Disposez D

DISPOSEZ D'UN INVENTAIRE À JOUR DES
PÉRIPHÉRIQUES ET DES CONNEXIONS RÉSEAU
La tenue d'une carte détaillée de votre infrastructure informatique vous permet

d'évaluer sa robustesse, ses performances et sa stabilité. En même temps, vous
vérifiez vos contrats de maintenance et identifiez les composants qui ne sont
plus utilisés mais toujours connectés.
Gardez cet inventaire à jour. En cas d'incident, il peut vous aider à détecter
l'origine du problème et éventuellement le fournisseur à contacter. Vous voulez
confier cette tâche à du personnel externe ? N'oubliez pas que vous devez
garder le contrôle de la situation.
L'inventaire de votre réseau ne doit pas seulement se limiter aux appareils

physiques, mais il doit aussi documenter:
 Configurations VLAN et plages d'adresses IP associées
 Toutes les différentes zones et les paramètres de sécurité associés
 Toutes les lignes de connectivité et d'Internet
 Toute liste de contrôle d'accès ou règle de pare-feu
DISPOSEZ D'UN INVENTAIRE À JOUR DES POSTES

DE TRAVAIL ET DES SERVEURS
Disposez d'un inventaire à jour des postes de travail et des serveurs
L'objectif est d'avoir une connaissance actualisée de tous les serveurs et postes
de travail utilisés. Cette compréhension vous aide à identifier les vecteurs
d'attaque possibles et les actifs essentiels pour votre organisation. En cas
d'incident, elle peut vous aider à détecter l'origine du problème et
éventuellement le fournisseur à contacter. La tenue d'un inventaire de vos actifs
informatiques vous permet de comprendre l'étendue de vos actifs essentiels. Il
vous aide également à identifier les ressources qui ne sont plus utilisées mais
qui n'ont pas encore été mises hors service.
Maintenez une liste de tous les PC et ordinateurs portables qui se connectent à
votre réseau, y compris les informations de base comme le nom du propriétaire
de l'appareil.
Conservez une liste de tous les serveurs de votre réseau. Classez-les par types
de serveurs différents, en fonction de l'objectif et/ou du système d'exploitation.
Pour chaque type de serveur (par exemple, serveur de messagerie Linux,

serveur de fichiers Windows), une évaluation des risques différente sera
nécessaire.
Continuez à améliorer votre inventaire de postes de travail et de serveurs, et

ajoutez des informations importantes qui vous aideront à évaluer ou à réagir
plus rapidement aux incidents. Vous devriez connaître, pour chaque serveur, au
moins les informations suivantes :
Postes de travail
 Type de poste de travail (ordinateur portable, bureau, tablette,...)
 Marque et modèle du poste de travail
 Garantie, information de soutien et contrat de service
 Propriétaire
 Système d'exploitation
 Applications installées
Serveurs
 Marque, type et fournisseur du serveur
 Garantie, information de soutien et contrat de service
 Objet, applications et propriétaire
 Nom du serveur, adresses IP, domaine joint ou non
 Configuration de la ligne de base
 Fenêtres de maintenance
 Changements récents

APPAREILS MOBILES ET DES TABLETTES
Tenir un inventaire de vos actifs informatiques vous permet de comprendre

l'étendue de vos actifs. Il vous aide également à identifier les ressources qui ne
sont plus utilisées mais qui n'ont pas encore été mises hors service.
Tenez un inventaire de tous les appareils mobiles et tablettes, qu'ils

appartiennent à l'entreprise ou à des particuliers (s'ils ont accès à vos données),
y compris les ressources auxquelles ils peuvent accéder dans votre entreprise.
Vous devez vous assurer que vous êtes en mesure d'imposer des exigences de
sécurité minimales, telles que des systèmes d'exploitation et des systèmes
antivirus et antimalware à jour et la possibilité de révoquer l'accès et d'effacer
les données à distance.

DISPOSITIFS OPÉRATIONNELS CONNECTÉS À
INTERNET
De plus en plus de dispositifs connectés à Internet sont introduits dans

l'infrastructure des TIC. Ils ont accès à internet et à certaines ressources
internes, mais sont souvent non gérés, voire dans l'impossibilité d'être mis à
jour.
Tenez un inventaire détaillé de tous ces dispositifs et analysez rigoureusement

le risque qu'ils représentent pour votre programme de sécurité.
Ces dispositifs sont généralement :
 Thermostats de chauffage, dispositifs de ventilation et de climatisation
 Dispositifs d'accès aux installations (lecteurs de badges, caméras,...)
 Dispositifs d'usine (PLC, SCADA,..)
 Panneaux de réservation des salles de réunion

 Systèmes de vidéoconférence et de téléphonie IP
 Caméras IP et leurs enregistreurs
 Appareils 'SMART' connectés au réseau

Tous ces dispositifs devraient être inventoriés avec le plus de détails possible,
notamment avec l'accès qu'ils ont aux ressources de l'entreprise. Vous devez
vous assurer que vous êtes en mesure d'imposer des exigences de sécurité
minimales, y compris l'isolement et le confinement complet du réseau.
Ne confiez pas cette tâche à du personnel externe, car vous devez rester maître
de la situation.
DÉCLASSEMENT DES ACTIFS ET ÉLIMINATION

DES MÉDIAS
Vos serveurs, ordinateurs portables, ordinateurs de bureau, imprimantes et

équipements réseau en fin de vie peuvent contenir des informations
importantes, confidentielles ou sensibles. Il peut s'agir de documents, de
courriels, d'informations de configuration,...
Cela s'applique également aux CD, DVD, clés USB et autres supports amovibles.
Avant de mettre hors service tout équipement IT, les supports physiques
doivent être enlevés et détruits physiquement.
INVENTORIEZ VOS PARTENAIRES, FOURNISSEURS,

CONTRATS, ET SLAS
Ayez une liste à jour de tous vos fournisseurs, vendeurs, numéros de contrat,
coordonnées et services qu'ils fournissent.
Assurez-vous que cet inventaire est disponible en ligne et hors ligne, afin de
pouvoir les contacter pour obtenir de l'aide en cas de panne ou de dégradation
du service.
Si des fournisseurs ont un accès (à distance) à des systèmes, des outils de

surveillance ou des interfaces de gestion, ces informations doivent être
documentées et examinées régulièrement.
Toutes les obligations contractuelles, les engagements en matière de sécurité,
l'accord sur les niveaux de service et les processus d'escalade doivent être
énumérés.
Les fournisseurs doivent au minimum respecter des normes de sécurité

identiques ou supérieures à celles de votre propre entreprise. Assurez-vous
d'inclure vos exigences, normes et pratiques exemplaires dans vos ententes
avec les fournisseurs.
EFFECTUEZ UNE ANALYSE DES RISQUES
Votre analyse de risque peut être très simple ou très détaillée. Tout dépend de
la taille de votre organisation, de la complexité des projets et de la sensibilité
des données que vous traitez. Cependant, ne sous-estimez pas le travail que
cela implique, car même si un projet semble simple, les risques associés
peuvent être importants.
Il n'y a pas de corrélation entre la taille d'un projet et les risques qui y sont
associés. Afin de vérifier l'exactitude et l'exhaustivité de votre analyse de
risques, celle-ci doit être vérifiée par différentes personnes de votre
organisation.
Pour arriver à ce plan, vous devez prioriser les mesures de sécurité nécessaires
(en tenant compte de vos priorités métiers) qui doivent être établies afin d'avoir
un plan d'action qui peut être approuvé par la direction.
IDENTIFIEZ LES VULNÉRABILITÉS ET LES

MENACES
Identifiez les risques possibles en termes de confidentialité, d'intégrité, de

disponibilité et d'authenticité des données.
Une vulnérabilité est un point faible de votre réseau qui peut être exploité par
une menace de sécurité. Les risques sont les conséquences et l'impact
potentiels des vulnérabilités non traitées. Parmi les risques associés à cette
vulnérabilité, citons la perte de données, la défaillance dans la conduite de vos
affaires et les dommages financiers ou de réputation pour l'entreprise.
La méthode d'identification des vulnérabilités et des menaces peut différer

selon la métholdologie utilisée.
SÉCURITÉ PAR DESIGN ET SÉCURITÉ PAR DÉFAUT
Les entreprises/organisations sont encouragées à mettre en œuvre des

mesures techniques et organisationnelles, dès les premières étapes de la
conception des processus, de manière à garantir dès le départ les principes de
protection de la vie privée et des données ("protection des données dès
la conception").
Par défaut, les entreprises/organisations devraient veiller à ce que les données

à caractère personnel soient traitées avec le plus haut niveau de protection de la
vie privée (par exemple, seules les données nécessaires devraient être traitées,
période de stockage courte, accessibilité limitée) afin que, par défaut, les
données personnelles ne soient pas rendues accessibles à un nombre indéfini
de personnes ("protection des données par défaut").
SAUVEGARDEZ VOS DONNÉES IMPORTANTES

QUOTIDIENNEMENT
La sauvegarde régulière consiste à prendre une copie de toutes les données

importantes sur un média, physique ou immatériel, différent de celui utilisé en
production.
La sauvegarde régulière et exhaustive des données est la seule assurance

valable contre une infection ou une attaque qui aurait rendu des données de
production corrompues ou inaccessibles. Les tests de restauration de données
montrent la résilience et la capacité à revenir à une situation saine.
Donnez des conseils à vos collaborateurs pour effectuer leur back-ups, ou

automatisez ceux-ci.
Vérifiez régulièrement que vos backups soient faits tous les jours et qu'ils sont
récupérables.
GARDEZ LES BACKUPS HORS LIGNE ET À UN

ENDROIT SÉPARÉ
La mise à l'écart physique des backups sert à s'assurer que les cas de vol,
d'inondation, de feu et autres situations destructives, ne vont pas impacter la
capacité de la société à restaurer ses données.
La localisation physique des backups ne doit pas être proche des données de
production car en cas de vol, d'incendie, ou autre atteinte physique aux médias,
la proximité d'un backup signifie qu'il sera aussi brûlé/volé/… et donc
strictement inutile.
Une méthode est le back-up 3-2-1 (un backup en ligne et disponible, un backup
offline gardé localement, et un troisième offline gardé sur un site distant).
HÉBERGEZ VOS SOLUTIONS DE SAUVEGARDE SUR

VOS PROPRES SERVEURS OU DANS LE CLOUD
Les données sauvegardées le sont de préférence sur des machines propres à la

société, ou de manière dématérialisée, en utilisant des services de prise de
backup à distance avec stockage sur des serveurs de sociétés externes.
Les backup ne sont utiles que si la procédure de restauration de données est
rapide, facile et maîtrisée au sein de l'entreprise. La gestion en interne, sur des
machines propres ou via une solution cloud gérée en interne, augmente le
contrôle et la vitesse de réaction.
LES SAUVEGARDES SONT STOCKÉES DANS UN

COFFRE-FORT OU DANS UN CENTRE DE DONNÉES
SÉCURISÉ
A défaut de stockage à distance, assurez-vous que le stockage soit placé dans

un lieu physiquement sûr comme un coffre-fort de qualité (anti-feu, anti-
inondation, anti-cambriolage) ou une pièce suffisamment sécurisée. Ceci
permettra de garantir la restauration de données.
PROTÉGEZ VOTRE NOM DE DOMAINE CONTRE

L'USURPATION D'IDENTITÉ (LE SPOOFING)
L'usurpation d'adresse électronique consiste à falsifier l'adresse de l'expéditeur

du mail pour faire croire que celui-ci provient d'une source légitime. Cette
technique est souvent utilisée pour le spam et le phishing. Réduisez la
probabilité que votre nom de domaine soit frauduleusement usurpé et
empêchez que vos messages soient signalés comme spam avant d'arriver à vos
destinataires.
Nous vous recommandons d'évaluer d'abord vos configurations actuelles pour
DMARC, DKIM, SPF et TLS. Il est possible de vérifier l'état actuel via des sites web
dédiés tels que mxtoolbox.com. En supposant que vous n'ayez pas encore mis
en place de mesures de sécurité pour le courrier électronique, vous devriez
dans un premier temps protéger votre courrier électronique en transit.
Une fois que vous aurez mis en place une politique DMARC de "none" (néant),
créez un enregistrement SPF et enfin, créez votre enregistrement DKIM. Les
deux mois suivants devraient être consacrés à la surveillance de votre
enregistrement DNS et à sa mise à jour.
La deuxième phase est celle où vous pouvez faire passer votre politique DMARC
de "none" à "quarantaine". Dans cette phase, les e-mails suspects sont
directement envoyés dans le dossier spam du destinataire. Il peut encore les
récupérer et les marquer comme légitimes. Il est courant de rester en phase 2
pendant 3 mois.
La troisième et dernière phase commence lorsque vous avez confiance dans vos
configurations DKIM et SPF et que vous pouvez définir une politique DMARC de
"reject" (rejet).
À partir de cette phase, vous devez continuer à surveiller vos configurations en

utilisant les mêmes outils d'évaluation qu'au début. Cette surveillance doit être
continue.
PROTÉGER VOTRE COURRIER ÉLECTRONIQUE

GRÂCE À UN PROTOCOLE SÉCURISÉ
Si vous utilisez des services du cloud comme Microsoft O365 ou Google G-Suite,
le TLS est déjà mis en place.
Si vous gérez vos serveurs vous-même, vous devez configurer TLS sur tous vos
serveurs.
Vous devez faire attention à votre certificat de chiffrement et configurer vos

serveurs pour utiliser la version 1.3 lorsqu'elle est disponible, et recourir à des
protocoles moins sûrs dans le cas contraire (forçage des serveurs).
Lorsque deux serveurs de messagerie communiquent, ils utilisent le protocole

