PDIS)\ + \ ou \xE0 un prestataire de service d\u2019informatique en nuage (SecNumCloud)." + implementation_groups: + - R + reference_controls: + - urn:intuitem:risk:function:doc-pol:pol.supplier diff --git a/backend/library/libraries/doc-pol.yaml b/backend/library/libraries/doc-pol.yaml index b15d8eba0..9464078d7 100644 --- a/backend/library/libraries/doc-pol.yaml +++ b/backend/library/libraries/doc-pol.yaml @@ -1,22 +1,25 @@ urn: urn:intuitem:risk:library:doc-pol locale: en -ref_id: doc-pol -name: Documents and policies -description: Typical documents and policies recommended by intuitem +ref_id: usual-controls +name: Usual reference controls +description: Usual documents, policies, procedures, training and technical controls + recommended by intuitem copyright: "\xA9 intuitem - 2024" -version: 2 +version: 3 provider: intuitem packager: intuitem translations: fr: - name: Documents et politiques - description: "Documents et politiques typiques recommand\xE9s par intuitem" + name: "Mesures de r\xE9f\xE9rence courantes" + description: "Documents, politiques, proc\xE9dures, formations et mesures techniques\ + \ recommand\xE9s par intuitem" objects: reference_controls: - urn: urn:intuitem:risk:function:doc-pol:doc.overview ref_id: DOC.OVERVIEW name: Organization overview document category: process + csf_function: govern description: 'Objectives of the organization Organigram @@ -38,6 +41,7 @@ objects: ref_id: DOC.CONTEXT name: Context of organization document category: process + csf_function: govern description: 'Stakeholders Authorities @@ -59,6 +63,7 @@ objects: ref_id: DOC.SCOPE name: ISMS Scope document category: process + csf_function: govern description: 'Products and services Products and services requiring certification @@ -91,6 +96,7 @@ objects: ref_id: DOC.LEGAL name: legal register category: process + csf_function: govern description: "Legal requirements \nStatutory requirements \nRegulatory requirements\ \ \nContractual requirements \nIntellectual property rights\nEmployment contracts\n\ NDAs" @@ -111,6 +117,7 @@ objects: ref_id: DOC.SOA name: Statement of Applicabilty document category: process + csf_function: govern translations: fr: name: "D\xE9claration d'applicabilit\xE9" @@ -119,6 +126,7 @@ objects: ref_id: DOC.CONTROLS name: Controls accountability matrix category: process + csf_function: govern annotation: 5.1.c translations: fr: @@ -128,6 +136,7 @@ objects: ref_id: DOC.AUDIT_PLAN name: Audit plan document category: process + csf_function: govern description: 'Context of the organization Leadership @@ -161,6 +170,7 @@ objects: ref_id: DOC.COMPETENCY name: Competency matrix category: process + csf_function: govern annotation: 5.1.f translations: fr: @@ -170,6 +180,7 @@ objects: ref_id: DOC.RACI name: Responsibility matrix category: process + csf_function: govern description: RACI for ISMS translations: fr: @@ -179,6 +190,7 @@ objects: ref_id: DOC.COM name: Communication plan document category: process + csf_function: govern annotation: '7.4' translations: fr: @@ -188,6 +200,7 @@ objects: ref_id: DOC.RISK_REGISTER name: Risk register category: process + csf_function: govern description: 'Risk owner Impact @@ -215,6 +228,7 @@ objects: ref_id: DOC.SO_REGISTER name: Security objectives register category: process + csf_function: govern annotation: '6.2' translations: fr: @@ -224,6 +238,7 @@ objects: ref_id: DOC.MGMT_REVIEW name: Management review plan document category: process + csf_function: govern description: 'Review of risks Review of security objectives @@ -244,7 +259,10 @@ objects: ref_id: DOC.EDUC_REGISTER name: Training and awareness register category: process - annotation: '7.2' + csf_function: govern + annotation: '7.2 + + A.6.3' translations: fr: name: Registre de formation et sensibilisation @@ -253,6 +271,7 @@ objects: ref_id: DOC.DOC_REGISTER name: Document register category: process + csf_function: govern description: 'Rules for edition and maintenance Version control @@ -270,46 +289,17 @@ objects: ref_id: DOC.PROC_REGISTER name: Operational procedures register category: process - description: 'Risk management procdure - - Incident management procedure - - Problem management procedure - - Vulnerability management procedure - - HR procedures - - Change management procedure - - Procedure for externalization - - Physical security procedures - - Privileged access procedure' - annotation: '8.1 - - A.6.1 - - 8.1 - - 8.1. - - A.7.1 - - A.8.2' + csf_function: govern + annotation: A.5.37 translations: fr: name: "Registre des proc\xE9dures op\xE9rationnelles" - description: "Processus de gestion des risques\nProc\xE9dure de gestion des\ - \ incidents\nProc\xE9dure de gestion des probl\xE8mes\nProc\xE9dure de gestion\ - \ des vuln\xE9rabilit\xE9s\nProc\xE9dures RH\nProc\xE9dure de gestion du\ - \ changement\nProc\xE9dure d\u2019externalisation\nProc\xE9dures de s\xE9\ - curit\xE9 physique\nProc\xE9dure d\u2019acc\xE8s privil\xE9gi\xE9" + description: null - urn: urn:intuitem:risk:function:doc-pol:doc.nc_log ref_id: DOC.NC_LOG name: Log of non-conformities category: process + csf_function: govern description: "List of non-conformities (incident, problems, \u2026)\nCorrective\ \ action taken" annotation: '10.1' @@ -322,6 +312,7 @@ objects: ref_id: DOC.INTERNAL_RULES name: Rules of procedure document category: process + csf_function: govern annotation: A.5.4, A.6.2 translations: fr: @@ -331,6 +322,7 @@ objects: ref_id: DOC.ASSET_REGISTER name: Registry of assets category: process + csf_function: identify annotation: A.5.9 translations: fr: @@ -340,15 +332,401 @@ objects: ref_id: DOC.SUPPLIER_REGISTER name: Registry of suppliers category: process + csf_function: identify description: Risk management translations: fr: name: Registre des fournisseurs description: Gestion des risques + - urn: urn:intuitem:risk:function:doc-pol:doc.educ_plan + ref_id: DOC.EDUC_PLAN + name: Information security awareness and traning plan + category: process + csf_function: govern + description: 'Objective: Raise awareness for all employees and provide targeted + training for relevant staff to promote secure behaviors, ensure compliance, + and reduce risks. + + Scope: Awareness for all employees and contractors; targeted training for specific + teams (e.g., IT, security, access managers). + + Roles and Responsibilities: Assign responsibilities to IT, HR, and security + teams. + + Training Requirements: Define mandatory topics (e.g., access management, secure + configurations) and frequency (e.g., annual, onboarding). + + Delivery Methods: Awareness through e-learning and campaigns; training through + hands-on workshops and simulations. + + Evaluation: Track participation rates, quiz scores, and phishing test results. + + Compliance: Align with regulations (e.g., GDPR, ISO 27001) and maintain audit-ready + records. + + Continuous Improvement: Update based on feedback and emerging threats.' + annotation: '7.3.c + + A.6.3' + translations: + fr: + name: Plan de sensibilisation et de formation + description: "Objectif : Sensibiliser l\u2019ensemble des employ\xE9s \xE0\ + \ la s\xE9curit\xE9 de l\u2019information et former sp\xE9cifiquement les\ + \ personnes concern\xE9es pour promouvoir des comportements s\xE9curis\xE9\ + s, assurer la conformit\xE9 et r\xE9duire les risques.\nPort\xE9e : Sensibilisation\ + \ pour tous les employ\xE9s et prestataires, formation cibl\xE9e pour les\ + \ \xE9quipes concern\xE9es (ex. : IT, s\xE9curit\xE9, responsables d'acc\xE8\ + s).\nR\xF4les et Responsabilit\xE9s : Attribution des responsabilit\xE9\ + s aux \xE9quipes IT, RH et s\xE9curit\xE9.\nExigences de Formation : D\xE9\ + finir les sujets obligatoires (ex. : gestion des acc\xE8s, configuration\ + \ s\xE9curis\xE9e) et la fr\xE9quence (ex. : annuelle, \xE0 l\u2019int\xE9\ + gration).\nM\xE9thodes de Diffusion : Sensibilisation via e-learning et\ + \ campagnes, formation via ateliers pratiques et simulations.\n\xC9valuation\ + \ : Suivre les taux de participation, les r\xE9sultats des quiz et les tests\ + \ de phishing.\nConformit\xE9 : S\u2019aligner sur les r\xE9glementations\ + \ (ex. : RGPD, ISO 27001) et conserver des dossiers pour audits.