SMTP. Les serveurs de messagerie sont appelés MTA pour Mail Transfer Agents
et ils émettent une commande "STARTTLS" lorsqu'ils lancent une
communication SMTP sécurisée.
Les STARTTLS peuvent faire l'objet d'attaques de type "man-in-the-middle", il est

donc bon de s'assurer que les organisations avec lesquelles vous communiquez
le plus ont également mis en œuvre TLS1.3.
Vous devez configurer votre serveur de manière à ce qu'ils préfèrent utiliser
TLS1.3 mais qu'ils puissent toujours communiquer avec des protocoles moins
sûrs comme TLS1.2 ou SSL.
Comme TLS a besoin d'un certificat X.509v3 valide pour établir une connexion,
votre certificat doit être signé par une autorité de confiance.
Vous pouvez également utiliser la norme S/MIME pour le chiffrement du

courrier électronique.
CRÉEZ VOTRE ENREGISTREMENT SPF
L'ajout d'un enregistrement SPF à votre fichier de zone DNS est le meilleur
moyen d'empêcher les spammeurs d'usurper votre domaine.
Dans l'enregistrement DNS, vous définissez quels serveurs de messagerie sont

autorisés à envoyer des courriers électroniques au nom du domaine. En outre,
un enregistrement SPF réduira le nombre de messages électroniques légitimes
qui sont signalés comme spam ou renvoyés par les serveurs de messagerie de
vos destinataires.
L'enregistrement SPF n'est malheureusement pas efficace à 100 %, car tous les
fournisseurs de courrier électronique ne le vérifient pas.
Un exemple d'enregistrement SPF ressemble à ceci :
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ~all
Dans l'exemple :
v=spf1 est un enregistrement SPF
include : signifie que le courrier électronique ne peut provenir que de ces

sources
~all est le qualifieur, dans ce cas (all) tout autre courriel sera mis en échec
CRÉEZ VOTRE ENREGISTREMENT DKIM
Utilisez DKIM en plus du SPF pour éviter que les usurpateurs n'envoient des
messages qui semblent provenir de votre domaine.
DKIM vous permet d'ajouter une signature numérique aux messages
électroniques dans l'en-tête du message.
Lorsque vous configurez DKIM, vous autorisez votre domaine à associer, ou à

signer, son nom à un message électronique en utilisant une authentification de
chiffrement.
Les systèmes de courrier électronique qui reçoivent des messages de votre

domaine peuvent utiliser cette signature numérique pour déterminer si le
courrier électronique qu'ils reçoivent est légitime.
Le service d'envoi de courrier électronique ajoute une signature DKIM au

courrier électronique sortant. Le service de courrier électronique récepteur
utilise la clé publique pour vérifier la correspondance de la signature DKIM.
Si c'est le cas, il transmet le courrier électronique à la boîte de réception du

destinataire. Si elle ne correspond pas, le service de courrier électronique récepteur
échoue ou rejette le courrier électronique non valide.

Vous devez donc créer un record DKIM TXT en incluant votre domaine, le sélecteur
et votre clé publique: <sélecteur(s=)._cléde-domaine.domaine(d=)>. TXT
v=DKIM1 ; k=rsa ; p=<clé publique>

Le header du mail prendra dès lors cette forme (par example):
Dkim-Signature: v=1; a=rsa-sha256;
c=relaxed/relaxed; d=cert.europa.eu; s=maple;
t=1582617907; bh=OlHvsp/RvV59stiQtr1pcYwioCXmPGBwSzHj2iNmxO0=; h=MI
ME-Version:Content-Type:Content-Transfer-Encoding:Subject:From:
To:CC:Message-ID:Date; b=dTvC/XbYiCBV7HV+wT8o/ESBiM7bGIXHdIXzvxb4YzSC
AKHqgO6m4aEXe3Ot+y4It
6dNOYXIzLDSoM8dZi7n0UyXbLAxx6RO4qM5oBFFt6jJNbjTUm/6auVKMqeKNCOu
G35
VjkiVlusNqcAiIEe/NhpLmHxrO/w8BI97g4ow7dbINZwocFrvKa4rjKLhhz7sUWH61
fdnx9R4fKhOLcynvdns8h3eLz0MnCZ4+CoQVyr9xMlLEceC59LDpyP0zB6v2XCJij4
Lj/IH1wJNnxmECM5wcl7gd0bvfSdHf9NsNvDksKy9t7RLb2i7KI+xcjWHdVtht9WKV
rLdGkoArvVfJg==
Balises requises
Vous trouverez ci-dessous les balises requises pour le header d'une signature
DKIM. Toute signature DKIM ne comportant pas ces balises rencontrera une
erreur lors du processus de vérification.
v= indique la version de la spécification de la signature. La valeur doit toujours

être fixée à 1.
a= indique l'algorithme utilisé pour générer la signature. La valeur doit être
rsa-sha256. Les expéditeurs ayant des capacités CPU réduites peuvent utiliser
rsa-sha1. Toutefois, l'utilisation de rsa-sha1 est déconseillée en raison des
risques potentiels pour la sécurité.
s= indique le nom de l'enregistrement sélecteur utilisé avec le domaine pour

localiser la clé publique dans le DNS. La valeur est un nom ou un numéro créé
par l'expéditeur.
b= est la donnée de hachage des en-têtes énumérés dans la balise h= ; ce

hachage est également appelé signature DKIM et encodé en Base64.
bh= est le hachage calculé du corps du message. La valeur est une chaîne de

caractères représentant le hachage déterminé par l'algorithme de hachage.
d= indique le domaine utilisé avec l'enregistrement du sélecteur (s=) pour

localiser la clé publique. La valeur est un nom de domaine appartenant à
l'expéditeur.
h= est une liste d'en-têtes qui seront utilisés dans l'algorithme de signature
pour créer le hachage trouvé dans la balise b=. L'ordre des en-têtes dans la
balise h= est l'ordre dans lequel ils ont été présentés lors de la signature DKIM,
et est donc également l'ordre dans lequel ils doivent être présentés lors de la
vérification. La valeur est une liste de champs d'en-tête qui ne seront pas
modifiés ou supprimés.
Balises facultatives et recommandées
Vous trouverez ci-dessous les balises facultatives que nous vous recommandons
d'inclure dans l'en-tête d'une signature DKIM. Les signatures DKIM qui ne
comportent pas ces balises ne rencontreront pas d'erreur lors de la vérification,
mais elles sont recommandées comme moyen d'aider à identifier le spam.
Les spammeurs ne fixent normalement pas de valeurs de temps. Des valeurs de

temps vides ou incorrectes, telles qu'une date d'expiration antérieure à
l'horodatage du courriel, entraîneront le rejet du message par certains
fournisseurs de boîtes de messagerie.
t= est l'horodatage de la signature DKIM. Il est destiné à indiquer l'heure

d'envoi du message. Le format est le nombre de secondes à partir de 00:00:00 le
1er janvier 1970 dans le fuseau horaire UTC.
x= est l'heure d'expiration de la signature DKIM dans le même format que ci-
dessus. La valeur de cette balise doit être supérieure à la valeur de la balise
d'horodatage si les deux sont utilisées dans la signature DKIM. Les signatures
DKIM peuvent être considérées comme non valables si l'heure de vérification
chez le vérificateur est postérieure à la date d'expiration, il faut donc veiller à ne
pas fixer la date d'expiration trop tôt.
Effectuez des tests pour vous assurer que ces balises fonctionnent correctement
et que la date d'expiration n'est pas fixée trop tôt après le déploiement.
Balises facultatives
Vous trouverez ci-dessous les balises facultatives qui ne sont pas requises dans
la signature DKIM.
c= est l'algorithme de canonisation qui définit pour un fournisseur de boîte

aux lettres le niveau de modifications qui peut être présent lorsque le courrier
électronique est en transit vers le fournisseur de la boîte de messagerie. Les
modifications peuvent inclure des espaces ou des retours à la ligne. Certains
serveurs de courrier électronique apportent des modifications mineures au
courrier électronique pendant le transit, ce qui peut invalider la signature.
Voici la valeur qui définit le niveau de tolérance que doit avoir le serveur de
destination lorsqu'un message présente ces modifications mineures :
valeur1/valeur2.
La valeur 1 représente l'en-tête du message et la valeur 2 représente le corps du

message. Valeur1 et valeur2 peuvent être qualifiées de "simple" (simples), qui
tolèrent très peu de modifications, voire aucune, ou de "relaxed" (relâchées), qui
tolèrent les modifications courantes.
i= indique l'identité de l'utilisateur ou de l'agent. La valeur est une adresse

électronique contenant le domaine ou le sous-domaine tel que défini dans la
balise d=.
Balises facultatives et non recommandées
l= est le nombre de caractères du corps du message qui ont été utilisés pour
calculer le hachage du corps (bh=). Si cette valeur n'existe pas, alors on suppose
que le corps du message a été utilisé dans son intégralité. Nous vous
recommandons de ne pas utiliser cette balise car elle peut être difficile à
contrôler et peut entraîner des erreurs de vérification.
z= est une liste des en-têtes originaux du message et peut être différent des
en-têtes énumérés dans la balise h=. Cette balise peut être utilisée par certains
fournisseurs de boîtes de messagerie dans le processus de diagnostic d'une
erreur de vérification. Sa valeur n'est pas bien définie.
Balises non reconnues
Toute balise non spécifiée dans le RFC 6376 ne fait pas partie du protocole DKIM
et doit être ignorée pendant le processus de vérification. Tous les fournisseurs
de boîtes de messagerie n'ignorent pas les balises non reconnues, de sorte que
vous pourriez constater une erreur lors du processus de vérification.
CONFIGURER LE DMARC
Le DMARC s'appuie sur deux mécanismes existants, le SPF et le DKIM. Il permet

au propriétaire administratif d'un domaine de publier une politique sur le
mécanisme (DKIM, SPF ou les deux) utilisé pour l'envoi de courrier électronique
à partir de ce domaine et sur la manière dont le destinataire doit faire face aux
défaillances.
À un niveau élevé, le DMARC est conçu pour répondre aux exigences suivantes :
 Minimiser les faux positifs.
 Fournir des rapports d'authentification solides.
 Faire valoir la politique de l'expéditeur auprès des destinataires.
 Réduire le nombre de réussites d’hameçonnage.
 Travailler à l'échelle d'Internet
 Minimiser la complexité.
Anatomie d'un enregistrement de ressource DMARC dans le DNS:
Les politiques DMARC sont publiées dans le DNS sous la forme

d'enregistrements de ressources textuelles (TXT records) et énoncent ce qu'un
destinataire de courrier électronique doit faire du courrier non aligné qu'il
reçoit.
v=DMARC1;p=none;rua=mailto:postmaster@dmarcdomain.com(link sends e-
mail)
Configurer une politique DMARC de 'none' (néant)
Étapes pour établir et mettre en œuvre un enregistrement DMARC :
Contactez l'administrateur du système de noms de domaine (DNS) de votre

entreprise.
Demandez à votre administrateur DNS de créer un enregistrement TXT dans le
DNS pour _dmarc [votre-domaine] avec votre enregistrement DMARC.
Utilisez la syntaxe suivante dans l'enregistrement TXT DMARC :
v=DMARC1 ; p=none ; fo=1 ; rua=mailto:entrez(link sends e-mail) votre

adresse électronique ; ruf=entrez votre adresse électronique
Par exemple :
v=DMARC1 ; p=none ; fo=1 ;

rua=mailto:dmarc_rua@auth.returnpath.net(link sends e-mail) ;
ruf=mailto:dmarc_ruf@auth.returnpath.net(link sends e-mail)
Veillez à saisir vos adresses électroniques après "mailto :". Ces adresses sont
celles où les rapports sont envoyés.
Si vous travaillez avec un fournisseur de services de messagerie ou une autre

tierce partie qui recevra les rapports DMARC en votre nom, demandez-leur
quelles adresses électroniques vous devez utiliser.
v=DMARC1 indique la version du protocole.
L'enregistrement DMARC suggéré ci-dessus comprend une politique « néant »

(p=none). Cela signifie que vous ne donnez pas d'instructions aux fournisseurs
de boîtes aux lettres pour qu'ils prennent des mesures à l'égard de votre
courrier électronique dont l'authentification échoue.
fo permet aux fournisseurs de boîtes aux lettres de savoir que vous voulez des
échantillons de messages électroniques qui ont échoué à l'authentification SPF
et/ou DKIM :
 Utilisez la valeur fo = 0 pour recevoir un rapport en cas d'échec de SPF et DKIM. (par
défaut)
 Utilisez fo =1 pour recevoir un rapport si le SPF ou le DKIM échoue. (recommandé)

rua contient l'adresse où vous souhaitez recevoir les rapports résumés.
ruf contient l'adresse où vous souhaitez recevoir les rapports forensiques.
Pour commencer à recevoir les rapports DMARC sans impact sur votre
programme de courrier électronique, nous vous suggérons de publier
l'enregistrement avec p=none.
Assurez-vous d'avoir au moins un enregistrement A, un enregistrement Mail
Exchange (MX) ou un enregistrement AAAA dans le DNS du domaine si vous
prévoyez de l'utiliser pour envoyer du courrier électronique.
Après avoir mis en place le DMARC, nous vous recommandons de surveiller vos
domaines pendant au moins 30 jours. Cela peut vous aider à vous assurer que
votre propre courrier électronique légitime s'authentifie correctement avant de
décider de mettre en œuvre une politique de rejet (p=reject) ou de quarantaine
(p=quarantine).
Communication d'informations sur la destination
Le DMARC permet d'envoyer des rapports à plusieurs adresses de destination.

Cependant, vous devez éviter d'utiliser plus de deux destinations différentes, car
de nombreux fournisseurs de boîtes aux lettres n'envoient pas de rapports à
plus de deux adresses.
Dans le cas où plusieurs adresses de courrier électronique sont nécessaires

pour les rapports DMARC, chaque destination doit être indiquée dans les blocs
de déclaration RUA et RUF dans l'enregistrement DMARC. En outre, chaque
destination doit être délimitée par une virgule dans les blocs RUA et RUF.
Note : N'indiquez pas plusieurs déclarations RUA et RUF, sinon votre

enregistrement DMARC sera considéré comme incorrect et les rapports ne
seront pas générés.
Exemple d'enregistrement DMARC correct avec plusieurs destinations de

déclaration :
v=DMARC1;p=none;fo=1;
rua=mailto:dmarc_agg@auth.returnpath.net,mailto:dmarc_aggdata(link sends
e-mail)@exampledestination.com;
ruf=mailto:dmarc_afrf@auth.returnpath.net,mailto:dmarc_forensic(link sends e-
mail)@exampledestination.com
Exemple d'enregistrement DMARC incorrect avec plusieurs destinations de
signalement :
v=DMARC1;p=none;fo=1;
rua=mailto:dmarc_agg@auth.returnpath.net,rua=mailto:dmarc_aggdata (link
sends e-mail)@exampledestination.com;
ruf=mailto:dmarc_afrf@auth.returnpath.net,ruf=mailto:dmarc_forensic(link
sends e-mail)@exampledestination.com
Configurer une politique DMARC de 'quarantine' (quarantaine)
En mode de quarantaine, les utilisateurs reçoivent toujours les courriers (par

opposition à la politique de "rejet"), mais ils sont directement envoyés dans le
dossier spam.
Les utilisateurs doivent récupérer manuellement un courrier suspect et peuvent

ensuite le marquer comme "sûr". Vous devez mettre à jour vos dossiers en
conséquence.
Vous trouverez de plus amples informations sur le DMARC à l'adresse

suivante : https://dmarc.org/overview/(link is external)
Configurer une politique DMARC de 'reject' (rejet)
Prenons un exemple d’enregitrement DMARC TXT pour le domaine

"sender.dmarcdomain.com" qui dit
"v=DMARC1;p=rejet;pct=100;rua=mailto:postmaster@dmarcdomain.com"(link
sends e-mail)
Dans cet exemple, l'expéditeur demande au destinataire de rejeter tous les
messages non alignés et d'envoyer un rapport, dans un format global spécifié,
sur les rejets à une adresse donnée.
Les enregistrements DMARC suivent la syntaxe extensible "tag-value" pour les

enregistrements clés basés sur le DNS définis dans DKIM. Le tableau suivant
illustre certaines des balises disponibles :
v Version du protocole v=DMARC1
pct Pourcentage de messages soumis à un filtrage pct=20
ruf Adresse pour les rapports

forensiques ruf=mailto:authfail@example.com(link sends e-mail)
rua Adresse pour les rapports
résumés rua=mailto:aggrep@example.com(link sends e-mail)
p Politique pour le Domaine Organisationnel p=quarantine
sp Politique pour les sous-domaines du DO sp=reject
adkim Mode d'alignement pour DKIM adkim=s
aspf Mode d'alignement pour le SPF aspf=r

SURVEILLER EN CONTINU
La sécurité du courrier électronique est un processus sans fin. L'utilisation de

solutions de sécurité du courrier électronique peut vous aider dans cette tâche.
En fonction des besoins de votre entreprise, vous pouvez consulter certaines

des solutions listées ici : https://www.gartner.com/reviews/market/email-
security(link is external)
Des solutions open source existent également, comme par
exemple : https://www.proxmox.com/en/proxmox-mail-gateway
AUTOMATISEZ LE PROCESSUS DE MISE À JOUR ET

AUDITEZ SON EFFICACITÉ
L'automatisation des mises à jour améliore la rapidité de déploiement des

correctifs et libère du temps pour le personnel. Des audits peuvent être utilisés
pour vérifier les résultats.
L'automatisation de ces mises à jour permet de libérer du temps humain pour
les tests de compatibilité et le suivi du déploiement. Elle garantit également un
rapport exhaustif des ressources mises à jour avec/sans succès, des ressources
non connectées au réseau, etc...
Utilisez WSUS (Windows Server Update Services) ou son équivalent pour

automatiser les processus d'update.
EFFECTUEZ UN BACK-UP COMPLET POUR LES

SERVEURS AVANT LEURS MISE À JOUR
Effectuez un back-up complet pour les serveurs avant leurs mise à jour et créez
des disques de réparation d'urgence après la mise à jour. Les backups complets
permettent de réagir sereinement à tout souci lors d'une mise à jour, et de
rétablir le plus rapidement et le plus efficacement possible un serveur en état de
fonctionnement.
Il est important de pouvoir revenir en arrière (roll back scenario) lors de mises à
jour de ressources communes telles des serveurs. Une procédure testée et
fiable de retour à une configuration antérieure diminue l'impact négatif
potentiel d'une mise à jour.
Links
http://www.areca-backup.org/
GESTION DES MISES À JOUR (POSTES DE TRAVAIL,
MOBILES, SERVEURS, COMPOSANTS RÉSEAUX...)
Une culture interne de mise à jour signifie que la nécessité de mettre à jour tous
les matériels et logiciels connectés, quelle que soit la manière dont ils sont
connectés, est comprise et intégrée dans le "business as usual" de la gestion
informatique. Il est important de garder un œil constant sur les mises à jour
publiées par les développeurs de logiciels.
L'objectif des correctifs est de réduire le niveau des vulnérabilités inhérentes
connues et ainsi de diminuer la surface d'attaque. Lorsqu'un correctif est publié,
il est rapidement étudié par des utilisateurs mal intentionnés, qui tentent
d'identifier les failles de sécurité que le correctif comble. La mise en place rapide
du correctif réduit la fenêtre d'attaque pour une exploitation potentielle.
Tous les logiciels ont un cycle de vie, y compris les correctifs pour les bogues et
les failles de sécurité entre les mises à jour majeures. L'installation la plus
efficace possible de ces correctifs sur toutes les machines concernées est un
élément important pour maintenir le niveau de sécurité. Lorsqu'un logiciel n'est
plus pris en charge, il doit être supprimé de tous les appareils de votre
entreprise. Lorsqu'un logiciel non supporté est encore nécessaire, il faut en
donner la raison et mettre en place des techniques d'isolation. Pour empêcher
les utilisateurs finaux d'installer des logiciels (non supportés) vous pouvez avoir
une politique sur l'installation de logiciels légaux. Cela peut être techniquement
mis en œuvre en utilisant une liste blanche de logiciels autorisés.
PROCÉDEZ AUX MISES À JOUR DE SÉCURITÉ DE

TOUS LES LOGICIELS, DANS LES PLUS BREFS
DÉLAIS
Tous les logiciels ont un cycle de vie comportant, entre les mises à niveau
majeures, des correctifs pour des bugs et des failles de sécurité. L'installation la
plus efficiente possible de ces correctifs sur toutes les machines concernées est
une activité importante de maintenance du niveau de sécurité.
Quand un patch est publié, il est très rapidement étudié à des fins malveillantes
pour en déduire les failles de sécurité qu'il solutionne. Appliquer dès que
possible ce patch réduit la fenêtre d'attaque d'éventuels exploits.
Links
 NIST : Configuration & Vulnerability Management

CYCLE DE VIE DES UTILISATEURS
Lorsque nous parlons du cycle de vie des utilisateurs, nous avons souvent à
l'esprit les "comptes inutilisés" des anciens employés. Ils sont, en effet, une cible
facile pour les attaques d'usurpation d'identité parce que leur utilisation
malveillante ou leur statut bloqué n'est pas détecté par une personne physique.
Les désactiver semble être la chose la plus évidente à faire.
Mais cela va au-delà de cette simple action. Comprendre la valeur et
l'importance de la mise en œuvre d'un cycle de vie des utilisateurs au sein de
votre entreprise est crucial.
Le cycle de vie de l'utilisateur peut être appréhendé dans une boucle composée
de quatre étapes.
Vérification de la gestion de l'accès : Comme le montre la figure, la première

étape continue est d'avoir une vision claire de qui a accès à quoi dans
l'entreprise. Il peut s'agir d'un nouveau venu, d'un manager ou d'un
informaticien. Chaque droit d'accès doit être vu et géré afin d'éviter toute faille
de sécurité. Pour la gestion des utilisateurs, nous vous suggérons qu'une
personne de votre entreprise, en collaboration avec le RH, dispose d'une liste du
personnel à jour.
Processus d'embauche : Une fois que vous avez cette vision claire, vous pouvez
mieux gérer tout nouvel employé en lui donnant suffisamment d'accès ainsi que
des informations d'identification (login et mot de passe). A ce niveau, la
complexité est relativement faible.
Processus de modification : Cette étape intervient chaque fois qu'un

changement dans les informations d'identification ou dans la gestion des accès
se produit. Toute modification doit être évaluée et appliquée dans le cadre de
votre politique de gestion d'accès. A ce stade, les risques pour la sécurité
augmentent.
Processus de départ : Lorsqu'un employé est sur le point de partir ou d'être

congédié, il n'est pas nécessaire de supprimer son compte. Pour conserver
l'accès aux preuves, il vaut mieux le désactiver afin qu'il soit impossible de
l'utiliser mais qu'il soit possible de consulter les sauvegardes (la période
recommandée est de 6 mois après la date de départ).
CRÉEZ ET APPLIQUEZ DES PROCÉDURES POUR

L'ARRIVÉE ET LE DÉPART TEMPORAIRE OU
DÉFINITIF D'UTILISATEURS
Garantir que les procédures d'attribution et de révocation des droits des

utilisateurs (personnel, stagaires et autres) soient mises en place et respéctées
lors de leurs arrivées et départs.
Ceci permet de réduire les risques d’accident, d’erreur et/ou de malveillance en

intégrant les principes de sécurité dans la gestion des ressources humaines, du
recrutement à la fin de collaboration.
Liens utiles
 Guide des bonnes pratiques de l'informatique(link is external)

CONNEXION UNIQUE (SSO)
Les solutions de Single Sign On permettent aux utilisateurs d'utiliser les mêmes
identifiants pour se connecter à de nombreux systèmes et applications.
Pour que le SSO fonctionne correctement, le logiciel doit être intégré à un
répertoire ou une base de données qui stocke les informations de l'utilisateur
Le Single Sign-On réduit la nécessité d'avoir de nombreux comptes utilisateurs,
souvent non gérés, pour chaque utilisateur/application individuelle, et réduit
ainsi les frais d'administration des utilisateurs, mais il facilite également la
gestion de la sécurité de ces comptes.
Les comptes SSO peuvent être créés, gérés, désactivés et supprimés de manière
centralisée.
GESTION DES LOGINS
Le principe du moindre privilège vise à donner aux utilisateurs tous les droits
dont ils ont besoin pour faire leur travail, mais rien de plus. Cela empêche un
compte compromis ou une machine infectée d'avoir accès aux données ou aux
programmes.
Le modèle du moindre privilège pour l'accès à l'information permet de réduire
la fenêtre d'attaque d'un compte corrompu sans nuire aux besoins quotidiens
des utilisateurs. Il refuse l'accès aux données non pertinentes pour le profil de
l'utilisateur.
Il existe peu de techniques à mettre en œuvre pour assurer le principe du
moindre privilège :
 Le service RH devrait effectuer un audit des privilèges : en évaluant qui a accès à quoi
concernant les privilèges en question, nous nous assurons que personne n'a accès à
plus que ce qu'il ne devrait avoir. Ce processus devrait se faire régulièrement.
 Tous les comptes devraient commencer avec le principe du moindre privilège : les
privilèges élevés ne devraient être ajoutés que lorsque c'est nécessaire au lieu de créer
les comptes avec un accès admin par défaut.
 Un délai doit suivre les privilèges élevés temporaires : les privilèges expirant et les
identifiants à usage unique peuvent être utilisés dans ce contexte.
 La séparation des privilèges doit être appliquée : les comptes standards doivent être
séparés des comptes admin ainsi que les systèmes de niveau supérieur des comptes de
niveau inférieur.
Comme le dit le NIST : "Les normes, les directives, les implémentations de
référence et les programmes de validation liés à la vérification de l'identité
personnelle des employés et des entrepreneurs sont essentiels pour sécuriser
l'accès aux dispositifs informatiques et aux installations physiques".
Links
 NIST : Identity & Access Management(link is external)
 What is the least privilege ?(link is external)
 SANS : How to implement the least privilege ?
GESTION DE MOT DE PASSE
Les règles et politiques relatives à la complexité et à la durée de vie des mots de

passe devraient fournir des indications claires quant à savoir si un mot de passe
est suffisamment résistant à diverses attaques. Il ne devrait pas appartenir à
l'utilisateur d'évaluer la force du mot de passe.
Les politiques en matière de mots de passe des structures officielles de conseil

ont évolué de façon critique.La norme n'est plus d'avoir un mot de passe de plus
de 10 caractères avec une combinaison de types de caractères.
Links
 Protégez vos employés - Mots de passe(link is external)
 NCSC UK infographic : Password Security(link is external)
 NIST new password guidelines
UTILISEZ L'AUTHENTIFICATION MULTI-FACTEUR

LORSQUE C'EST POSSIBLE
L'authentification multi-facteur (AMF) est un système de sécurité qui vérifie

l'identité d'un utilisateur en exigeant plusieurs justificatifs d'identité. ... L'AMF
est un moyen efficace de fournir une sécurité accrue, car les combinaisons
traditionnelles de noms d'utilisateur et de mots de passe peuvent être volées, et
elles sont devenues de plus en plus vulnérables aux attaques par force brute.
L'authentification multifactorielle est généralement basée sur l'un des trois

éléments suivants : quelque chose que les utilisateurs connaissent (p. ex. un
mot de passe), qu'ils ont en leur possession (p. ex. un téléphone) ou qui fait
partie d'eux (p. ex. une empreinte digitale). L'authentification multifactorielle
combine deux ou plusieurs méthodes d'identification.
Lors de l'utilisation de l'authentification multifactorielle forte (Authenticator App,

biométrie, pas SMS), les règles de complexité et d'expiration du mot de passe
peuvent être assouplies, afin de faciliter l'acceptation et l'adoption de cette
technologie par les utilisateurs.
L'authentification forte permet de s'assurer que la personne identifiée est bien
cette personne. Elle rend beaucoup plus difficile les usurpations d'identité, les
attaques de type "homme du milieu", etc.
COMPTES PARTAGÉS, DE SERVICE ET