\nAm\xE9\ + lioration Continue : Mettre \xE0 jour en fonction des retours et des menaces\ + \ \xE9mergentes." + - urn: urn:intuitem:risk:function:doc-pol:doc.sap + ref_id: DOC.SAP + name: Security Assurance Plan + category: process + csf_function: govern + description: 'A document provided by suppliers outlining security measures, compliance + with standards (e.g., ISO 27001), and testing procedures to ensure the security + of their products, services, or systems. It demonstrates their commitment to + maintaining a secure environment and provides evidence of compliance and security + practices. + + + + + ' + annotation: A.5.19 + translations: + fr: + name: "Plan d'Assurance S\xE9curit\xE9 (PAS)" + description: "Document fourni par les fournisseurs d\xE9crivant les mesures\ + \ de s\xE9curit\xE9, la conformit\xE9 aux normes (ex. : ISO 27001) et les\ + \ proc\xE9dures de test mises en \u0153uvre pour garantir la s\xE9curit\xE9\ + \ de leurs produits, services ou syst\xE8mes. Il d\xE9montre leur engagement\ + \ \xE0 maintenir un environnement s\xE9curis\xE9 et fournit des preuves\ + \ de conformit\xE9 et de bonnes pratiques de s\xE9curit\xE9." + - urn: urn:intuitem:risk:function:doc-pol:doc.is_map + ref_id: DOC.IS_MAP + name: Information System Mapping + category: process + csf_function: identify + description: A visual representation of an organization's information system components + and their interactions to enhance management and security. + annotation: A.5.9 + translations: + fr: + name: Cartographie du SI + description: "Repr\xE9sentation visuelle des composants d\u2019un syst\xE8\ + me d\u2019information et de leurs interactions pour am\xE9liorer la gestion\ + \ et la s\xE9curit\xE9." + - urn: urn:intuitem:risk:function:doc-pol:doc.pam_register + ref_id: DOC.PAM_REGISTER + name: Register of privileged access accounts + category: process + csf_function: identify + annotation: A.5.18 + translations: + fr: + name: "Registre des acc\xE8s \xE0 privil\xE8ges" + description: null + - urn: urn:intuitem:risk:function:doc-pol:doc.incident_register + ref_id: DOC.INCIDENT_REGiSTER + name: Security Incident Register + category: process + csf_function: respond + annotation: A.5.34 + translations: + fr: + name: "Registre des incidents de s\xE9curit\xE9" + description: null + - urn: urn:intuitem:risk:function:doc-pol:doc.flow_matrix + ref_id: DOC.FLOW_MATRIX + name: Flow Matrix + category: process + csf_function: identify + description: A document mapping authorized data flows between systems, applications, + or network zones to ensure secure and compliant communication. + annotation: A.5.20 + translations: + fr: + name: Matrice de flux + description: "Document cartographiant les flux de donn\xE9es autoris\xE9s\ + \ entre syst\xE8mes, applications ou zones r\xE9seau pour garantir des communications\ + \ s\xE9curis\xE9es et conformes." + - urn: urn:intuitem:risk:function:doc-pol:doc.arc_principles + ref_id: DOC.ARC_PRINCIPLES + name: Security Architecture Principles + category: process + csf_function: protect + annotation: A.8.27 + translations: + fr: + name: "Principes d'architecture s\xE9curit\xE9" + description: null + - urn: urn:intuitem:risk:function:doc-pol:proc.pam + ref_id: PROC.PAM + name: Privileged Access Management Procedure + category: procedure + csf_function: protect + description: A document outlining the processes and controls for managing and + securing privileged accounts, ensuring only authorized users have access to + critical systems and data, with measures like monitoring, auditing, and time-limited + access to minimize risks. + annotation: 'A.5.18 + + A.8.2' + translations: + fr: + name: "Proc\xE9dure de gestion des acc\xE8s \xE0 privil\xE8ges" + description: "Document d\xE9crivant les processus et contr\xF4les pour g\xE9\ + rer et s\xE9curiser les comptes \xE0 privil\xE8ges, en s'assurant que seuls\ + \ les utilisateurs autoris\xE9s ont acc\xE8s aux syst\xE8mes et donn\xE9\ + es critiques. Elle inclut des mesures telles que la surveillance, l'audit,\ + \ et l'acc\xE8s limit\xE9 dans le temps pour r\xE9duire les risques." + - urn: urn:intuitem:risk:function:doc-pol:proc.recertification + ref_id: PROC.RECERTIFICATION + name: Account recertification procedure + category: procedure + csf_function: govern + description: A document that defines the process for regularly reviewing and validating + user access rights, system certifications, or compliance with standards. It + ensures that only authorized users and systems retain access or certification, + and it helps identify and revoke outdated or unnecessary permissions. + annotation: A.5.22 + translations: + fr: + name: "Proc\xE9dure de recertification des acc\xE8s" + description: "\nDocument d\xE9crivant le processus de r\xE9vision et de validation\ + \ r\xE9guli\xE8res des droits d'acc\xE8s des utilisateurs, des certifications\ + \ des syst\xE8mes ou de la conformit\xE9 aux normes. Il garantit que seuls\ + \ les utilisateurs et syst\xE8mes autoris\xE9s conservent leurs acc\xE8\ + s ou certifications, et aide \xE0 identifier et r\xE9voquer les autorisations\ + \ obsol\xE8tes ou inutiles." + - urn: urn:intuitem:risk:function:doc-pol:proc.hr_security + ref_id: PROC.HR_SECURITY + name: HR Security Procedure + category: procedure + csf_function: govern + description: "A document that outlines processes and controls related to managing\ + \ human resources within an organization, ensuring compliance with legal, regulatory,\ + \ and security standards. It includes recruitment, onboarding, role changes,\ + \ training, and termination procedures to safeguard the organization\u2019s\ + \ information and assets." + annotation: 'A.5.7 + + A.5.8 + + A.5.30 + + A.5.18' + translations: + fr: + name: "Proc\xE9dure de s\xE9curit\xE9 RH" + description: "Document d\xE9crivant les processus et contr\xF4les li\xE9s\ + \ \xE0 la gestion des ressources humaines au sein d'une organisation, en\ + \ garantissant la conformit\xE9 aux normes l\xE9gales, r\xE9glementaires\ + \ et de s\xE9curit\xE9. Il inclut les proc\xE9dures de recrutement, d'int\xE9\ + gration, de changement de r\xF4le, de formation et de d\xE9part afin de\ + \ prot\xE9ger les informations et les actifs de l'organisation." + - urn: urn:intuitem:risk:function:doc-pol:proc.physical_security + ref_id: PROC.PHYSICAL_SECURITY + name: Physical Security Procedure + category: procedure + csf_function: govern + description: 'Access Control: Procedures for granting, revoking, and monitoring + physical access to secure areas. + + Asset Protection: Guidelines for safeguarding critical assets (e.g., servers, + storage devices). + + Surveillance: Use of cameras, alarms, and monitoring systems to detect and prevent + breaches. + + Visitor Management: Policies for registering and escorting visitors in secure + areas. + + Incident Response: Steps to address physical security breaches or emergencies.' + annotation: 'A.5.14 + + A.5.20 + + A.5.21' + translations: + fr: + name: "Proc\xE9dure de s\xE9curit\xE9 physique" + description: "Contr\xF4le des acc\xE8s : Proc\xE9dures pour accorder, r\xE9\ + voquer et surveiller l'acc\xE8s physique aux zones s\xE9curis\xE9es.\nProtection\ + \ des actifs : Lignes directrices pour prot\xE9ger les actifs critiques\ + \ (ex. : serveurs, dispositifs de stockage).\nSurveillance : Utilisation\ + \ de cam\xE9ras, d'alarmes et de syst\xE8mes de monitoring pour d\xE9tecter\ + \ et pr\xE9venir les violations.\nGestion des visiteurs : Politiques pour\ + \ l'enregistrement et l'accompagnement des visiteurs dans les zones s\xE9\ + curis\xE9es.\nR\xE9ponse aux incidents : \xC9tapes pour traiter les violations\ + \ de s\xE9curit\xE9 physique ou les situations d'urgence." + - urn: urn:intuitem:risk:function:doc-pol:proc.gpo + ref_id: PROC.GPO + name: Group Policy Objects Procedure + category: procedure + csf_function: protect + description: defines how to create, configure, and manage GPOs to enforce security + settings, system configurations, and user policies across a Windows environment. + It ensures consistent implementation of organizational policies for secure and + compliant IT operations. + annotation: A.5.23 + translations: + fr: + name: "Proc\xE9dure GPO" + description: "D\xE9finit comment cr\xE9er, configurer et g\xE9rer les GPO\ + \ pour appliquer les param\xE8tres de s\xE9curit\xE9, les configurations\ + \ syst\xE8me et les politiques utilisateur dans un environnement Windows.