TECHNIQUES
Les comptes de service et les comptes d'utilisateur technique sont souvent un

mal nécessaire, afin de permettre aux serveurs, aux applications et aux
processus de fonctionner ensemble, sans l'intervention d'un utilisateur réel. Les
comptes de service et les comptes techniques représentent un risque
intrinsèque important pour vos systèmes.
Les comptes partagés sont des comptes qui sont utilisés par plusieurs
personnes pour accéder à une ressource.
Appliquez au moins les mesures de sécurité ci-dessous aux comptes partagés,

de service et techniques :
Maintenir un accès limité.
Assurez-vous de n'attribuer aux comptes de service que les privilèges

minimums dont ils ont besoin pour les tâches qu'ils doivent effectuer, et ne leur
donnez pas plus d'accès que nécessaire. Supprimez toutes les autorisations
pour le partage de fichiers, l'accès à Internet, l'accès à distance, la connexion
locale,... chaque fois que cela est possible.
Évitez toute adhésion de groupe pour les comptes de service, les comptes
techniques et les comptes partagés
Mettre les comptes de service dans des groupes peut être risqué, car les
comptes de service peuvent recevoir des droits et des autorisations par le biais
de l'appartenance à un groupe. Évaluez soigneusement le besoin d'adhésion à
un groupe et, le cas échéant, limitez-le au strict minimum.
Définir des permissions de refus explicites pour les données sensibles
Assurez-vous que vos comptes de service n'ont pas accès aux données critiques
ou sensibles en définissant des refus explicites pour ces comptes. La définition
de refus explicites garantit la confidentialité de ces données, même si l'accès est
autorisé par les membres du groupe ou par des autorisations internes.
Ne pas recycler/réutiliser les comptes de service

Ne créez pas de comptes de service en copiant un compte existant et ne
partagez jamais le compte de service entre plusieurs services. Chaque compte
de service, et ses autorisations, doivent être soigneusement analysés pour
chaque utilisation et être toujours uniques au service.
Désactivez la connexion locale, ou isolez-la sur des systèmes spécifiques
La plupart du temps les comptes partagés, de service ou techniques n'ont pas

besoin de se connecter aux systèmes. Dans la mesure du possible, refusez les
droits locaux de connexion. Si la connexion à des périphériques spécifiques est
nécessaire, limitez les droits de connexion à ces systèmes spécifiques.
Activer l'audit
Assurez-vous d'activer l'audit de tous les comptes de service et techniques. Une

fois que l'audit est activé, vérifiez régulièrement les journaux pour voir qui
utilise les comptes, quand et dans quel but.
CONTRÔLE D'ACCÈS BASÉ SUR LES RÔLES (RBAC)
Le "Contrôle d'accès basé sur le rôle" (RBAC - Role Based Access Control) repose
sur le principe que la plupart des utilisateurs dans une situation similaire ont
besoin d'un accès similaire. Afin de réduire le risque d'incohérence des
autorisations, créez des modèles pour chaque rôle qui sont appliqués à tous les
utilisateurs de ce rôle. Si un nouvel utilisateur rejoint le rôle, il recevra les
autorisations du modèle, si un utilisateur change de rôle, les autorisations
seront supprimées et le nouveau modèle sera ajouté.
Le contrôle d'accès basé sur les rôles facilite:
 Conformité
 Aperçu des autorisations par l'administrateur
 Efficacité opérationnelle
 Risque de dérive des "autorisations"

Liens utiles
 NIST : Identity & Access Management

 What is the least privilege ?
 SANS : How to implement the least privilege ?
MAINTENEZ UNE LISTE LIMITÉE ET ACTUALISÉE

DES COMPTES D'ADMINISTRATEUR DU SYSTÈME
Une liste à jour des droits spéciaux accordés à certains utilisateurs sert à garder
sous contrôle ces accès, à rendre des comptes à un auditeur et à maintenir le
principe du moindre privilège. Les utilisateurs ont tous les droits dont ils ont
besoin pour travailler, mais pas plus.
Connaître et évaluer régulièrement la liste des comptes d'administrateur
permet de détecter les abus ou les droits inutiles à un travail quotidien. La
limitation aux comptes réellement nécessaires réduit la fenêtre d'attaque d'un
logiciel malveillant.
CONTRÔLE D'ACCÈS
SÉCURISEZ L'ACCÈS PHYSIQUE
HYGIÈNE DU TRAITEMENT DES DOCUMENTS

PAPIERS
Vos documents papier contiennent souvent des données sensibles, soyez donc
vigilant pour le traitement de ces documents.

Lorsque cela est possible, activez l’impression sécurisée par code PIN ou par
badge. Ainsi la personne adéquate pourra récupérer ses documents
personnels.

Détruisez les documents laissées sur l’imprimante en fin de journée. Si personne
n’est venu les chercher directement, il y a fort à parier que ces documents ne
soient plus utiles pour celui qui a lancé l’impression. S’il en a besoin il relancera
l’impression.

Pour détruire vos documents utilisez une déchiqueteuse. Idéalement placer en
une à côté de chaque imprimante.

Enfin ne laissez pas trainer vos documents sur votre bureau en fin de journée ou
à la pause de midi. Une photo d’un document privé prend 1 seconde à faire
pour la personne mal intentionnée.

ACCÈS PHYSIQUE DU PERSONNEL ET DES

VISITEURS
Tenez un registre de tout visiteur. Notez-y les entrées et les sorties de chaque
visiteur.

Badgez si possible l’accès à la salle serveur et/ou au local technique, ainsi l’accès
sera limité aux personnel qualifié et vous pourrez avoir un historique des accès.

Si le nettoyage des bureaux se fait en dehors des heures de travail un système
de surveillance (par caméra par exemple) est conseillé.

ACCÈSPHYSIQUE DU PERSONNEL ET DES

VISITEURS
Enregistrez toutes les visites

Les visiteurs, prévus comme imprévus, doivent décliner leur identité, la personne qu'ils
visitent et la raison de leur visite. Cette liste doit être également tenue à jour lors de la
sortie des visiteurs.
L'enregistrement des visites fournit un premier niveau (basique) de contrôle des

personnes extérieures à l'entreprise. Celles-ci seront visuellement identifiées (badge
visiteur toujours visible) et toujours accompagnées.

Mettre en place un système de badge et créer différentes zones de
sécurité
Les badges permettent non seulement de limiter les accès physiques à certains locaux
ou armoires techniques, mais aussi de maintenir automatiquement un historique des
entrées et sorties du personnel concerné.
Grâce aux zones de sécurité différenciées et à l'utilisation de badges strictement

individuels, les accès sensibles sont restreints aux seules personnes concernées. Des
heures d'accès peuvent être décidées, et l'historique des entrées/sorties fournit de
précieuses informations.

L'accès physique aux serveurs et aux composants de réseau est limité
à certaines personnes
Le regroupement du matériel sensible dans des salles dédiées (ou des armoires
techniques dédiées), correctement protégées contre les tentatives d'accès non
autorisées, augmente la résistance envers les failles de sécurité reposant sur l'accès
matériel, le vol, le sabotage, la copie...
Grâce à une bonne restriction des accès physiques aux ressources sensibles, plusieurs
risques de sécurité sont mitigés, notamment le vol, le sabotage, l'inclusion de logiciel
ou matériel espion, la duplication de disques, etc…

Tout accès physique aux serveurs et aux composants réseaux est
enregistré
L'enregistrement des accès entrants et sortants des salles ou armoires techniques
responsabilise les intervenants et permet d'analyser a postériori les mouvements de
personnes.
L'historique des entrées/sorties dans les locaux sensible permet d'individualiser les
opérations et de détecter les mouvements suspects. Ceci est également utilisé en cas
de demande des auditeurs.

Organisez le nettoyage de bureaux pendant les heures de travail ou
sous surveillance
Une solution pourrait être de chiffrer les postes de travail et d’obliger d’éteindre les
postes après les heures de bureau.
Nous recommandons de toujours verrouiller les postes de travail (CTRL + ALT + DEL ou
Windows Logo + L) durant son absence et de sécuriser les ordinateurs portables avec
un verrou d'ordinateur portable ainsi qu'une clé pour empêcher le vol.
SÉCURITÉ DU TRAITEMENT DES DOCUMENTS

PAPIERS
Activez l’impression sécurisée si disponible

Les informations sont un actif essentiel de votre organisation et de son bon
fonctionnement. En laissant trainer des informations, vous mettez à disposition des
données importantes que tout le monde ne doit pas nécessairement connaître.
Souvent on imprime et on oublie de récupérer le document imprimé. Instaurer

l'obligation d'entrer un code pin pour déclencher l'impression est une mesure de
sécurité.
Détruisez les documents laissées sur l’imprimante en fin de journée

Les informations de votre entreprise doivent être protégées même lors de leur
destruction.
La destruction d'informations est considérée comme un traitement sécurisé de toute

information importante pour votre organisation.
Détruisez les documents sensibles à l’aide d’une déchiqueteuse

Les informations de votre entreprise doivent être protégées même lors de leur
destruction.
La destruction d'informations est considérée comme un traitement de la sécurité de

toute information importante pour votre organisation.

Stockez les documents sensibles dans des armoires fermées à clé
fonctionnement. En laissant trainer des informations vous mettez à disposition de
personnes malveillantes des données importantes.
En fin de journée, retirez tous les documents confidentiels de votre poste de travail et
protégez-les dans une armoire sécurisée et fermée à clé.
Liens utiles
https://www.cybersecuritycoalition.be/fr(link is external)
https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatiq
AUTHENTIFICATION RÉSEAU (NAC)
Les solutions de contrôle d'accès réseau, ou NAC (Network Access Control),

prennent en charge la visibilité du réseau et la gestion des accès grâce à
l'application de politiques pour les appareils et les utilisateurs des réseaux de
l'entreprise.
L'authentification réseau garantit que seuls les ordinateurs et/ou utilisateurs

autorisés ont accès à votre réseau câblé ou sans fil.
L'authentification réseau peut également vous aider à isoler les PC et les

ordinateurs de bureau des appareils mobiles et BYOD et à isoler les visiteurs de
votre réseau d'entreprise.
LE WIFI EST PROTÉGÉ PAR UN CHIFFREMENT

WPA2
Un signal wifi rayonne en sphère (approximation sans tenir compte du local) et

est accessible par tous "by design". Plusieurs méthodes de chiffrement en
temps réel existent, mais attention certaines ont des failles de sécurité connues
et exploitées.
L'utilisation du chiffrement WPA2 est aisée et d'un niveau de sécurité considéré
comme suffisant. La bonne gestion des clés d'accès (complexité, durée de vie,
communication) est primordiale.
Le wifi d'entreprise est protégé par WPA2 Enterprise avec un système
d'enregistrement des appareils
L'emploi de WPA2 Enterprise garantit un niveau de robustesse de

l'authentification en wifi. Combiné à l'enregistrement unique des appareils, il
assure une protection forte contre les intrusions.
Links
 Network World : Explaining WPA2
LE RÉSEAU WIFI PUBLIC EST SÉPARÉ DU RÉSEAU

D'ENTREPRISE
Un réseau wifi permet une connexion sans fil à tout appareil muni de la
technologie adéquate et pouvant s'y connecter (à l'aide d'une identification
forcée, sans possibilité de participation anonyme). Il ne doit pas être possible
d'atteindre des données de l'entreprise sans authentification sérieuse.
Un réseau wifi public mais séparé de l'entreprise permet d'offrir ce service
d'accès à Internet tout en cloisonnant l'accès aux données sensibles.
Links
PARE-FEU
Diviser le réseau en fonction des niveaux de sécurité requis par les différents
utilisateurs et ressources.
Cela vous permet également de mieux contrôler la sécurité du réseau, par
exemple en concentrant les ressources de contrôle sur les domaines les plus
importants.
L'objectif des pare-feux est de filtrer le trafic entrant pour savoir si le trafic doit
être autorisé ou non dans votre réseau interne, comme un gardien. Un pare-feu
sur chaque bordure du réseau et des pare-feu clients réduiront l'exposition aux
attaques.
Pour protéger votre réseau interne d'Internet, vous devriez avoir un pare-feu
correctement configuré et à jour sur chaque limite de réseau. Les postes de
travail et les serveurs ayant une connexion directe à Internet doivent être
équipés d'un pare-feu basé sur l'hôte. Ces pare-feux ne protègent que le seul
périphérique sur lequel il est configuré. Si l'installation d'un pare-feu basé sur
l'hôte n'est pas possible sur certains dispositifs, il convient d'en indiquer la
raison.
UN SYSTÈME IDS/IPS (INTRUSION

DETECTION/PREVENTION SYSTEM) ASSURE LE
MONITORING DE TOUTES LES COMMUNICATIONS
Une solution de détection/prévention d'intrusion (IDS/IPS) sert soit de

"détecteur de fumée" (rôle passif), soit d'"arroseur anti-incendie" (rôle actif)
dans la gestion des événements suspects.
Un IDS bien configuré et analysé régulièrement permet une détection accrue
d'incidents dangereux. Un IPS va plus loin et lance des actions de mitigation
pour contrer ces incidents.
UTILISEZ DES APPLICATIONS ET DES

PROTOCOLES SÉCURISÉS
Certains protocoles datent du début d'Internet et ne prévoyaient pas de

respecter la confidentialité, intégrité, disponibilité/accessibilité (triade CIA) de
l'information transmise, par exemple par l'usage de mots de passe en clair, ou
la reproductibilité d'une transaction passée censée être unique.
Le passage à des versions mieux sécurisées des principaux protocoles (par
exemple SFTP/FTPS et HTTPS) permet d'empêcher des failles de sécurité
majeures.
EMPÊCHEZ TOUT ACCÈS À INTERNET DIRECT.

FORCEZ LE PASSAGE PAR UN PROXY ET IDS.
Toutes les connexions de l'intérieur de votre réseau interne vers Internet

doivent passer par un proxy (pas de connexion directe).
Utilisez un pare-feu pour exiger l'utilisation d'un serveur DNS séparé, d'un
serveur de messagerie électronique et d'un serveur proxy Web authentifié pour
les connexions Web sortantes.
BLOQUEZ L'ACCÈS À INTERNET À PARTIR DE

COMPTES DÉTENANT DES DROITS
D'ADMINISTRATEUR
En cas d'infection, un ordinateur sous lequel l'utilisateur est connecté en tant
qu'administrateur (ou avec des droits anormalement étendus) fera bien plus de
dégâts car sa capacité de réplication et de nuisance sera accrue.
Garder une distinction entre les comptes utilisateurs permettant d'effectuer des
tâches de maintenance système et les comptes permettant d'utiliser Internet
permet d'isoler partiellement les infections et les accès aux ressources système
centralisées.
Links
https://www.cybersecuritycoalition.be/
ÉVALUEZ LE RISQUE DES SITES DE PARTAGE DE

FICHIERS
Les sites de partage de fichiers peuvent être un moyen utile de partager des
documents avec des parties externes, mais il existe des risques inhérents qui
doivent être évalués avant d'autoriser l'accès à ces sites.
 Les données personnelles ou sensibles peuvent-elles être partagées sur ces sites ?
 Pouvons-nous protéger nos fichiers confidentiels et/ou notre propriété intellectuelle ?
 Y a-t-il un risque de fuite d'informations ?
 Les sites de partage de fichiers sont-ils correctement protégés contre les virus, les
logiciels malveillants,...?
 Y a-t-il des implications juridiques potentielles ?
SÉCURISEZ LES ACCÈS À DISTANCE
La mobilité de vos collaborateurs est importante ? Oui, mais pas au prix de la

sécurité de votre information. Faites les bons choix afin de permettre les accès à
distance mais de façon contrôlée.
TOUTES LES CONNEXIONS AU RÉSEAU

D'ENTREPRISE DEVRAIENT ÊTRE SÉCURISÉES ET
CHIFFRÉES
La connexion au réseau d'entreprise ne doit pas permettre, par une simple
interception de données sur un câble, d'obtenir des données internes. Le
contrôle d'accès réseau doublé d'un chiffrement continu et transparent
empêche ce genre d'attaque.
L'introduction de matériel non réglementaire sur le réseau et sa possibilité de
connexion, voire l'interception de données est une faille classique de la sécurité
des réseaux. Un contrôle d'accès strict (par exemple sur base des adresses MAC)
et un chiffrement continu sont recommandés.
Liens utiles
 Free and Open Source network access control (NAC) solution
 Tips for establishing a successful BYOD (Bring Your Own Device) policy

L'ACCÈS À DISTANCE DOIT ÊTRE DÉCONNECTÉ

AUTOMATIQUEMENT EN CAS D'INACTIVITÉ
PENDANT UN CERTAIN TEMPS
Les sessions d'accès à distance est une des voies royales d'intrusion lors
d'attaques informatiques. Elles ne doivent pas rester indéfiniment ouvertes.
Cela reviendrait à maintenir une porte d'entrée ouvert en permanence
directement dans le réseau interne.
Une session d'accès à distance qui resterait indéfiniment ouverte permettrait de
contourner les règles d'authentification et celles des firewalls. Les clôturer après
un certain temps d'inactivité permet de fermer cette faille.
Links
 Microsoft : Configure Timeout and Reconnection Settings for Remote Desktop Services
Sessions
UNE AUTHENTIFICATION FORTE EST UTILISÉE

LORS D'UNE CONNEXION À PARTIR DE RÉSEAUX
PUBLICS EXTÉRIEURS
Une authentification forte permet de garantir que la personne identifiée est

bien celui/celle qu'il/elle prétend être. Cela rend beaucoup plus difficile les vols
d'identité, les attaques "man in the middle", etc…
Une authentification forte résulte de la combinaison de 2 de ces 3 facteurs :
quelque chose que l'on a (un digipass, un dongle, une carte d'identité…),
quelque chose que l'on sait (un mot de passe, un code pin, un mouvement
tactile...), quelque chose que l'on est (un scan rétinien, une empreinte digitale,
une empreinte vocale...).
Liens Utiles
 Guide d'hygiène informatique
GÉREZ VOS RESSOURCES INFORMATIQUES

IMPORTANTES
Faites l'inventaire de vos infrastructures (réseaux, communications, serveurs,..)

afin de déterminer quelles mesures doivent être prises en priorité.
ANTIVIRUS ET ANTIMALWARE
Un logiciel antivirus est installé, actif et mis à jour sur tous les postes de travail
et serveurs.
Un logiciel antivirus installé localement va analyser toute ouverture de fichier,

exécutable ou pas, de manière obligatoire et transparente pour l'utilisateur. Une
base de données locales de signatures de code malveillant et des règles de
comportement suspects (comme des tentatives de joindre d'autres postes du
réseau) alimente les algorithmes d'évaluation du risque d'infection.
Un logiciel antivirus va bloquer une majorité de menaces destinées aux

utilisateurs finaux, notamment lors de l'insertion de périphériques de stockage
USB, de carte-mémoire, de disques optiques, voire à l'ouverture de pièces
jointes dans les emails, et ce sans intervention de l'utilisateur.
Le principe fondateur de la sécurité repose sur la prévention, la détection et

l'élimination des effets des logiciels malveillants.
LES MISES À JOUR DES ANTIVIRUS SE FONT

AUTOMATIQUEMENT
Les mises à jour des signatures de code malveillant et de comportements
suspects au sein des programmes se font en arrière-plan, à une fréquence
prédéterminée et/ou ad-hoc, sans intervention humaine.
La mise à jour automatique, et de préférence entre 1 et plusieurs fois par jour,
permet à l'utilisateur de ne plus se soucier de la bonne marche de son antivirus.
Les mises à jour des paramètres de configuration (fréquence et timing) doivent

être réglées dans la console d'administration. Il en est de même pour les scans
quotidiens : le meilleur moment pour le faire est lorsqu'il y a peu d'activité de
l'utilisateur (par exemple à midi) afin de maintenir la productivité /
performances d'autres applications.
LES UTILISATEURS SAVENT COMMENT LE

LOGICIEL ANTIVIRUS ALERTE D'UNE INFECTION
VIRALE
Les utilisateurs ont reçu l'information, de préférence de manière interactive,

leur montrant ce qu'il se passe lors d'une tentative d'infection suivie d'un
blocage et d'une alerte par le logiciel antivirus. Le comportement à adopter, y
compris un éventuel signalement au helpdesk, a été explicité.
Un utilisateur qui a été conscientisé aux symptômes d'un blocage de logiciel
malveillant sait comment réagir sereinement, comment isoler le fichier ou le
périphérique concerné, voire prévenir l'émetteur ou le propriétaire de la
ressource infectée.
UN LOGICIEL ANTIVIRUS EST INSTALLÉ, ACTIF ET

MIS À JOUR SUR TOUS LES POSTES DE TRAVAIL ET
SERVEURS

exécutable ou pas, de manière systématique et transparente pour l'utilisateur.
Une base de données locales de signatures de code malveillant et des règles de
utilisateurs finaux, notamment lors de l'introduction de périphériques de
stockage USB, de carte-mémoire, de disques optiques, voire à l'ouverture de
pièces jointes dans les emails, et ce sans intervention de l'utilisateur.
UN LOGICIEL ANTIVIRUS EST INSTALLÉ, ACTIF ET

MIS À JOUR SUR TOUS LES POSTES DE TRAVAIL ET
SERVEURS

exécutable ou pas, de manière systématique et transparente pour l'utilisateur.
Une base de données locales de signatures de code malveillant et des règles de
utilisateurs finaux, notamment lors de l'introduction de périphériques de
stockage USB, de carte-mémoire, de disques optiques, voire à l'ouverture de
pièces jointes dans les emails, et ce sans intervention de l'utilisateur.

L'ANTIVIRUS EST TESTÉ RÉGULIÈREMENT À

L'AIDE DU TEST EICAR
Le fichier-test EICAR simule de manière inoffensive un fichier infecté. Il permet,

de par sa simple présence, de tester la bonne réactivité d'un antivirus et
notamment son alerte à l'utilisateur.
Le fichier-test EICAR est une norme du marché permettant de tester la réactivité
d'un antivirus sans prendre le risque d'une infection réelle, de s'assurer aussi de
la réaction de l'utilisateur et même de la procédure de nettoyage éventuel.
Liens utiles
http://www.eicar.org/
TOUTES LES ALERTES DE VIRUS SONT ANALYSÉES

PAR UN EXPERT ICT
Un spécialiste ICT va analyser les tentatives d'infection et notamment trouver

l'origine du virus/malware, afin d'améliorer au besoin les procédures à suivre
et/ou la sensibilisation des utilisateurs.
L'analyse a posteriori des modalités d'infection permet de comprendre quelle
faille, humaine ou technique, a été exploitée, comment le risque a été mitigé et
comment améliorer la gestion future d'incidents similaires, augmentant ainsi le
niveau global de sécurité.
Links
https://www.sans.org/reading-room/whitepapers/malicious/malware-analysis-
introduction-2103
UN LOGICIEL ANTIVIRUS EST INSTALLÉ SUR TOUS

LES APPAREILS MOBILES
Les appareils mobiles peuvent être considérés comme des points d'entrée
classique d'infection par des utilisateurs finaux. Ils ne sont plus considérés
comme des téléphones mais plutôt comme des appareils de travail du point de
vue de la sécurité.
Les appareils mobiles devenant des points d'accès au réseau de plus en plus
répandus, leur sécurité est aussi importante que celle des laptops et desktops
classiques même si les systèmes d'exploitation sont attaqués de manière
différente.
Pensez également à un outil de Mobile Device Management pour garder les

applications installées sur un téléphone sous contrôle (et mises à jour),
empêchant ainsi la prolifération des applications et des risques.
LES RISQUES DE SÉCURITÉ LES PLUS CRITIQUES

POUR LES APPLICATIONS WEB
OWASP Top 10 des risques les plus importants pour les applications web.
Le top 10 d'OWASP est un document de sensibilisation de référence pour la
sécurité des applications Web. Il représente un large consensus sur les risques
les plus critiques pour la sécurité des applications Web. Les membres du projet
comprennent une variété d'experts en sécurité de partout dans le monde qui
ont partagé leur expertise pour produire cette liste.
Nous reccomandons toutes les organisations à adopter ce document de
sensibilisation au sein de leur organisation et à mettre en place ses
recommandations pour minimiser les risques relatifs à leurs applications Web.
L'adoption du Top 10 d'OWASP est l'étape la plus efficace pour transformer la
culture de développement logiciel au sein de votre organisation en une culture
qui produit du code sécurisé.
Links
 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
MAINTENEZ À JOUR TOUS LES COMPOSANTS DE

VOTRE SERVEUR WEB
À l’instar de tous les systèmes informatiques, l’une des meilleures manières de

sécuriser un site Internet est de le maintenir à jour.
La mise à jour permettra d'utiliser les technologies et les fonctionnalités les plus
récentes pour votre site, tout en corrigeant constamment les dernières
vulnérabilités détectées ou celles qui apparaissent naturellement au fil des
progrès technologiques (par exemple, le déchiffrage d'anciens algorithmes de
cryptage grâce à l’amélioration considérable de la puissance des ordinateurs).
Au moment de mettre en place votre stratégie de mise à jour, il est primordial

de tenir compte de l’ensemble despièces du puzzle.
Les composants « bottom up » typiques sont les suivants :
 BIOS/firmware du matériel sur lequel votre serveur fonctionne
 facultatif : couche de virtualisation
 le système d'exploitation du serveur
 le service Internet utilisé (exemple : Apache, nginx, IIS ...)
 le système de gestion du contenu (exemple : Drupal, Joomla, WordPress ...) utilisé pour
développer et éditer le site Internet et ses plugins
Selon le modèle d’hébergement Internet utilisé, il se peut que vous n’ayez pas le
contrôle de certains de ces éléments ; il est toutefois fortement recommandé de
disposer d’accords très clairs sur le cycle de mise à jour avec votre fournisseur
de services (cloud) et/ou votre développeur et éditeur Internet.
PROTÉGEZ VOTRE CMS
Premièrement, l’étape la plus importante pour protéger votre CMS (« content

management system », ou système de gestion de contenu) et tous ses plugins,
est de les maintenir à jour.
L’on découvre constamment de nouvelles vulnérabilités, il est dès lors
primordial d’installer les mises à jour de sécurité qui les corrigent le plus
rapidement possible. Les cyberpirates peuvent exploiter certaines vulnérabilités
pour parvenir à contrôler intégralement votre serveur Internet ou voler des
données précieuses.
Deuxièmement, il est fortement déconseillé d’utiliser le compte CPANEL/ftp par

défaut ; si vous le faites néanmoins, veillez à bien en changer le mot de passe.
Une meilleure solution consiste à désactiver le compte par défaut et à créer un
compte administrateur unique, protégé par un mot de passe fort. L’idéal est
d’activer la 2FA, si votre solution le permet.
Effectuez chaque année un contrôle de la liste de vos utilisateurs et assurez-

vous qu'il ne reste plus d'utilisateurs test ou que des utilisateurs n’ont pas été
ajoutés à votre insu.
Installez et activez des plugins de sécurité sur votre CMS (et tenez-les à jour !),
comme WordFence pour Wordpress, ou des plugins similaires qui empêchent
les attaques Internet force brute ou courantes, comme l’injection SQL.
Enfin, la navigation dans les répertoires doit être désactivée, car elle permet aux
cyberpirates de trouver facilement vos données à l'aide de simples recherches
sur Google.
SÉCURISEZ VOTRE SITE WEB EN UTILISANT

HTTPS
Le protocole HTTPS est la version sécurisée de http. Lorsqu'un visiteur se

connecte à un site HTTP, les données sont transmises telles quelles. Un
attaquant peut donc les intercepter et les utiliser. Lorsque la connexion se fait
en HTTPS, les données transmises sont chiffrées. Le hacker peut toujours
intercepter les données, mais il ne peut pas les lire ni les utiliser.
Comment sécuriser votre site web ? (HTTPS)
La première étape sera de sélectionner et d'intégrer un certificat. Il existe

différents types de certificats SSL/TLS, vous devrez le choisir en fonction du
niveau de confiance que vous souhaitez pour votre site.
Selon le niveau de confiance que vous souhaitez, choisissez soit un certificat

SSL/TLS unique, soit un certificat de validation étendue (Extended Validation).
RENFORCEZ VOTRE SITE INTERNET

Bien que la mise à jour de votre serveur Internet et de tous ses composants soit
probablement la règle la plus importante en termes de sécurité, il existe
quelques autres mesures à envisager pour renforcer la sécurité.
Utilisez un WAF
Un WAF, ou « Web Application Firewall », est un pare-feu de niveau 7 que vous
pouvez configurer pour analyser et filtrer les connexions entrantes vers votre
serveur Internet. Un WAF correctement configuré permettra d’éviter bon
nombre d’attaques courantes. Tout comme la majorité des mesures de sécurité,
l’administrateur du serveur Internet (et du WAF) doit trouver un équilibre entre
fonctionnalité et sécurité. Une configuration trop stricte du WAF peut en effet
potentiellement bloquer le trafic légitime vers le serveur Internet.
Protégez votre base de données