\ + \ Cela garantit une mise en \u0153uvre coh\xE9rente des politiques organisationnelles\ + \ pour des op\xE9rations informatiques s\xE9curis\xE9es et conformes." + - urn: urn:intuitem:risk:function:doc-pol:proc.update + ref_id: PROC.UPDATE + name: Update management procedure + category: procedure + csf_function: protect + description: 'Roles and Responsibilities + + Update Classification + + Update Planning + + Testing and Validation + + Deployment Process + + Monitoring and Verification + + Documentation and Reporting' + annotation: A.8.8 + translations: + fr: + name: "Proc\xE9dure de gestion des mises \xE0 jour" + description: "R\xF4les et responsabilit\xE9s\nClassification des mises \xE0\ + \ jour\nPlanification des mises \xE0 jour\nTests et validation\nProcessus\ + \ de d\xE9ploiement\nSuivi et v\xE9rification\nDocumentation et rapports" + - urn: urn:intuitem:risk:function:doc-pol:proc.incident + ref_id: PROC.INCIDENT + name: Incident Management Procedure + category: procedure + csf_function: protect + description: Practical implementation of the incident management policy + annotation: 'A.5.24 + + A.5.25 + + A.5.26 + + A.5.27 + + A.5.28' + translations: + fr: + name: "Proc\xE9dure de gestion des incidents" + description: "Impl\xE9mentation pratique de la politique de gestion des incidents" + - urn: urn:intuitem:risk:function:doc-pol:proc.disposal + ref_id: PROC.DISPOSAL + name: Secure Disposal Procedure + category: procedure + csf_function: protect + description: 'Roles and Responsibilities + + Asset Identification for Disposal + + Secure Disposal Methods + + Data Sanitization + + Compliance with Legal and Regulatory Requirements + + Documentation and Record Keeping + + Verification and Audit' + annotation: A.7.14 + translations: + fr: + name: "Proc\xE9dure de gestion de la mise au rebut" + description: "R\xF4les et responsabilit\xE9s\nIdentification des actifs \xE0\ + \ mettre au rebut\nM\xE9thodes de mise au rebut s\xE9curis\xE9e\nEffacement\ + \ des donn\xE9es\nConformit\xE9 aux exigences l\xE9gales et r\xE9glementaires\n\ + Documentation et tenue des registres\nV\xE9rification et audit" + - urn: urn:intuitem:risk:function:doc-pol:proc.ntp + ref_id: PROC.NTP + name: Time Synchronization Procedure + category: procedure + csf_function: protect + description: ' + + Time Source: Use reliable external sources (e.g., NTP servers). + + Configuration: Define synchronization intervals and fallback mechanisms. + + Monitoring: Regularly verify time synchronization status.' + annotation: A.8.17 + translations: + fr: + name: "Proc\xE9dure de synchronisation des horloges" + description: "Source temporelle : Utiliser des sources fiables (ex. : serveurs\ + \ NTP).\nConfiguration : D\xE9finir les intervalles de synchronisation et\ + \ les m\xE9canismes de secours.\nSurveillance : V\xE9rifier r\xE9guli\xE8\ + rement l\u2019\xE9tat de la synchronisation temporelle." + - urn: urn:intuitem:risk:function:doc-pol:proc.email_security + ref_id: PROC.EMAIL_SECURITY + name: Email Security Configuration Procedure + category: procedure + csf_function: protect + description: 'Email Server Configuration + + Domain-Based Email Protection + + Anti-Malware and Anti-Spam Controls + + Encryption and Secure Communication + + Access Control and Monitoring + + Backup and Recovery + + User Awareness and Training' + annotation: A.8.21 + translations: + fr: + name: "Proc\xE9dure de s\xE9curisation des emails" + description: "Configuration du serveur de messagerie\nProtection des emails\ + \ bas\xE9e sur le domaine\nContr\xF4les anti-malware et anti-spam\nChiffrement\ + \ et communication s\xE9curis\xE9e\nContr\xF4le d\u2019acc\xE8s et surveillance\n\ + Sauvegarde et r\xE9cup\xE9ration\nSensibilisation et formation des utilisateurs" + - urn: urn:intuitem:risk:function:doc-pol:proc.logging + ref_id: PROC.LOGGING + name: Logging procedure + category: procedure + csf_function: detect + description: 'Log collection and categorization + + Secure storage and retention policies + + Analysis for anomaly detection and incident response' + annotation: A.8.15 + translations: + fr: + name: "Proc\xE9dure de gestion de la journalisation" + description: "Collecte et cat\xE9gorisation des journaux\nStockage s\xE9curis\xE9\ + \ et politiques de r\xE9tention\nAnalyse pour la d\xE9tection d'anomalies\ + \ et la r\xE9ponse aux incidents" - urn: urn:intuitem:risk:function:doc-pol:pol.main ref_id: POL.MAIN name: Main policy category: policy + csf_function: govern description: 'information security objectives commitment @@ -377,6 +755,7 @@ objects: ref_id: POL.EDUC name: Information security awareness and traning policy category: policy + csf_function: govern description: 'implications of not respecting Security event reporting @@ -397,6 +776,7 @@ objects: ref_id: POL.WORK name: Workstations and teleworking policy category: policy + csf_function: govern description: 'Workstations Mobile devices @@ -424,6 +804,7 @@ objects: ref_id: POL.CRYPTO name: Cryptographic policy category: policy + csf_function: govern description: 'Key management Encryption @@ -438,6 +819,7 @@ objects: ref_id: POL.CLASSIF name: Information classification and handling policy category: policy + csf_function: govern description: 'classification protection and handling of information @@ -475,6 +857,7 @@ objects: ref_id: POL.AUDIT name: Internal and external audit policy category: policy + csf_function: govern description: Protection of audit information annotation: A.8.34 translations: @@ -485,6 +868,7 @@ objects: ref_id: POL.BCP name: Business continuity policy category: policy + csf_function: govern translations: fr: name: "Politique de continuit\xE9 d\u2019activit\xE9" @@ -493,6 +877,8 @@ objects: ref_id: POL.SEG_DUTY name: Segregation of duties policy category: policy + csf_function: govern + annotation: A.5.3 translations: fr: name: "Politique sur la s\xE9paration des t\xE2ches" @@ -501,6 +887,7 @@ objects: ref_id: POL.ACCESS name: Access control policy category: policy + csf_function: govern description: 'Identification authentication @@ -538,6 +925,7 @@ objects: ref_id: POL.MALWARE name: Malware protection policy category: policy + csf_function: govern description: 'antivirus EDR' @@ -551,6 +939,7 @@ objects: ref_id: POL.RISK name: Risk management policy category: policy + csf_function: govern description: 'Risk management definition Risk appetite @@ -594,6 +983,7 @@ objects: ref_id: POL.ASSET name: Asset management policy category: policy + csf_function: govern translations: fr: name: "Politique de gestion d\u2019actifs" @@ -602,6 +992,7 @@ objects: ref_id: POL.BACKUP name: Backup and restore policy category: policy + csf_function: govern translations: fr: name: Politique de sauvegarde et de restauration @@ -610,6 +1001,7 @@ objects: ref_id: POL.SUPPLIER name: Third party supplier security policy category: policy + csf_function: govern annotation: A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 translations: fr: @@ -619,6 +1011,7 @@ objects: ref_id: POL.MONITOR name: Logging and monitoring policy category: policy + csf_function: govern description: Logging annotation: A.8.15 translations: @@ -629,6 +1022,7 @@ objects: ref_id: POL.TRANSFER name: Information transfer policy category: policy + csf_function: govern annotation: A.5.14 translations: fr: @@ -638,6 +1032,7 @@ objects: ref_id: POL.SECDEV name: Secure development policy category: policy + csf_function: govern translations: fr: name: "Politique de d\xE9veloppement s\xE9curis\xE9" @@ -646,6 +1041,7 @@ objects: ref_id: POL.PHYSICAL name: Physical security policy category: policy + csf_function: govern description: 'Physical security perimeter Secure areas @@ -671,6 +1067,7 @@ objects: ref_id: POL.NETWORK name: Network security management policy category: policy + csf_function: govern translations: fr: name: "Politique de gestion de la s\xE9curit\xE9 du r\xE9seau" @@ -679,23 +1076,42 @@ objects: ref_id: POL.ACCEPT name: Acceptable use policy category: policy + csf_function: govern + description: 'Objective: To define the permitted and prohibited uses of resources. + + Scope: All IS users. + + Rules: Permitted and prohibited activities, safety obligations. + + Confidentiality: Protection of sensitive data. + + Compliance: Monitoring, penalties for non-compliance.' annotation: A.5.10 translations: fr: name: "Politique d\u2019utilisation acceptable" - description: null + description: "Objectif : D\xE9finir les usages autoris\xE9s et interdits des\ + \ ressources.\nPort\xE9e : Tous les utilisateurs du SI.\nR\xE8gles : Activit\xE9\ + s permises et proscrites, obligations de s\xE9curit\xE9.\nConfidentialit\xE9\ + \ : Protection des donn\xE9es sensibles.