Les données des utilisateurs sont un atout très précieux pour votre organisation
et elles doivent impérativement être correctement protégées. En cas de
violation des données, vous avez l'obligation légale de le signaler à l'autorité de
protection des données (DPA/GBA/APD). En outre, si vous ne protégez pas ces
données, vous risquez de subir des pertes financières et de porter atteinte à
votre image de marque. Par ailleurs, veillez à sauvegarder régulièrement vos
bases de données, afin de pouvoir remédier à une perte de données beaucoup
plus facilement. Stockez ces sauvegardes de manière sécurisée et testez la
validité des sauvegardes en restaurant régulièrement votre site Internet dans
un environnement test.
Désactivez la navigation dans les répertoires

La désactivation de la navigation dans les répertoires peut empêcher les
cyberpirates de trouver facilement toutes vos données précieuses. Évitez de
stocker vos fichier dans des emplacements par défaut ou accessibles au public
(exemple, /wp-content/uploads/backup/backup.zip). Les données sensibles ne
peuvent être stockées que dans des emplacements exclusivement accessibles
aux utilisateurs authentifiés. Vous pouvez désactiver la navigation dans les
répertoires sur le serveur Internet ou au niveau du CPANEL, en fonction de
votre modèle d'hébergement.
Passez votre site Internet au crible d’un moteur de

recherche
De nombreux sites Internet compromis seront monétisés en affichant des
publicités aux utilisateurs du monde entier, publicités qui ne peuvent cependant
pas être visualisées par le propriétaire du site.
Utilisez la requête de recherche « site:yoursite.com » pour voir quelles pages de

votre site le moteur de recherche a indexées.
Utilisez la fonctionnalité « Afficher le cache » pour voir votre site Internet tel que
Google le voit. Si la version en cache contient des publicités ou des liens que la
version sans cache ne contient pas, votre site Internet est peut-être compromis.
SÉCURISEZ VOS SERVICES CLOUD
Les services de Cloud Computing ont permis aux entreprises de dépasser les
frontières bien connues du stockage, de la vitesse, de l'accès, de la flexibilité et
donc de la productivité, mais ils ont aussi apporté une série de nouveaux
problèmes de sécurité.
LES ATTEINTES À LA PROTECTION DES DONNÉES

SONT RÉELLES
Les atteintes à la protection des données, ou «Data Breach» dépassent ce que

l’on a connu jusqu’ici avec les services de cloud computing. Vous avez peut-être
entendu parler d'un grand nombre d'incidents liés à la violation de données
dans les médias. Le Cloud est une solution intéressante et déjà bien en place et
c’est l’ensemble unique de caractéristiques dont il est composé qui le rendent
vulnérable. Beaucoup d'entreprises utilisant le cloud ne sont pas ou mal
préparées à cette menace. Il est essentiel de comprendre ces vulnérabilités pour
renforcer ses services.
« Man In Cloud Attack (link is external)", une étude du Ponemon Institute, a

conclu que les entreprises qui utilisent le cloud sont trois fois plus susceptibles
de subir une atteinte à la protection des données que celles qui ne le font pas. À
l'aide de neuf scénarios où il y a eu atteinte à la protection des données, l'étude
analyse si la conclusion est fondée sur des faits.
ABUS DES SERVICES CLOUD
Nous ne pouvons nier les menaces apportées par le Cloud Computing. Les
clients et les fournisseurs de services de Cloud pourraient tous deux être
affectés par l'expansion rapide du Cloud. Les pirates et les utilisateurs sont tous
deux autorisés à utiliser les capacités de stockage sans précédent du Cloud pour
héberger et diffuser d'énormes quantités de données ainsi que des logiciels
malveillants, des logiciels illégaux et différentes propriétés numériques.
Ces risques peuvent entraîner des conséquences juridiques et des problèmes de

sécurité.
En surveillant l'utilisation tout en établissant et en mettant à jour des lignes

directrices sur les comportements encouragés et inappropriés de la part des
employés, l'exposition au risque est réduite.
STOCKAGE D'INFORMATIONS SENSIBLES
Soyez conscient de ce que vous stockez dans le cloud et de la façon dont vous le
protégez. Les contrôles de sécurité utilisés pour les systèmes sur site
s'appliquent également au stockage dans le cloud.
La vie privée et la confidentialité sont souvent des questions encore plus

complexes lors de l'utilisation du cloud. Évaluez l'utilisation du cloud et les
contrôles de sécurité supplémentaires lors du stockage de renseignements
privés ou sensibles.
LA PERTE DE DONNÉES PEUT ÊTRE ATTÉNUÉE
La perte de données peut survenir à la suite d'une attaque malveillante, d'une

catastrophe naturelle ou d'un effacement de données par le fournisseur de
services. Cette situation peut être dévastatrice pour les entreprises qui n'ont pas
les ressources suffisantes pour s'en remettre.
Pour sécuriser correctement vos données, vous devriez examiner attentivement

les procédures de sauvegarde de votre fournisseur ainsi que de votre propre
plan de retour à la normale.
MOTS DE PASSE ET AUTHENTIFICATION MULTI-

FACTEURS
Par essence les services du cloud sont toujours en ligne et accessibles. Cela fait
du cloud la cible parfaite pour les pirates informatiques qui tentent de violer
votre sécurité.
Appliquez des règles de mot de passe plus strictes lors de votre passage au
cloud.
Appliquez des mots de passe plus longs et plus complexes à vos utilisateurs.
Formez-les à l'utilisation de phrases de passe au lieu de simples mots de passe
Mettez en place l'authentification multi-facteur (AMF)
La plupart des fournisseurs du cloud offrent une authentification multi-facteur

via une application d'authentification. Formez vos utilisateurs à l'utilisation de
l'AMF, et appliquez-la à tous les services du cloud.
CHIFFREZ VOS DONNÉES
Lorsque vous choisissez un fournisseur de cloud computing, assurez-vous que

votre fournisseur offre un chiffrement en transit et un chiffrement au repos.
Pour les données sensibles, vous voudrez peut-être évaluer les solutions de type
"Apportez votre propre clé".
CONSERVEZ UNE SAUVEGARDE EN DEHORS DU

CLOUD
L'une des choses les plus importantes à considérer lors de la gestion des
données est de s'assurer que vous avez des sauvegardes pour vos données.
Lorsque vous utilisez des services du cloud, assurez-vous qu'au moins une copie
de vos données est disponible en dehors de votre cloud principal.
Vous pouvez choisir de les sauvegarder dans un autre lieu stockage du cloud ou
de les sauvegarder manuellement sur un périphérique de stockage externe.
LE DÉTOURNEMENT DE COMPTES EST TOUJOURS

POSSIBLE
La nouvelle série de problèmes liés au détournement de compte est

principalement divisée en deux :
 Accès à distance aux données sensibles de votre entreprise sur le cloud ou votre
infrastructure grâce à l'utilisation des informations de connexion
 Falsification et manipulation d'informations par hijacking

D'autres méthodes de détournement ne sont pas exclues. Ils incluent des
vulnérabilités et des mots de passe réutilisés, ainsi que des liaisons inter-sites ,
mais aussi du phishing, du keylogging, ... L'attaque de "man in the cloud" est la
nouvelle menace la plus notable. Il s'agit du vol de token d'utilisateur utilisés
dans les structures de cloud afin de controller les
dispositifs/serveurs/ordinateurs sans avoir besoin de se connecter lors de
chaque mise à jour et synchronisation.
ACTIVEZ DES CONTRÔLES DE SÉCURITÉ
Activez les contrôles de sécurité sur votre base de données. Bien que la plupart
des bases de données de nos jours permettent d'activer les contrôles de
sécurité par défaut, cela ne fait jamais de mal de les passer en revue et de vous
assurer que vous avez bien vérifié les contrôles de sécurité pour voir si cela a été
fait.
Assurez-vous qu'aucun identifiant par défaut tel que sa, root, db ou autre ne
reste actif sur le serveur. Désactivez, réinitialisez ou modifiez tous les noms
d'utilisateur et mots de passe par défaut.
Appliquez les listes de contrôle d'accès, en autorisant uniquement les

applications à interroger le serveur.
Obligez les utilisateurs et les groupes authentifiés à n'accéder qu'aux vues qu'ils
doivent consulter.
UTILISEZ LES PARE-FEUX D'APPLICATIONS WEB

(WAF) POUR PROTÉGER VOS BASES DE DONNÉES
Utilisez un Web Application Frewall
Les pare-feux pour applications Web sont souvent considérés comme des pare-
feux pour serveurs mais ils protègent également les bases de données contre
les vulnérabilités de cross scripting et les attaques par injection SQL.
En empêchant l'injection de requêtes SQL par un attaquant, le Web Application

Firewall peut contribuer à préserver la confidentialité et l'intégrité des
informations sensibles stockées dans la base de données.
CHIFFREZ LES FICHIERS STOCKÉS/CONFIGURÉS

Les fichiers stockés/fichiers de configuration d'une application Web contiennent
souvent des informations de connexion sur les bases de données, telles que le
nom, l'adresse IP et les références auxquelles le logiciel doit se connecter.
Ces informations, si elles sont stockées en texte clair comme le font de

nombreuses installations par défaut, fournissent les clés dont un attaquant a
besoin pour accéder à des données sensibles.
SÉPAREZ VOS BASES DE DONNÉES DES SERVEURS

WEB/APPLICATIONS
Séparez le serveur de base de données du serveur web. Lors de l'installation de

la plupart des logiciels web, la base de données est créée pour vous. Pour
faciliter les choses, cette base de données est créée sur le même serveur où
l'application elle-même est installée, le serveur web. Malheureusement, cela
rend l'accès aux données beaucoup trop facile pour un attaquant.
Il est préférable qu'une base de données réside sur un serveur de base de

données séparé situé derrière un pare-feu, et non dans la DMZ avec le serveur
web. Bien que cela rende la configuration plus compliquée, les avantages en
matière de sécurité en valent la peine.
ÉVITEZ LES SERVEURS PARTAGÉS POUR LES

BASES DE DONNÉES CRITIQUES
Evitez d'utiliser un serveur Web partagé si votre base de données contient des
informations sensibles. Bien qu'il puisse être plus facile et moins cher
d'héberger vos bases de données sur un minimum de serveurs, vous partagez
essentiellement la configuration de sécurité de votre serveur de base de
données sur toutes vos bases de données.
JOURNALISATION ET ANALYSES DE JOURNAUX
LES JOURNAUX DE SÉCURITÉ SUR LES SERVEURS

ET LES PARE-FEUX SONT CONSERVÉS PENDANT
UNE PÉRIODE D'AU MOINS 6 MOIS
Les journaux de sécurité servent à maintenir une trace cohérente et intègre des
actions effectuées (qui a fait quoi à quel moment), d'assurer la responsabilité
des collaborateurs et de pouvoir analyser, le cas échéant, l'historique des
actions qui ont mené à un exploit.
La conservation des journaux et l'impossibilité pour les techniciens de les
effacer partiellement ou de les modifier améliore l'audit et l'analyse
d'exploits. Elle doit bien sûr être associée au retrait des comptes génériques.
UN SYSTÈME D'ANALYSE ET D'ALERTE SE BASE

SUR LES JOURNAUX AFIN DE DÉTECTER TOUT
COMPORTEMENT MALVEILLANT (SIEM)
Un Security Information and Event Management (SIEM) centralise et normalise

les événements au sein du réseau, permettant ainsi une analyse basée sur un
grand nombre de données pertinentes et un ensemble de règles analytiques
adaptées.
L'analyse quotidienne des rapports d'un SIEM permet de détecter certaines
activités suspectes ainsi que de mieux évaluer un risque potentiel.
ÉVALUEZ TOUS LES ÉVÈNEMENTS ET ALERTES

DES SERVEURS, PARE-FEUX ET COMPOSANTS DE
RÉSEAU
Les journaux de sécurité servent à maintenir une trace cohérente et intègre des
actions effectuées (qui a fait quoi à quel moment), d'assurer la responsabilité
des collaborateurs et de pouvoir analyser, le cas échéant, l'historique des
actions qui ont mené à un exploit.
La bonne analyse des événements anormaux de tous les composants réseaux
critiques, combinée à une baseline validée, permet de détecter en amont les
actions anormales voire malveillantes.
Liens utiles
https://www.ssi.gouv.fr/administration/guide/guide-dhygiene-informatique/
METTRE EN PLACE LAPS

Microsoft Local Administrator Password Solution
LAPS vous aide à maintenir la sécurité de votre réseau et à prévenir les attaques de
type "Pass-the-hash".
Trop souvent, les administrateurs utilisent les mêmes mots de passe d'administrateur
local (ou pire, le mot de passe d'administrateur de domaine) pour toutes les machines
liées au domaine qu'ils gèrent. LAPS est une solution simple fournie par Microsoft pour
vous aider à gérer vos postes de travail Windows avec un mot de passe administrateur
unique.
Liens utiles
https://www.microsoft.com/en-us/download/details.aspx?id=46899
SÉCURISEZ VOS TERMINAUX
Un terminal peut être n'importe quel appareil, connecté aux ressources de votre
organisation. Les terminaux peuvent être gérés (ordinateurs portables, stations
de travail ou serveurs) ou non gérés (téléphones portables personnels, appareils
IOT).
Pour chaque groupe de terminaux, adaptez les conseils ci-dessous à votre
situation en appliquez les mesures de sécurité qui peuvent contribuer à réduire
le risque dans votre organisation.
Isolement du réseau
Segmenter et isoler vos terminaux, afin qu'ils ne puissent accéder qu'aux

ressources dont ils ont réellement besoin.
Evaluer l'accès à l'Internet
Tous les appareils n'ont pas besoin d'un accès à l'internet, seuls les ordinateurs
portables et les postes de travail y sont autorisés, avec des utilisateurs
authentifiés.
Évaluer au cas par cas si un dispositif non authentifié a besoin d'un accès à
Internet, et limiter l'accès au strict minimum.
Installer un antivirus et des pare-feux basés sur l'hôte
Vérifiez que chaque terminal dispose d'un anti-virus et d'un pare-feu local
installé sur l'hôte
Désactiver l'utilisation des supports amovibles et toute exécution

automatique.
Les supports amovibles (clés USB, CD/DVD,...) peuvent introduire de nombreux

risques dans une organisation.
 Évaluer si un support amovible est nécessaire
 Évaluez si vous pouvez appliquer le cryptage sur les supports amovibles
 Toujours désactiver les fonctions d'exécution automatique ou de démarrage

automatique
N'installez/n'activez que les services dont vous avez réellement besoin
Pour obtenir cette configuration de sécurité de base, vous ne devez installer et

utiliser que les services nécessaires pour remplir leur rôle. Cela signifie que vous
devez supprimer et désactiver tous les composants inutiles.
SÉCURISEZ VOS SERVEURS
Tout comme vous gérez la sécurité physique de votre organisation, vous devez
gérer la sécurité de l'information. Cela concerne les informations que vous
voulez protéger et l'endroit où elles sont stockées. Ne laissez pas vos
informations accessibles à tout le monde, à tout moment.
CONTRÔLEZ QUI SE CONNECTE À VOS SERVEURS
Utilisez uniquement des comptes individuels et ne partagez jamais vos

mots de passe
Les comptes d'utilisateur, et leurs mots de passe correspondants, doivent rester
strictement confidentiels afin d'en garantir la sécurité. Les comptes partagés
présentent le risque de cacher la responsabilité de l'utilisateur et créent un manque de
traçabilité des opérations faites en son nom.