\nConformit\xE9 : Surveillance,\ + \ sanctions en cas de non-respect." - urn: urn:intuitem:risk:function:doc-pol:pol.project ref_id: POL.PROJECT name: IS project integration policy category: policy + csf_function: govern + description: Rules for the integration of security in IS projects + annotation: A.5.8 translations: fr: name: "Politique d\u2019int\xE9gration de projets SI" - description: null + description: "R\xE8gles d'int\xE9gration de la s\xE9curit\xE9 dans les projets\ + \ SI" - urn: urn:intuitem:risk:function:doc-pol:pol.threat_intel ref_id: POL.THREAT_INTEL name: Threat intelligence policy category: policy + csf_function: govern description: 'Known Exploited Vulnerabilities Threat actors activity @@ -711,27 +1127,697 @@ objects: ref_id: POL.INCIDENT name: IS incident management policy category: policy - description: 'Security incident management + csf_function: govern + description: 'Incident Classification + + Incident Reporting + + Incident Response Process + + Root Cause Analysis and Lessons Learned + + Documentation and Communication - Vulnerability management' - annotation: A.5.24, A.5.25, A.5.26, A.5.27 + Roles and Responsibilities + + Review and Updates' + annotation: 'A.5.24 + + A.5.25 + + A.5.26 + + A.5.27 + + A.5.28' translations: fr: name: Politique de gestion des incidents du SI - description: "Gestion des incidents de s\xE9curit\xE9\nGestion des vuln\xE9\ - rabilit\xE9s" + description: "Classification des incidents\nSignalement des incidents\nProcessus\ + \ de r\xE9ponse aux incidents\nAnalyse des causes et retours d'exp\xE9rience\n\ + Documentation et communication\nR\xF4les et responsabilit\xE9s\nRevue et\ + \ mises \xE0 jour" - urn: urn:intuitem:risk:function:doc-pol:pol.maintenance ref_id: POL.MAINTENANCE name: Maintenance policy category: policy + csf_function: govern description: 'Obsolescence management Maintenance contracts Change management' - annotation: A.7.13 + annotation: 'A.7.13 + + A.8.32' translations: fr: name: Politique de maintenance description: "Gestion de l\u2019obsolescence\nContrats de maintenance\nGestion\ \ du changement" + - urn: urn:intuitem:risk:function:doc-pol:pol.vulnerability + ref_id: POL.VULNERABILITY + name: Vulnerability management policy + category: policy + csf_function: govern + description: 'Vulnerability detection and management + + Patch management' + annotation: 'A.8.8 + + A.5.35' + translations: + fr: + name: "Politique de gestion des vuln\xE9rabilit\xE9s" + description: "D\xE9tection et gestion des vuln\xE9rabilit\xE9s\nGestion des\ + \ mises \xE0 jour" + - urn: urn:intuitem:risk:function:doc-pol:train.legal + ref_id: TRAIN.LEGAL + name: Legal and regulatory training + category: process + csf_function: govern + description: 'Objective: Ensure awareness of legal and regulatory compliance. + + Audience: All employees; tailored for specific roles. + + Topics: Key laws (e.g., GDPR), data handling, non-compliance risks. + + Methods: E-learning, workshops, case studies. + + Assessment: Quizzes and scenario-based tests.' + annotation: '7.2 + + 7.3' + translations: + fr: + name: "Formation conformit\xE9 l\xE9gal et r\xE9glementaire" + description: "Objectif : Assurer une sensibilisation aux obligations l\xE9\ + gales et r\xE9glementaires.\nPublic : Tous les employ\xE9s, avec des contenus\ + \ adapt\xE9s aux r\xF4les sp\xE9cifiques.\nSujets : Lois cl\xE9s (ex. :\ + \ RGPD), gestion des donn\xE9es, risques de non-conformit\xE9.\nM\xE9thodes\ + \ : E-learning, ateliers, \xE9tudes de cas.\n\xC9valuation : Quiz et tests\ + \ bas\xE9s sur des sc\xE9narios." + - urn: urn:intuitem:risk:function:doc-pol:train.threat + ref_id: TRAIN.THREAT + name: Threat landscape training + category: process + csf_function: govern + description: 'Objective: Understand current cyber threats and mitigation strategies. + + Audience: IT staff, security teams, and decision-makers. + + Topics: Emerging threats, attack techniques, defense mechanisms. + + Methods: Presentations, case studies, scenario-based discussions. + + Outcome: Improved awareness and readiness to address evolving threats.' + annotation: '7.2 + + 7.3' + translations: + fr: + name: "Formation sur l'\xE9tat de la menace" + description: "Objectif : Comprendre les menaces cyber actuelles et les strat\xE9\ + gies d\u2019att\xE9nuation.\nPublic : \xC9quipes IT, \xE9quipes de s\xE9\ + curit\xE9, et d\xE9cideurs.\nSujets : Menaces \xE9mergentes, techniques\ + \ d'attaque, m\xE9canismes de d\xE9fense.\nM\xE9thodes : Pr\xE9sentations,\ + \ \xE9tudes de cas, discussions bas\xE9es sur des sc\xE9narios.\nR\xE9sultat\ + \ : Sensibilisation accrue et meilleure pr\xE9paration face aux menaces\ + \ \xE9volutives." + - urn: urn:intuitem:risk:function:doc-pol:train.iam + ref_id: TRAIN.IAM + name: IAM (Identity and Access Management) training + category: process + csf_function: govern + description: 'Objective: Understand and master identity and access management. + + Audience: IT administrators, security teams, access managers. + + Topics: + + - Key concepts (identity, authentication, authorization, RBAC/ABAC models). + + - IAM best practices (rights management, provisioning, audits). + + - Standards and tools (SAML, OAuth, Active Directory, etc.). + + Methods: Practical workshops, use cases, demonstrations. + + Outcome: Enhanced skills to secure and efficiently manage access.' + annotation: '7.2' + translations: + fr: + name: "Formation IAM (Gestion des Identit\xE9s et des Acc\xE8s)" + description: "Objectif : Comprendre et ma\xEEtriser la gestion des identit\xE9\ + s et des acc\xE8s.\nPublic : Administrateurs IT, \xE9quipes de s\xE9curit\xE9\ + , responsables d\u2019acc\xE8s.\nSujets :\nConcepts cl\xE9s (identit\xE9\ + , authentification, autorisation, mod\xE8les RBAC/ABAC).\nBonnes pratiques\ + \ IAM (gestion des droits, provisionnement, audits).\nNormes et outils (SAML,\ + \ OAuth, Active Directory, etc.).\nM\xE9thodes : Ateliers pratiques, cas\ + \ d\u2019usage, d\xE9monstrations.\nR\xE9sultat : Capacit\xE9s renforc\xE9\ + es pour s\xE9curiser et g\xE9rer les acc\xE8s efficacement." + - urn: urn:intuitem:risk:function:doc-pol:train.network_security + ref_id: TRAIN.NETWORK_SECURITY + name: Network security training + category: process + csf_function: govern + description: 'Objective: Teach best practices for securing network infrastructures + and preventing cyber threats. + + Audience: IT administrators, network engineers, security professionals. + + Topics: + + - Network segregation principles. + + - Firewall configuration and monitoring. + + - Intrusion detection/prevention systems (IDS/IPS/NDR). + + - Network segmentation and access control. + + - Secure protocols (e.g., HTTPS, VPN, SSH). + + - Threat mitigation (e.g., DDoS, malware). + + Methods: Interactive labs, simulations, and hands-on exercises. + + Outcome: Enhanced ability to protect and monitor network environments.' + annotation: '7.2' + translations: + fr: + name: "Formation s\xE9curit\xE9 r\xE9seau" + description: "Objectif : Enseigner les meilleures pratiques pour s\xE9curiser\ + \ les infrastructures r\xE9seau et pr\xE9venir les cybermenaces.\nPublic\ + \ : Administrateurs IT, ing\xE9nieurs r\xE9seau, professionnels de la s\xE9\ + curit\xE9.\nSujets :\n\nPrincipes de cloisonnement r\xE9seau.\nConfiguration\ + \ et surveillance des pare-feu.\nSyst\xE8mes de d\xE9tection/pr\xE9vention\ + \ d'intrusion (IDS/IPS/NDR).\nSegmentation r\xE9seau et contr\xF4le des\ + \ acc\xE8s.\nProtocoles s\xE9curis\xE9s (ex. : HTTPS, VPN, SSH).\nAtt\xE9\ + nuation des menaces (ex. : DDoS, malwares).\nM\xE9thodes : Laboratoires\ + \ interactifs, simulations et exercices pratiques.\nR\xE9sultat : Capacit\xE9\ + s renforc\xE9es pour prot\xE9ger et surveiller les environnements r\xE9\ + seau." + - urn: urn:intuitem:risk:function:doc-pol:train.mcs + ref_id: TRAIN.MCS + category: process + csf_function: govern + description: 'Objective: Build expertise in maintaining secure IT systems through + monitoring, patching, compliance, and incident response. + + Audience: IT security professionals, system administrators, compliance officers, + and incident response teams. + + Topics: + + - Principles of maintaining security and its importance in cybersecurity. + + - Security monitoring tools and techniques (e.g., SIEM, IDS). + + - Patch management and secure system configurations. + + - Incident detection, response planning, and execution. + + - Compliance with security policies and regulatory standards. + + Methods: Practical labs, simulated scenarios, and case studies on maintaining + security conditions. + + Outcome: Enhanced capability to continuously secure IT environments, mitigate + risks, and ensure compliance.' + annotation: 'A.7.13 + + A.8.32' + translations: + fr: + name: "Formation Maintien en Condition de S\xE9curit\xE9 (MCS)" + description: "Objectif : D\xE9velopper une expertise dans le maintien en condition\ + \ de s\xE9curit\xE9 (MCS)\nPublic : Professionnels de la s\xE9curit\xE9\ + \ IT, administrateurs syst\xE8mes, responsables conformit\xE9 et \xE9quipes\ + \ de r\xE9ponse aux incidents.