En attribuant un compte logique à un et un seul individu, et donc en n'utilisant pas de
comptes génériques, soient-ils partagés ou non, on évite l'absence de
responsabilisation d'utilisateurs. Un utilisateur peut avoir plusieurs comptes pour
plusieurs niveaux d'accès, toujours strictement personnels.
Personne ne dispose de privilèges d'administrateur pour les tâches

quotidiennes
Pour effectuer ses tâches quotidiennes, un utilisateur a besoin de certains droits
d'accès à des données de la société, à des sites internet éventuellement, mais pas de
modifier (ou laisser modifier) la configuration technique de son poste, y compris des
installations de logiciels douteux.
Donner des droits d'administrateur augmente le risque de dommages commis par

l'utilisateur en lui donnant la possibilité technique d'effectuer des opérations sensibles
à son insu, voire d'élever les privilèges, de collecter des informations sensibles, etc…
Si certaines personnes ont encore besoin d'un compte administrateur, créez un

deuxième compte utilisateur pour ces personnes, afin de travailler avec le compte par
défaut. Quand ils ont besoin d'effectuer une installation ou une modification, ils
peuvent alors se connecter temporairement à leur compte administrateur pendant
l'intervention.
Modifiez tous les mots de passe par défaut, créez des mots de passe
administrateur local uniques et désactivez les comptes inutilisés
Beaucoup d'appareils connectés, voire certains logiciels, sont fournis avec des mots de
passe par défaut qu'il n'est pas toujours obligatoire de changer à la première
utilisation. Des bases de données de ces comptes et mots de passe existent en libre
accès. Désactivez les comptes d'administrateur local ou attribuez des mots de passe
aléatoires et uniques pour chaque compte local afin de limiter les risques.
Les mots de passe par défaut sont une faille de sécurité très facilement exploitable car
largement connue et d'utilisation aisée. Les comptes non utilisés sont moins vite
détectés (voire pas détectés du tout) en cas d'attaque de force brute.

Désactivez les comptes d'administrateur local ou attribuez des mots de passe aléatoires
et uniques pour chaque compte d'administrateur local afin d'empêcher la propagation
lorsque les attaquants essaient d'utiliser des identifiants partagés.
Rendez l'authentification et les règles de mot de passe obligatoires

L'obligation d'utiliser des règles précises, par opposition au libre arbitre de chacun à ce
sujet, permet de s'assurer que celles-ci sont uniformément imposées et qu'aucune
dérogation, volontaire ou involontaire, n'est techniquement possible.
Si les règles de complexité, d'âge etc... de mots de passe ne sont pas rendues
obligatoires (mais juste "recommandées"), certains utilisateurs ne les mettront
pas en pratique par facilité ou habitude.
Links
 NIST new password guidelines
SÉCURITÉ DES SERVEURS AVANCÉE
Renforcez tous les systèmes conformément aux recommandations du

fournisseur
Les fournisseurs de matériel et de logiciels fournissent souvent des recommandations
de renforcement de la sécurité de leurs composants. Appliquer ces configurations est
une bonne pratique préventive.
Les renforcements de la configuration matérielle et logicielle rendent les

tentatives malveillantes plus difficiles et ferment de nombreuses failles de
sécurité. A combiner à un patching en temps et heure.
Isolez vos réseaux pour l'administration des serveurs
Un réseau séparé ou une zone démilitarisée dédiés aux serveurs et à leur
administration applique le principe de l'isolement des ressources critiques et rend plus
difficile la propagation de code malveillant.
La séparation physique des ressources sensibles, y compris au niveau de

l'infrastructure, permet de compartimenter les risques et éviter des propagations entre
zones de niveau de sécurité différents.

Détectez les accès irréguliers aux informations et aux systèmes
(délais, applications, données,...)
Des IDS internes (intrusion detection systems) permettent de repérer des actions
anormales perdues dans le flux des opérations réseau. Ils fournissent des indicateurs
précieux pour détecter en amont certaines activités suspectes.
La détection en amont des activités jugées irrégulières augmente fortement la

probabilité d'une mitigation efficace ultérieure. Elle fournit aussi des indications post-
incident de la manière dont une attaque s'est déroulée.
Liens utiles
https://www.cybersecuritycoalition.be/(link is external)
https://www.ssi.gouv.fr/administration/guide/guide-dhygiene-informatique/(link is
external)
https://snort.org/ (link is external)
CONTROLE DE L’ACCÈS À VOS SERVEURS
Évitez la connexion directe à distance aux serveurs

Les connexions à distance aux serveurs sont utilisées pour les interventions techniques
sur des machines non locales. Cela permet à des équipes externes d'effectuer des
interventions, mais aussi pour des équipes internes d'éviter l'accès physique aux salles
informatiques protégées.
La connexion à distance pose le problème de l'authentification : comment

s'assure-t-on que le technicien est bien la personne prétendue ; sa station de
travail est-elle suffisamment sécurisée ; etc.… C'est également une porte
ouverte supplémentaire aux attaques extérieures.
Utilisez les VPN, un mot de passe et vérifiez les logs d'accès.

Fermez les ports et services non utilisés
Des ports inutilement ouverts et/ou des services inutiles sont des points d'entrée
courants pour du code malicieux. Les fermer est une mesure simple et efficace qui ne
nuit pas aux fonctionnalités d'une machine.
Les ports et services non utilisés peuvent être scannés rapidement et facilement à l'aide
d'outils gratuits, qui livrent une liste de failles potentielles aisément exploitées.
SÉCURISEZ LES POSTES DE TRAVAIL ET LES

APPAREILS MOBILES
STOCKEZ OU COPIEZ TOUTES LES DONNÉES VIA

UN SERVICE DE STOCKAGE
Les disques durs locaux des postes de travail, des serveurs, ainsi que les
mémoires locales des appareils mobiles, présentent un risque très réel de
dysfonctionnement, d'infection délibérée ou accidentelle et de manipulation
malveillante. Plusieurs solutions de stockage peuvent être envisagées: serveurs,
NAS (Network Area Storage) même si celui-ci est moins utilisé, ou un service
Cloud.
Le stockage externe rend l'information redondante et permet des procédures
automatisées de vérification antivirus, de gestion des versions, de backup et
d'éventuel archivage.
Links
LES POSTES DE TRAVAIL ET LES APPAREILS

MOBILES NON UTILISÉS SONT VERROUILLÉS
AUTOMATIQUEMENT
Le verrouillage automatique, après une durée d'inactivité préalablement

choisie, permet à l'utilisateur de ne pas se soucier de laisser son appareil en
accès libre. Il se verrouillera de lui-même et un pin code (ou autre système à
facteur d'authentification unique) le protégera.
Un poste de travail non verrouillé peut livrer des informations lorsqu'il est
manipulé par une tierce personne, que ce soit interactivement ou par connexion
câblée et/ou sans fil. L'utilisateur ne sera même pas conscient du vol de
données.
Toujours verrouiller les postes de travail (CTRL + ALT + DEL ou Windows Logo +
L) durant son absence et aussi sécuriser les ordinateurs portables avec un
verrou d'ordinateur portable et une clé pour empêcher le vol.
EMPÊCHEZ LA CONNEXION DES MEDIA NON

CONNUS
La connexion d'appareils privés, de par l'inconnue de leur état d'infection ou du

niveau de mise à jour, est une menace très réelle pour un réseau d'entreprise.
Une gestion des connexions (via un Network Access Control - NAC) ne permet la
connexion que pour les appareils officiels connus et répertoriés.
Grâce au filtrage des connexions au réseau (NAC), les appareils non officiels
sont rejetés au niveau du switch. Ils ne peuvent ainsi pas servir à collecter des
données relatives à l'infrastructure réseau.
Désactivez la possibilité d'utiliser des médias non chiffrés.

Links
http://opennac.org/opennac/en.html
LES DONNÉES STOCKÉES DANS LE CLOUD SONT

CHIFFRÉES (PAR EXEMPLE BOXCRYPTOR)
Le chiffrement des données stockées en dehors de l'entreprise, notamment

dans le cloud et/ou en dehors de la législation européenne, permet de ne plus
se soucier des possibilités d'accès et d'autorisation des personnes externes à
l'entreprise.
Les données chiffrées éliminent le risque de fuite d'information par du
personnel externe non scrupuleux ou par toute faille/exploit technique y
donnant accès. Ces données, même publiées, ne sont pas lisibles sans les clés
adéquates, qui sont stockées séparément.
Links
https://veracrypt.codeplex.com/(link is external)
https://cryptomator.org/
LES MÉDIAS EXTERNES
Les lecteurs de médias externes comme les clés USB sont contrôlés au
niveau des virus éventuels avant d'être connectés à un ordinateur
Avant même de pouvoir être lus, les périphériques externes de stockage

(disques dur, clés USB, disques optiques, cartes mémoire, etc.…) sont analysés
par l'antivirus.
Le scan obligatoire des périphériques de stockage externe permet de détecter

les médias infectés avant qu'ils ne tentent de manipuler l'ordinateur hôte. C'est
un compromis à la fermeture totale des ports USB.
Désactivez la fonction "Autorun" des médias externes
La fonction "Autorun" déclenche sans intervention de l'utilisateur du code

exécutable sur un périphérique externe de stockage (disque optique, disque dur
externe, stick mémoire, carte flash, etc…).
Ce code, exécuté à chaque connexion, est un risque majeur d'infection d'un

poste de travail. Son utilisation probablement partagée entre plusieurs
utilisateurs/plusieurs machines augmente fortement sa nocivité.
Liens utiles
Désactivez l'exécution automatique
LES DISQUES DURS, LES MÉDIAS ET LES

IMPRIMANTES DÉCLASSÉS CONTENANT DES
DONNÉES SONT PHYSIQUEMENT DÉTRUITS
La destruction garantie des supports de données (disques durs, disques

optiques, cartes mémoire, bandes, etc…) annule le risque de vol de données par
des parties tierces quand ces médias quittent la société.
Il existe des normes (par exemple militaires) d'effacement des données par
écritures variées et répétées.
Une solution fiable est la destruction physique des médias par une société
agréée, délivrant un certificat officiel.
Liens utiles
https://www.ssi.gouv.fr/publication/lanssi-et-la-cgpme-publient-le-guide-des-
bonnes-pratiques-de-linformatique/
CHIFFREZ LES DISQUES DURS ET MEDIA

EXTERNES
Le chiffrement permanent et au niveau pré-système d'exploitation permet de

garantit la non-accessibilité des données en cas de perte ou de vol d'un
ordinateur portable.
Le chiffrement des disques (et non pas de fichiers ou répertoires individuels)
élimine le risque d'accès physique aux données suite à une perte ou un vol. Cela
garantit qu'une fois une session clôturée ou une machine éteinte, la possession
physique d'un disque est sans intérêt.
Cela est également important dans le contexte de la législation sur la protection

de la vie privée, plus particulièrement en ce qui concerne l'obligation de
déclaration des fuites de données. Cette obligation de déclaration ne s'applique
pas lorsque l'ordinateur perdu a été chiffré.
Links
N'AUTORISER L'EXÉCUTION DE PROGRAMMES

QUE DANS CERTAINS DOSSIERS
Empêcher l'exécution de programmes en dehors des dossiers autorisés permet

de limiter fortement la propagation des logiciels malicieux. Ceci peut être réalisé
en modifiant les droits sur les dossiers/fichiers.
Bloquer l’exécution de programmes dans le dossier "Téléchargements" ou dans
les dossiers de l’utilisateur, permet d'empêcher les infections dues à des
logiciels reçus par email ou téléchargés d'internet (par exemple, les
ransomware).
Maintenir une "liste blanche" des programmes permis.
Tout programme sur les machines devrait être autorisé (Application

whitelisting).
SÉCURISEZ LES APPAREILS MOBILES ET TABLETTES

UTILISEZ DES MOTS DE PASSE/BIOMÉTRIQUES
FORTS
L'utilisation de mots de passe forts couplés à des caractéristiques biométriques,

telles que les authentificateurs d'empreintes digitales, rendent l'accès non
autorisé presque impossible. Utilisez l'authentification multi-facteur pour toute
connexion aux ressources de l'entreprise. Ne permettez pas à vos utilisateurs de
sauvegarder leurs mots de passe dans leur navigateur et désactivez toute
fonction de "mémorisation de mon mot de passe".
N'AUTORISEZ QUE DES CONNEXIONS DE VIRTUAL

PRIVATE NETWORK (VPN) À PARTIR DE
TERMINAUX
Les terminaux ne doivent pas pouvoir se connecter de manière peu sécurisée,

c'est-à-dire sans authentification forte et/ou sans chiffrage en temps réel de la
communication.
Un VPN permet à un utilisateur d’avoir un chiffrement permanent et
transparent.
CHIFFREZ VOTRE APPAREIL
Le chiffrement est le processus qui consiste à rendre les données illisibles pour
l'utilisateur non autorisé. Chiffrez tous les appareils mobiles avec un chiffrement
fort. Ceci est important en cas de vol ou de perte, et empêche l'accès non
autorisé
LIMITEZ L'ACCÈS À DISTANCE À CE QUI EST

STRICTEMENT NÉCESSAIRE
L'accès à distance est un affaiblissement "nécessaire" de la sécurité. Il doit être

restreint aux utilisateurs validés et aux ressources nécessaires.
Le "moindre privilège" est un principe fondamental en sécurité, attribuant aux
utilisateurs ce dont ils ont besoin, mais rien de plus. Cela est également valable
pour les accès à distance qui doivent rester l'exception et pas la norme.