\nSujets :\n- Principes du MCS et son importance\ + \ en cybers\xE9curit\xE9.\n- Outils et techniques de surveillance de la\ + \ s\xE9curit\xE9 (ex. : SIEM, IDS).\n- Gestion des correctifs et configurations\ + \ s\xE9curis\xE9es des syst\xE8mes.\n- D\xE9tection des incidents, planification\ + \ et ex\xE9cution des r\xE9ponses.\n- Conformit\xE9 aux politiques de s\xE9\ + curit\xE9 et aux r\xE9glementations.\nM\xE9thodes : Exercices pratiques,\ + \ sc\xE9narios simul\xE9s et \xE9tudes de cas sur le maintien des conditions\ + \ de s\xE9curit\xE9.\nR\xE9sultat attendu : Capacit\xE9 renforc\xE9e \xE0\ + \ s\xE9curiser en continu les environnements IT, \xE0 att\xE9nuer les risques\ + \ et \xE0 garantir la conformit\xE9." + - urn: urn:intuitem:risk:function:doc-pol:train.logging + ref_id: TRAIN.LOGGING + name: Logging and Monitoring Training + category: process + csf_function: govern + description: "1. Objective: Teach effective logging practices and monitoring techniques\ + \ to enhance security and incident response. \n2. Audience: IT administrators,\ + \ security teams, and SOC analysts. \n3. Topics: \n - Importance of logging\ + \ and compliance requirements. \n - Configuring and managing log sources\ + \ (e.g., servers, firewalls, applications). \n - Centralized logging systems\ + \ (e.g., SIEM, ELK stack). \n - Detecting anomalies and analyzing logs. \ + \ \n - Incident response based on log insights. \n4. Methods: Hands-on labs,\ + \ real-world scenarios, and log analysis exercises. \n5. Outcome: Improved\ + \ ability to collect, analyze, and act on log data to prevent and respond to\ + \ incidents. " + annotation: '7.2 + + 7.12 + + 7.13 + + 7.14 + + A.5.12 + + A.5.13 + + A.5.14 + + A.5.15' + translations: + fr: + name: Formation sur la Journalisation et la Surveillance + description: "Objectif : Enseigner les pratiques efficaces de journalisation\ + \ et les techniques de surveillance pour renforcer la s\xE9curit\xE9 et\ + \ la r\xE9ponse aux incidents.\nPublic : Administrateurs IT, \xE9quipes\ + \ de s\xE9curit\xE9, analystes SOC.\nSujets :\nImportance de la journalisation\ + \ et exigences de conformit\xE9.\nConfiguration et gestion des sources de\ + \ journaux (ex. : serveurs, pare-feu, applications).\nSyst\xE8mes de journalisation\ + \ centralis\xE9e (ex. : SIEM, ELK stack).\nD\xE9tection d'anomalies et analyse\ + \ des journaux.\nR\xE9ponse aux incidents bas\xE9e sur les informations\ + \ des journaux.\nM\xE9thodes : Ateliers pratiques, sc\xE9narios r\xE9els\ + \ et exercices d'analyse des journaux.\nR\xE9sultat : Capacit\xE9 renforc\xE9\ + e \xE0 collecter, analyser et exploiter les donn\xE9es de journaux pour\ + \ pr\xE9venir et g\xE9rer les incidents." + - urn: urn:intuitem:risk:function:doc-pol:train.hardening + ref_id: TRAIN.HARDENING + name: Hardening and Secure Configuration Training + category: process + csf_function: govern + description: 'Objective: Equip participants with the knowledge to implement secure + configurations and harden systems to reduce vulnerabilities. + + Audience: IT administrators, system engineers, security professionals. + + Topics: + + - Principles of system hardening. + + - Hardening operating systems (Windows, Linux). + + - Securing databases (e.g., MySQL, PostgreSQL). + + - Network device hardening (firewalls, routers, switches). + + - Applying CIS Benchmarks and ANSSI guidelines. + + - Tools for automation (e.g., Ansible, Puppet, Chef). + + Methods: + + - Hands-on labs for OS and application hardening. + + - Case studies on hardening failures and solutions. + + Outcome: Participants will gain the ability to implement secure configurations + and improve overall system resilience.' + annotation: '7.2 + + A.5.23 + + A.5.12 + + A.5.16 + + A.5.35' + translations: + fr: + name: "Formation sur le Durcissement des Syst\xE8mes" + description: "Objectif : Former les participants \xE0 appliquer des configurations\ + \ s\xE9curis\xE9es et \xE0 durcir les syst\xE8mes pour r\xE9duire les vuln\xE9\ + rabilit\xE9s.\nPublic : Administrateurs IT, ing\xE9nieurs syst\xE8mes, professionnels\ + \ de la s\xE9curit\xE9.\nSujets :\n- Principes fondamentaux du durcissement\ + \ des syst\xE8mes.\n- Durcissement des syst\xE8mes d\u2019exploitation (Windows,\ + \ Linux).\n- S\xE9curisation des bases de donn\xE9es (ex. : MySQL, PostgreSQL).\n\ + - Durcissement des \xE9quipements r\xE9seau (pare-feu, routeurs, switchs).\n\ + - Application des benchmarks CIS et recommandations ANSSI.\n- Automatisation\ + \ des configurations (ex. : Ansible, Puppet, Chef).\nM\xE9thodes :\n- Ateliers\ + \ pratiques pour le durcissement des syst\xE8mes et applications.\n- \xC9\ + tudes de cas sur les \xE9checs de durcissement et leurs solutions.\nR\xE9\ + sultat : Les participants ma\xEEtriseront la mise en \u0153uvre de configurations\ + \ s\xE9curis\xE9es et l'am\xE9lioration de la r\xE9silience des syst\xE8\ + mes." + - urn: urn:intuitem:risk:function:doc-pol:tech.nac + ref_id: TECH.NAC + name: Network Access Control (802.1X) + category: technical + csf_function: protect + description: A capacity that enforces authentication and authorization of devices + or users before granting network access. It ensures secure access to wired and + wireless networks by leveraging protocols like 82.1X and RADIUS to validate + credentials and apply access policies. + annotation: A.5.20 + translations: + fr: + name: "Contr\xF4le d'Acc\xE8s R\xE9seau (802.1X)" + description: "Une capacit\xE9 permettant d'assurer l'authentification et l'autorisation\ + \ des appareils ou des utilisateurs avant de leur accorder l'acc\xE8s au\ + \ r\xE9seau. Elle garantit un acc\xE8s s\xE9curis\xE9 aux r\xE9seaux filaires\ + \ et sans fil en utilisant des protocoles comme 802.1X et RADIUS pour valider\ + \ les identifiants et appliquer les politiques d'acc\xE8s." + - urn: urn:intuitem:risk:function:doc-pol:tech.access_log + ref_id: TECH.ACCESS_LOG + name: Access Logging + category: technical + csf_function: detect + annotation: 'A.5.12 + + A.5.15' + translations: + fr: + name: "Journalisation des acc\xE8s" + description: null + - urn: urn:intuitem:risk:function:doc-pol:tech.edr + ref_id: TECH.EDR + name: Event Detection and Response (EDR) Capacity + category: technical + csf_function: detect + annotation: 'A.5.12 + + A.5.15' + translations: + fr: + name: "Capacit\xE9 de d\xE9tection et de traitement des \xE9v\xE9nements (EDR)" + description: null + - urn: urn:intuitem:risk:function:doc-pol:tech.password_manager + ref_id: TECH.PASSWORD_MANAGER + name: Password Management Capacity + category: technical + csf_function: protect + description: A capacity that enables secure creation, storage, management, and + usage of passwords for systems, applications, and accounts. It reduces the risk + of unauthorized access by enforcing strong password policies and ensuring secure + handling of credentials. + annotation: A.5.18 + translations: + fr: + name: "Syst\xE8me de gestion des mots de passe" + description: "Capacit\xE9 permettant la cr\xE9ation, le stockage, la gestion\ + \ et l'utilisation s\xE9curis\xE9s des mots de passe pour les syst\xE8mes,\ + \ les applications et les comptes. Elle r\xE9duit le risque d'acc\xE8s non\ + \ autoris\xE9 en appliquant des politiques de mots de passe robustes et\ + \ en garantissant une gestion s\xE9curis\xE9e des identifiants." + - urn: urn:intuitem:risk:function:doc-pol:tech.uem + ref_id: TECH.UEM + name: Unified Endpoint Management Capacity + category: technical + csf_function: protect + description: A capacity that provides centralized control and management of all + endpoints, including desktops, laptops, mobile devices, and IoT devices, through + a single platform. It ensures secure configuration, policy enforcement, application + management, and monitoring across an organization's endpoint ecosystem. + annotation: A.5.23 + translations: + fr: + name: "Syst\xE8me unifi\xE9 de gestion des terminaux" + description: "Capacit\xE9 permettant le contr\xF4le et la gestion centralis\xE9\ + s de tous les terminaux, y compris les ordinateurs de bureau, les ordinateurs\ + \ portables, les appareils mobiles et les dispositifs IoT, via une plateforme\ + \ unique. Elle garantit une configuration s\xE9curis\xE9e, l'application\ + \ des politiques, la gestion des applications et la surveillance de l'\xE9\ + cosyst\xE8me des terminaux de l'organisation." + - urn: urn:intuitem:risk:function:doc-pol:tech.endpoint_protection + ref_id: TECH.ENDPOINT_PROTECTION + name: Host antivirus, firewall and USB control + category: technical + csf_function: detect + description: "Integrated solutions for securing endpoints, including antivirus,\ + \ firewall, and USB port control\_" + annotation: A.8.7 + translations: + fr: + name: Antivirus et pare-feu pour poste de travail + description: "Solutions int\xE9gr\xE9es pour s\xE9curiser les terminaux, incluant\ + \ antivirus, pare-feu et gestion des ports USB" + - urn: urn:intuitem:risk:function:doc-pol:tech.disk_encryption + ref_id: TECH.DISK_ENCRYPTION + name: Disk Encryption Capacity + category: technical + csf_function: protect + description: Full-disk encryption for workstations + annotation: A.8.24 + translations: + fr: + name: "Capacit\xE9 de chiffrement de disque" + description: Chiffrement de disque complet pour les postes de travail + - urn: urn:intuitem:risk:function:doc-pol:tech.immutable_backup + ref_id: TECH.IMMUTABLE_BACKUP + name: Immutable backup capacity + category: technical + csf_function: recover + description: A capability that ensures backups cannot be altered, deleted, or + overwritten, protecting data integrity against ransomware and unauthorized access. + annotation: A.5.30 + translations: + fr: + name: "Capacit\xE9 de sauvegarde immuable" + description: "Capacit\xE9 qui garantit que les sauvegardes ne peuvent pas\ + \ \xEAtre modifi\xE9es, supprim\xE9es ou \xE9cras\xE9es, assurant l\u2019\ + int\xE9grit\xE9 des donn\xE9es contre les ransomwares et les acc\xE8s non\ + \ autoris\xE9s." + - urn: urn:intuitem:risk:function:doc-pol:tech.file_encryption + ref_id: TECH.FILE_ENCRYPTION + name: File encryption capacity + category: technical + csf_function: protect + description: File encryption utilities like 7zip + annotation: A.8.24 + translations: + fr: + name: "Capacit\xE9 de chiffrement de fichiers" + description: Utilitaire de chiffrement de fichier comme 7zip. + - urn: urn:intuitem:risk:function:doc-pol:tech.cmdb + ref_id: TECH.CMDB + name: Configuration Management DataBase (CMDB) + category: technical + csf_function: identify + description: A centralized repository that stores and manages information about + IT assets, their configurations, and relationships to support effective IT management. + annotation: A.5.23 + translations: + fr: + name: "Base de donn\xE9es de gestion des configurations (CMDB)" + description: "R\xE9f\xE9rentiel centralis\xE9 qui stocke et g\xE8re les informations\ + \ sur les actifs IT, leurs configurations et leurs relations pour une gestion\ + \ IT efficace." + - urn: urn:intuitem:risk:function:doc-pol:tech.siem + ref_id: TECH.SIEM + name: Security Information and Event Management (SIEM) + category: technical + csf_function: detect + description: 'A system that collects, analyzes, and correlates security data from + multiple sources to detect and respond to threats. + + ' + annotation: A.5.12 + translations: + fr: + name: "Gestion des informations et des \xE9v\xE9nements de s\xE9curit\xE9\ + \ (SIEM) " + description: "Syst\xE8me qui collecte, analyse et corr\xE8le les donn\xE9\ + es de s\xE9curit\xE9 provenant de multiples sources pour d\xE9tecter et\ + \ r\xE9pondre aux menaces." + - urn: urn:intuitem:risk:function:doc-pol:tech.screen_filter + ref_id: TECH.SCREEN_FILTER + name: Screen Filter + category: technical + csf_function: protect + description: A physical or digital filter that limits screen visibility to authorized + users, reducing the risk of visual data breaches. + annotation: A.7.9 + translations: + fr: + name: "Filtre d'\xE9cran" + description: "Filtre physique ou num\xE9rique qui limite la visibilit\xE9\ + \ de l'\xE9cran aux utilisateurs autoris\xE9s, r\xE9duisant le risque de\ + \ divulgation visuelle de donn\xE9es." + - urn: urn:intuitem:risk:function:doc-pol:tech.network_firewall + ref_id: TECH.NETWORK_FIREWALL + name: Network Firewall + category: technical + csf_function: protect + description: ecurity system that monitors and controls incoming and outgoing network + traffic based on predefined rules. + annotation: A.8.22 + translations: + fr: + name: "Pare-feu r\xE9seau" + description: "Syst\xE8me de s\xE9curit\xE9 qui surveille et contr\xF4le le\ + \ trafic r\xE9seau entrant et sortant selon des r\xE8gles pr\xE9d\xE9finies" + - urn: urn:intuitem:risk:function:doc-pol:tech.mail_gateway + ref_id: TECH.MAIL_GATEWAY + name: Secure Mail Gateway + category: technical + csf_function: protect + description: system that filters, monitors, and protects email communications + against spam, malware, and unauthorized access + annotation: A.5.23 + translations: + fr: + name: "Passerelle mail s\xE9curis\xE9e" + description: "Syst\xE8me qui filtre, surveille et prot\xE8ge les communications\ + \ par email contre le spam, les logiciels malveillants et les acc\xE8s non\ + \ autoris\xE9s." + - urn: urn:intuitem:risk:function:doc-pol:tech.network_antivirus + ref_id: TECH.NETWORK_ANTIVIRUS + name: Network Antivirus + category: technical + csf_function: detect + description: Protects email and web traffic at the network edge against malware + annotation: A.8.7 + translations: + fr: + name: "Antivirus r\xE9seau" + description: "Prot\xE8ge les emails et le trafic web \xE0 la p\xE9riph\xE9\ + rie du r\xE9seau contre les malwares" + - urn: urn:intuitem:risk:function:doc-pol:tech.vlan + ref_id: TECH.VLAN + name: VLAN + category: technical + csf_function: protect + description: VLANs isolate and segment network traffic to enhance security and + optimize performance. + annotation: A.8.22 + translations: + fr: + name: VLAN + description: "Les VLAN isolent et segmentent le trafic r\xE9seau pour renforcer\ + \ la s\xE9curit\xE9 et optimiser les performances." + - urn: urn:intuitem:risk:function:doc-pol:tech.microsegmentation + ref_id: TECH.MICROSEGMENTATION + name: Microsegmentation + category: technical + csf_function: protect + description: Microsegmentation is a security strategy that creates fine-grained, + context-aware policies to isolate individual workloads or applications within + a network, limiting lateral movement and containing breaches. + annotation: A.8.22 + translations: + fr: + name: Micro-segmentation + description: "La microsegmentation est une strat\xE9gie de s\xE9curit\xE9\ + \ qui cr\xE9e des politiques granulaires et contextuelles pour isoler des\ + \ charges de travail ou des applications sp\xE9cifiques dans un r\xE9seau,\ + \ limitant les mouvements lat\xE9raux et contenant les violations" + - urn: urn:intuitem:risk:function:doc-pol:tech.wifi_sec + ref_id: TECH.WIFI_SEC + name: Wi-Fi Security + category: technical + csf_function: protect + description: Wi-Fi security ensures secure wireless communications through WPA3 + Enterprise encryption, robust authentication, and advanced access control mechanisms. + While WPA2 Enterprise remains acceptable, transitioning to WPA3 is strongly + recommended for enhanced security. + annotation: 'A.8.20 + + A.8.24' + translations: + fr: + name: "S\xE9curit\xE9 Wi-Fi" + description: "La s\xE9curit\xE9 Wi-Fi garantit des communications sans fil\ + \ s\xE9curis\xE9es gr\xE2ce au chiffrement WPA3 Enterprise, \xE0 une authentification\ + \ robuste et \xE0 des m\xE9canismes de contr\xF4le d'acc\xE8s avanc\xE9\ + s. Bien que WPA2 Enterprise soit acceptable, il est fortement recommand\xE9\ + \ de passer \xE0 WPA3 pour une s\xE9curit\xE9 renforc\xE9e." + - urn: urn:intuitem:risk:function:doc-pol:tech.reverse_proxy + ref_id: TECH.REVERSE_PROXY + name: Reverse Proxy + category: technical + csf_function: protect + description: A reverse proxy forwards client requests to backend servers, enhancing + security, load balancing, and performance. + annotation: A.8.23 + translations: + fr: + name: Proxy inverse + description: "Un proxy inverse transf\xE8re les requ\xEAtes des clients vers\ + \ les serveurs backend, am\xE9liorant la s\xE9curit\xE9, l'\xE9quilibrage\ + \ de charge et les performances" + - urn: urn:intuitem:risk:function:doc-pol:tech.waf + ref_id: TECH.WAF + name: Web Application Firewall (WAF) + category: technical + csf_function: detect + description: A Web Application Firewall (WAF) protects web applications by filtering + and monitoring HTTP traffic to block malicious activity. + annotation: A.8.23 + translations: + fr: + name: Firewall applicatif web + description: "Un pare-feu pour applications web (WAF) prot\xE8ge les applications\ + \ web en filtrant et surveillant le trafic HTTP pour bloquer les activit\xE9\ + s malveillantes." + - urn: urn:intuitem:risk:function:doc-pol:tech.ids + ref_id: TECH.IDS + name: Intrusion Detection System (IDS) + category: technical + csf_function: detect + description: An Intrusion Detection System (IDS) monitors network traffic to detect + and alert on potential security threats or unauthorized activities + annotation: A.8.20 + translations: + fr: + name: "Syst\xE8me de d\xE9tection d'intrusion (IDS)" + description: "Un syst\xE8me de d\xE9tection d'intrusion (IDS) surveille le\ + \ trafic r\xE9seau pour d\xE9tecter et alerter sur les menaces de s\xE9\ + curit\xE9 potentielles ou les activit\xE9s non autoris\xE9es." + - urn: urn:intuitem:risk:function:doc-pol:tech.web_proxy + ref_id: TECH.WEB_PROXY + name: Web Proxy + category: technical + csf_function: protect + description: A web proxy filters and monitors web traffic, enforces security policies, + and supports user authentication to control and secure internet access + annotation: A.8.23 + translations: + fr: + name: Proxy web + description: "Un proxy web filtre et surveille le trafic web, applique des\ + \ politiques de s\xE9curit\xE9 et prend en charge l'authentification des\ + \ utilisateurs pour contr\xF4ler et s\xE9curiser l'acc\xE8s \xE0 Internet." + - urn: urn:intuitem:risk:function:doc-pol:tech.vpn + ref_id: TECH.VPN + name: VPN + category: technical + csf_function: protect + description: A Virtual Private Network (VPN) secures data transmission by encrypting + traffic using protocols like IPSec, ensuring privacy and protection against + interception." + annotation: 'A.8.20 + + A.8.24' + translations: + fr: + name: VPN + description: "Un r\xE9seau priv\xE9 virtuel (VPN) s\xE9curise la transmission\ + \ des donn\xE9es en chiffrant le trafic gr\xE2ce \xE0 des protocoles comme\ + \ IPSec, garantissant la confidentialit\xE9 et la protection contre les\ + \ interceptions." + - urn: urn:intuitem:risk:function:doc-pol:tech.mfa + ref_id: TECH.MFA + name: Multi-Factor Authentication (MFA) + category: technical + csf_function: protect + description: 'Multi-Factor Authentication (MFA) enhances security by requiring + two verification factors from different categories: something you know (e.g., + a password), something you have (e.g., a token or smartphone), and something + you are (e.g., a fingerprint or facial recognition).' + annotation: A.8.5 + translations: + fr: + name: Authentification Multi-Facteur (MFA) + description: "L'authentification multifacteur (MFA) am\xE9liore la s\xE9curit\xE9\ + \ en exigeant deux facteurs de v\xE9rification issus de cat\xE9gories diff\xE9\ + rentes : ce que vous savez (ex. : un mot de passe), ce que vous poss\xE9\ + dez (ex. : un jeton ou un smartphone) et ce que vous \xEAtes (ex. : une\ + \ empreinte digitale ou une reconnaissance faciale)" diff --git a/backend/library/utils.py b/backend/library/utils.py index 03913c906..075e9a94a 100644 --- a/backend/library/utils.py +++ b/backend/library/utils.py @@ -97,7 +97,6 @@ def import_requirement_node(self, framework_object: Framework): is_published=True, question=self.requirement_data.get("question"), ) - for threat in self.requirement_data.get("threats", []): requirement_node.threats.add( Threat.objects.get(urn=threat.lower()) @@ -637,6 +636,7 @@ def import_objects(self, library_object): threat.import_threat(library_object) for reference_control in self._reference_controls: + print(reference_control) reference_control.import_reference_control(library_object) for risk_matrix in self._risk_matrices: diff --git a/frontend/messages/ar.json b/frontend/messages/ar.json index 1bcdb4f62..02dd1bafa 100644 --- a/frontend/messages/ar.json +++ b/frontend/messages/ar.json @@ -392,6 +392,7 @@ "technical": "تقني", "physical": "مادي", "process": "عملية", + "procedure": "إجراء", "veryLow": "منخفض جدًا", "low": "منخفض", "high": "مرتفع", diff --git a/frontend/messages/cz.json b/frontend/messages/cz.json index 20895bae2..bf0e1bb6a 100644 --- a/frontend/messages/cz.json +++ b/frontend/messages/cz.json @@ -389,6 +389,7 @@ "technical": "Technické", "physical": "Fyzické", "process": "Proces", + "procedure": "postup", "veryLow": "Velmi nízké", "low": "Nízké", "high": "Vysoké", diff --git a/frontend/messages/de.json b/frontend/messages/de.json index 3be9296d1..269002270 100644 --- a/frontend/messages/de.json +++ b/frontend/messages/de.json @@ -391,6 +391,7 @@ "technical": "Technisch", "physical": "Physisch", "process": "Prozess", + "procedure": "Verfahren", "veryLow": "Sehr niedrig", "low": "Niedrig", "high": "Hoch", diff --git a/frontend/messages/en.json b/frontend/messages/en.json index 11b1f8bf3..b1f0d40bc 100644 --- a/frontend/messages/en.json +++ b/frontend/messages/en.json @@ -393,6 +393,7 @@ "technical": "Technical", "physical": "Physical", "process": "Process", + "procedure": "Procedure", "veryLow": "Very low", "low": "Low", "high": "High", diff --git a/frontend/messages/es.json b/frontend/messages/es.json index 6d3af4836..c5804188d 100644 --- a/frontend/messages/es.json +++ b/frontend/messages/es.json @@ -391,6 +391,7 @@ "technical": "Técnico", "physical": "Físico", "process": "Proceso", + "procedure": "Procedimiento", "veryLow": "Muy bajo", "low": "Bajo", "high": "Alto", diff --git a/frontend/messages/fr.json b/frontend/messages/fr.json index a9fed187e..930edd106 100644 --- a/frontend/messages/fr.json +++ b/frontend/messages/fr.json @@ -393,6 +393,7 @@ "technical": "Technique", "physical": "Physique", "process": "Processus", + "procedure": "Procédure", "veryLow": "Très faible", "low": "Faible", "high": "Haut", diff --git a/frontend/messages/hi.json b/frontend/messages/hi.json index 051d2e76c..fda7ffecc 100644 --- a/frontend/messages/hi.json +++ b/frontend/messages/hi.json @@ -391,6 +391,7 @@ "technical": "तकनीकी", "physical": "भौतिक", "process": "प्रक्रिया", + "procedure": "प्रक्रिया", "veryLow": "बहुत कम", "low": "कम", "high": "उच्च", diff --git a/frontend/messages/it.json b/frontend/messages/it.json index 837ab5dea..10b260ee0 100644 --- a/frontend/messages/it.json +++ b/frontend/messages/it.json @@ -391,6 +391,7 @@ "technical": "Tecnico", "physical": "Fisico", "process": "Processo", + "procedure": "Procedura", "veryLow": "Bassissimo", "low": "Basso", "high": "Alto", diff --git a/frontend/messages/nl.json b/frontend/messages/nl.json index fab932bd3..f8efeae7a 100644 --- a/frontend/messages/nl.json +++ b/frontend/messages/nl.json @@ -391,6 +391,7 @@ "technical": "Technisch", "physical": "Fysiek", "process": "Proces", + "procedure": "Procedure", "veryLow": "Zeer laag", "low": "Laag", "high": "Hoog", diff --git a/frontend/messages/pl.json b/frontend/messages/pl.json index 1991efea2..7eff89efe 100644 --- a/frontend/messages/pl.json +++ b/frontend/messages/pl.json @@ -391,6 +391,7 @@ "technical": "Techniczne", "physical": "Fizyczne", "process": "Proces", + "procedure": "Procedura", "veryLow": "Bardzo niskie", "low": "Niskie", "high": "Wysokie", diff --git a/frontend/messages/pt.json b/frontend/messages/pt.json index 4ecdb5a0a..4c4271b0b 100644 --- a/frontend/messages/pt.json +++ b/frontend/messages/pt.json @@ -391,6 +391,7 @@ "technical": "Técnico", "physical": "Físico", "process": "Processo", + "procedure": "Procedimento", "veryLow": "Muito baixo", "low": "Baixo", "high": "Alto", diff --git a/frontend/messages/ro.json b/frontend/messages/ro.json index 09b399431..b451cbb0a 100644 --- a/frontend/messages/ro.json +++ b/frontend/messages/ro.json @@ -391,6 +391,7 @@ "technical": "Tehnic", "physical": "Fizic", "process": "Proces", + "procedure": "Procedură", "veryLow": "Foarte scăzut", "low": "Scăzut", "high": "Ridicat", diff --git a/frontend/messages/sv.json b/frontend/messages/sv.json index aeee7ca16..2493768ff 100644 --- a/frontend/messages/sv.json +++ b/frontend/messages/sv.json @@ -392,6 +392,7 @@ "technical": "Teknisk", "physical": "Fysisk", "process": "Process", + "procedure": "Förfarande", "veryLow": "Mycket låg", "low": "Låg", "high": "Hög", diff --git a/frontend/messages/ur.json b/frontend/messages/ur.json index 0d822959d..e1a5a630d 100644 --- a/frontend/messages/ur.json +++ b/frontend/messages/ur.json @@ -391,6 +391,7 @@ "technical": "تکنیکی", "physical": "جسمانی", "process": "عمل", + "procedure": "طریقہ کار", "veryLow": "بہت کم", "low": "کم", "high": "زیادہ", diff --git a/frontend/tests/utils/test-data.ts b/frontend/tests/utils/test-data.ts index 3af3cf2b4..3462c4d71 100644 --- a/frontend/tests/utils/test-data.ts +++ b/frontend/tests/utils/test-data.ts @@ -252,7 +252,7 @@ export default { category: 'policy', // csf_function: 'govern', library: { - name: 'Documents and policies', + name: 'Usual reference controls', ref: 'doc-pol', urn: 'urn:intuitem:risk:library:doc-pol' }, @@ -263,7 +263,7 @@ export default { category: 'process', // csf_function: 'protect', library: { - name: 'Documents and policies', + name: 'Usual reference controls', ref: 'doc-pol', urn: 'urn:intuitem:risk:library:doc-pol' }, diff --git a/tools/README.md b/tools/README.md index ad3aaf9f4..517eb9f36 100644 --- a/tools/README.md +++ b/tools/README.md @@ -6,6 +6,8 @@ Have a look to the given examples. ## Usage +Usage: python convert_library [--compat] your_library_file.xlsx + To launch it, open a shell in a command line, and type: ```bash @@ -14,6 +16,8 @@ python convert_library.py your_library_file.xlsx This will produce a file name your_library_file.yaml +The compat flag is recommended only to maintain libraries that have been generated prior or up to release 1.9.20. Without the compat flag, URNs generated for nodes without ref_id are constructed using the parent_urn. These generated URNs are much simpler to understand and maintain if required, compared to the previus system using "nodeXXX" suffix. + ## Format of Excel files ``` @@ -57,13 +61,9 @@ Conventions: tab | | implementation_groups tab | | risk_matrix tab | | mappings + tab | | answers - - For libraries: - - library_provider is the entity that provides the reference document (e.g. ANSSI, NIST). - - library_packager is the entity that converts the reference document in a library for CISO Assistant (e.g. intuitem). the value "intuitem" for packager is reserved for intuitem. Other packagers are kindly asked to use another descriptive value. - - library_description shall be sufficiently detailed, and shall contain a link to the reference document. - - framework_ref_id, framework_name and framework_description are generally identical to their corresponding values for library. + variables can also have a translation in the form "variable[locale]" For requirements: If no section_name is given, no upper group is defined, else an upper group (depth 0) with the section name is used. @@ -78,6 +78,8 @@ Conventions: - reference_controls - annotation - typical_evidence + - questions + - answer - skip_count: trick for fixing a referential without changing the urns (advanced users) The normal tree order shall be respected If multiple threats or reference_control are given for a requirements, they shall be separated by blank or comma. @@ -87,7 +89,7 @@ Conventions: - ref_id(*) - name - description - - category (policy/process/techncial/physical). + - category (policy/process/technical/physical). - csf_function (govern/identify/protect/detect/respond/recover). - annotation For risk matrices: @@ -108,8 +110,14 @@ Conventions: - relationship(*) - rationale - stregth_of_relationship - A library has a single locale. Translated libraries have the same urns, they are merged during import. + For Answers: + The first line is a header, with the following possible fields (* for required): + - id(*) + - question_type(*) + - question_choices(*) + A library has a single locale, which is the reference language. Translations are given in columns with header like "name[fr]" Dependencies are given as a comma or blank separated list of urns. + ``` ## Mappings diff --git a/tools/anssi/anssi-guide-hygiene-detail.xlsx b/tools/anssi/anssi-guide-hygiene-detail.xlsx new file mode 100644 index 000000000..1ddfd10c0 Binary files /dev/null and b/tools/anssi/anssi-guide-hygiene-detail.xlsx differ diff --git a/tools/convert_library.py b/tools/convert_library.py index 0bd58c553..e97f06616 100644 --- a/tools/convert_library.py +++ b/tools/convert_library.py @@ -1,5 +1,11 @@ """ simple script to transform an Excel file to a yaml library for CISO assistant +Usage: python convert_library [--compat] your_excel_file + +The compat flag is recommended only to maintain libraries that have been generated prior or up to release 1.9.20. +Without the compat flag, URNs generated for nodes without ref_id are constructed using the parent_urn. +This generated urns that are much simpler to understand and maintain if required. + Conventions: | means a cell separation, <> means empty cell The first tab shall be named "library_content" and contain the description of the library in the other tabs @@ -68,8 +74,8 @@ - ref_id(*) - name - description - - category (policy/process/techncial/physical). - - csf_function (govern/identitfy/protect/detect/respond/recover). + - category (policy/process/technical/physical). + - csf_function (govern/identify/protect/detect/respond/recover). - annotation For risk matrices: The first line is a header, with the following mandatory fields: @@ -151,6 +157,7 @@ description="convert an Excel file in a library for CISO Assistant", ) parser.add_argument("input_file_name") +parser.add_argument("--compat", action='store_true') args = parser.parse_args() ref_name = re.sub(r"\.\w+$", "", args.input_file_name).lower() @@ -401,11 +408,13 @@ def build_ids_set(tab_name): current_depth = 0 parent_urn = None parent_for_depth = {} + count_for_depth = {} section = library_vars_dict_arg["tab"][title] if section: section_id = section.lower().replace(" ", "-") current_node_urn = f"{root_nodes_urn}:{section_id}" parent_for_depth[1] = current_node_urn + count_for_depth[1] = 1 requirement_nodes.append( {"urn": current_node_urn, "name": section, "assessable": False} ) @@ -451,31 +460,41 @@ def build_ids_set(tab_name): else None ) translations = get_translations(header, row) - skip_count = "skip_count" in header and bool( - row[header["skip_count"]].value - ) - if skip_count: - counter_fix += 1 - ref_id_urn = f"node{counter-counter_fix}-{counter_fix}" - else: - ref_id_urn = ( - ref_id.lower().replace(" ", "-") - if ref_id - else f"node{counter-counter_fix}" - ) - urn = f"{root_nodes_urn}:{ref_id_urn}" - if urn in urn_unicity_checker: - print("URN duplicate:", urn) - exit(1) - urn_unicity_checker.add(urn) - assert isinstance(depth, int), f"incorrect depth for {row}" if depth == current_depth + 1: parent_for_depth[depth] = current_node_urn + count_for_depth[depth] = 1 parent_urn = parent_for_depth[depth] elif depth <= current_depth: pass else: error(f"wrong depth in requirement (tab {title}) {urn}") + if args.compat: + skip_count = "skip_count" in header and bool( + row[header["skip_count"]].value + ) + if skip_count: + counter_fix += 1 + ref_id_urn = f"node{counter-counter_fix}-{counter_fix}" + else: + ref_id_urn = ( + ref_id.lower().replace(" ", "-") + if ref_id + else f"node{counter-counter_fix}" + ) + urn = f"{root_nodes_urn}:{ref_id_urn}" + else: + if ref_id: + urn = f"{root_nodes_urn}:{ref_id.lower().replace(' ', '-')}" + else: + p = parent_for_depth[depth] + c = count_for_depth[depth] + urn =f"{p}:{c}" + count_for_depth[depth] += 1 + if urn in urn_unicity_checker: + print("URN duplicate:", urn) + exit(1) + urn_unicity_checker.add(urn) + assert isinstance(depth, int), f"incorrect depth for {row}" current_node_urn = urn parent_urn = parent_for_depth[depth] current_depth = depth @@ -526,7 +545,7 @@ def build_ids_set(tab_name): for element in re.split(r"[\s,]+", req_reference_controls): parts = re.split(r":", element) prefix = parts.pop(0) - part_name = ":".join(parts) + part_name = ":".join(parts).lower() urn_prefix = library_vars_dict_reverse[ "reference_control_base_urn" ][prefix] diff --git a/tools/doc-pol.xlsx b/tools/doc-pol.xlsx deleted file mode 100644 index c6f050e68..000000000 Binary files a/tools/doc-pol.xlsx and /dev/null differ diff --git a/tools/intuitem/doc-pol.xlsx b/tools/intuitem/doc-pol.xlsx index 4ee980075..d19a72125 100644 Binary files a/tools/intuitem/doc-pol.xlsx and b/tools/intuitem/doc-pol.xlsx differ