Links
 NIST : Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD)
FORCEZ LE VPN SUR LES RÉSEAUX PUBLICS
Les appareils mobiles se connectent souvent au WiFi dans les lieux publics.
Assurez-vous que vos appareils mobiles sont équipés d'un logiciel qui identifie
les réseaux publics et utilise un VPN pour crypter tout le trafic Internet.
VERROUILLAGE À DISTANCE ET EFFACEMENT

DES DONNÉES À DISTANCE
Les appareils mobiles sont sujets à la perte et au vol, mais ils restent souvent à
la disposition des employés après leur départ de l'entreprise. Assurez-vous que
vous avez la capacité de verrouiller et d'effacer à distance l'appareil de toutes les
informations de l'entreprise. Le nettoyage à distance peut être réalisé en
utilisant la gestion des appareils mobiles, mais il est plus souvent qu'autrement
inclus dans les services de messagerie mobile.
MISE À JOUR AUTOMATIQUE DE VOTRE APPAREIL
Le système d'exploitation de votre appareil peut être vulnérable aux menaces

de sécurité. De nouvelles failles pourraient être exploitées, laissant votre
appareil ouvert aux menaces. Pour éviter cela, gardez à jour votre système
d'exploitation. Les fabricants publient des mises à jour de temps en temps.
Celles-ci agissent comme correctif de sécurité pour les vulnérabilités connues de
votre appareil.
Activez les mises à jour automatique.
UTILISEZ LA GESTION DES APPAREILS MOBILES

(MDM)
Assurez-vous que votre entreprise est capable d'isoler les applications de

l'entreprise des applications privées. La gestion des appareils mobiles vous
permettra de contrôler l'intégration, l'inscription, la gestion, l'effacement et la
mise à jour de l'appareil de façon centralisée.
Une solution de gestion des appareils mobiles (MDM - Mobile Device
Management) peut aider les entreprises à résoudre les problèmes de sécurité
associés aux appareils mobiles. Le MDM offre aux administrateurs un moyen de
suivre les appareils mobiles perdus ou volés à l'aide du GPS, d'effacer les
données à distance quand cela est nécessaire, et plus encore.
La plupart des systèmes de gestion d'appareils mobiles offrent plusieurs des

avantages ci-dessous :
Isolement
La conteneurisation donne aux administrateurs un moyen d'isoler les données

de l'entreprise des applications personnelles. L'isolation des données
d'entreprise sur les appareils mobiles des employés permet d'éviter que les
vulnérabilités des applications personnelles ne mettent en péril la sécurité des
données d'entreprise.
Gestion des e-mails
Le courrier électronique est un moyen de communication essentiel pour la

plupart des entreprises, mais c'est aussi une source importante de fuites de
données.
Mises à jour du système d'exploitation
Maintenir les appareils à jour a toujours été une pratique essentielle. Le MDM
facilite le déploiement à distance des mises à jour critiques du système
d'exploitation, en maintenant les vulnérabilités du système d'exploitation
corrigées et en empêchant toute attaque de malware mobile ciblant le système
d'exploitation. Les mises à jour automatiques du système d'exploitation,
associées à une planification et à des tests appropriés, aident les entreprises à
éviter les pannes inutiles et à améliorer la productivité globale des employés.
Suivi des périphériques et suppression à distance
Les utilisateurs ne manipulent pas tous leurs appareils de façon sécuritaire ;

certains employés peuvent perdre leurs appareils ou être victimes de vol. Avec
les procédures de sécurité MDM en place, les administrateurs peuvent localiser
ces appareils perdus et effacer à distance les données de l'entreprise qui s'y
trouvent, en les gardant en sécurité.
Autres contrôles
Outre les contrôles mentionnés ci-dessus, le MDM permet également aux

administrateurs de détecter les périphériques compromis, de bloquer les URL
indésirables, de sécuriser la communication réseau de leur organisation en
déployant des configurations de proxy, etc.
SÉCURISEZ LES DISPOSITIFS NON GÉRÉS
APPLIQUEZ LA SEGMENTATION ET L'ISOLATION

DU RÉSEAU
Les dispositifs connectés à Internet nécessitent une connectivité à Internet,

mais aussi souvent aux services internes. Dans la mesure du possible, isolez
tous les dispositifs connectés à Internet des ressources de l'entreprise dans des
segments de réseau séparés.
Appliquez la liste de contrôle d'accès ou les règles de pare-feu pour n'autoriser

que les connexions strictement nécessaires à la fois aux ressources internes et à
l'internet public.
CHANGEZ TOUS LES NOMS D'UTILISATEUR ET

MOTS DE PASSE PAR DÉFAUT
Les périphériques connectés à Internet sont souvent livrés avec des noms
d'utilisateur et des mots de passe intégrés, faciles à deviner... Assurez-vous de
changer tous les noms d'utilisateur et mots de passe par défaut dès que la
configuration est terminée.
Lorsque c'est possible, limitez également l'accès administratif à ces

périphériques à un réseau de gestion spécifique ou à des postes de travail
spécifiques.
DÉSACTIVEZ LES SERVICES NON NÉCESSAIRES
Les dispositifs connectés à Internet sont conçus pour être faciles à utiliser, ils
utilisent souvent des protocoles de découverte, tels que UPNP, qui facilitent la
configuration. Une fois la configuration terminée, assurez-vous de désactiver
tous les services qui ne sont pas requis pour les opérations normales.
INVENTORIEZ ET SURVEILLEZ TOUS LES
APPAREILS CONNECTÉS
Les appareils connectés à Internet sont partout, et souvent là où on ne les

attend pas... Assurez-vous d'avoir un inventaire complet de tous les appareils
connectés à votre réseau... Ils peuvent être n'importe quoi; des interrupteurs,
des robots, des réfrigérateurs, des thermostats, des unités de climatisation, des
systèmes de vidéoconférence, des téléphones IP, ...
Avoir un inventaire complet vous aidera à évaluer le risque pour chacun d'eux,
et à appliquer les mesures appropriées pour les protéger.
METTEZ RÉGULIÈREMENT À JOUR LES

APPAREILS
Les dispositifs connectés à Internet sont souvent difficiles à gérer de façon

centralisée, mais les fabricants publient régulièrement des mises à jour
fonctionnelles et de sécurité pour ces dispositifs.
Assurez-vous d'avoir un processus en place qui vous informe de toute nouvelle

mise à jour de sécurité et appliquez-les rigoureusement à chaque dispositif.
EFFECTUEZ UNE RESTAURATION

PÉRIODIQUEMENT
La sauvegarde des données est essentielle pour la récupération après un

sinistre important. Testez et évaluez régulièrement votre stratégie de
sauvegarde et de restauration.
Testez vos restaurations afin de vérifier :
Défaillance du support
C'est l'une des raisons les plus courantes pour lesquelles les sauvegardes et les
restaurations échouent, et une raison qui n'a rien à voir avec votre logiciel. C'est
particulièrement fréquent lors de l'utilisation de CD ou de DVD. Assurez-vous de
suivre les précautions appropriées pour le stockage de ces supports et
souvenez-vous que certains supports ont une date de péremption.
L'exécution d'un test de restauration est le moyen le plus rapide de vous assurer
que votre support est totalement fonctionnel et que vos données sont
correctement stockées.
Erreur humaine
L'erreur humaine est l'une des causes principales des échecs de restauration.
Les supports de restauration peuvent être mal étiquetés, stockés au mauvais
endroit, certains serveurs peuvent avoir été exclus et les services critiques
échouent à cause d'une mauvaise configuration.
En exécutant une restauration de test, non seulement vous vérifiez que le travail
a été effectué correctement, mais c'est un excellent exercice de répétition an
vue d'une catastrophe. Vous voulez vous familiariser avec le processus pour
réduire les temps d'arrêt.
Espace de stockage
Les restaurations nécessitent une énorme quantité de mémoire disque car

souvent il faut être capable de reproduire les données d'une machine entière
tout en conservant les informations d'origine. Un test de restauration vous fera
prendre conscience de vos limites de stockage et de l'étendue de la
restauration.
Temps nécessaire pour restaurer
La performance du réseau, la connectivité, la performance du serveur de

sauvegarde et les médias ont tous un impact sur le temps nécessaire pour
restaurer un serveur/service à son état de sauvegarde.
Effectuez des tests de restauration périodiquement peut vous aider à évaluer

votre temps de restauration, et évaluer si nécessaire un temps correspondant à
votre objectif.
Autorisations
La sauvegarde et la restauration des services ne reposent pas toujours sur les

mêmes autorisations. Les services de sauvegarde peuvent ne pas avoir les
permissions nécessaires pour faire une copie de toutes les données, et la
restauration d'une base de données par exemple peut échouer, à cause de
permissions incorrectes.
Restaurez une sauvegarde régulièrement peut vous aider à évaluer les

permissions nécessaires à la fois pour la sauvegarde et la restauration.
SOUMETTEZ VOS RÉSULTATS AU MANAGEMENT
ET DEMANDEZ UN FEEDBACK
L'état de votre programme de sécurité informatique, les KPI mesurés et les

résultats des audits internes et externes sont des renseignements précieux
pour l'entreprise. Communiquez et demandez une feedback à votre direction
régulièrement.
La direction vous fournira des directives concernant les changements apportés

à l'entreprise, les changements dans la propension au risque, les mises à jour
des politiques et des procédures.
La demande de feedback au management permettra d'évaluer périodiquement

les différents processus et de mettre en œuvre les mesures nécessaires pour
atteindre les résultats et les améliorations prévus.
MISE À JOUR CONTINUE DE VOTRE REGISTRE

D'ACTIFS
Votre infrastructure, vos applications et vos services sont en constante

évolution. Votre registre des actifs doit être mis à jour après chaque
changement, nouvelle implémentation ou mise hors service de systèmes et
d'applications.
La mise à jour de votre registre des actifs est essentielle pour pouvoir examiner
votre risque de sécurité et prendre les mesures appropriées.
ÉVALUEZ VOTRE REGISTRE DES RISQUES DE

FAÇON CONTINUE
Vos risques de sécurité sont en constante évolution... De nouvelles

vulnérabilités et menaces sont constamment découvertes, et les vulnérabilités
existantes sont atténuées par la mise à jour de votre serveur.
Afin de maintenir une vue pertinente sur l'efficacité de votre programme de

sécurité, votre registre des risques doit être continuellement mis à jour. Les
données à mettre à jour peuvent provenir d'évaluations de vulnérabilité, de
tests de pénétration, d'audits internes ou externes,...
Votre registre des risques ne doit pas être limité aux seuls risques
informatiques, les risques de sécurité peuvent également être mis à jour en
fonction des changements dans l'entreprise.
Si votre organisation a démarré une boutique en ligne, a étendu ses activités à

de nouvelles régions, ... cela peut également impliquer de nouveaux risques à
évaluer.
Votre registre des risques est le cœur et l'âme de votre programme de sécurité !
Tenez-le rigoureusement à jour !
ÉVALUEZ PÉRIODIQUEMENT LA SENSIBILISATION

ET LA RÉACTIVITÉ DES UTILISATEURS
La manière et le moyen de communication que vous employez pour sensibiliser

et former vos collaborateurs déterminant dans une campagne de
sensibilisation. Assurez-vous que votre campagne a touché tous vos
collaborateurs. Réévaluez constamment votre technique de communication
interne afin de l'améliorer.
Pour ce faire, en plus des résultats des campagnes, n'hésitez pas à lancer des
quizz, des enquêtes auprès de vos collaborateurs. Testez par exemple vos
collaborateurs pour observer comment ils réagissent à des mails de phishing.
RAPPELEZ RÉGULIÈREMENT AUX UTILISATEURS

L'IMPORTANCE D'UN COMPORTEMENT SÛR AINSI
QUE CE QU'EST UN "COMPORTEMENT SÛR"
Un code de conduite est l’outil de base d’une politique de sécurité de

l'information axée sur la confidentialité, l'intégrité et la disponibilité de
l'information au sein de votre organisation. Qui doit le rédiger? Quel est son
rôle? Que doit-il contenir?
Fixer des objectifs puis définir et surveiller les résultats sont des étapes cruciales
pour la gestion et l’implication du personnel. Il s'agit d'utiliser des outils
permettant de parler le même langage et de se référer à des éléments lisibles et
bien définis.
Les questions à se poser :
1. Les connaissent-ils ?
2. Savent-ils ce qu'ils doivent/peuvent ou ne pas faire ?
3. Comment s’en servir avec des fournisseurs ?
RAPPELEZ RÉGULIÈREMENT AUX UTILISATEURS

QUE CERTAINES INFORMATIONS DOIVENT ÊTRE
CONSIDÉRÉES COMME SENSIBLES ET TRAITÉES
DANS LE RESPECT DES RÈGLES DE PROTECTION
DE LA VIE PRIVÉE

fonctionnement. Que feriez-vous si un brevet essentiel à votre organisation était
divulgué ? Si des données sensibles de vos clients étaient divulguées ?
La bonne compréhension par tous les utilisateurs de la notion de confidentialité
et de données sensibles permet d'éviter les maladresses, voire les fautes
professionnelles, liées au respect de la vie privée.
Fixer des objectifs puis définir et suivre des indicateurs de résultats est
indispensable pour le pilotage de l’action entreprise et pour l’implication du
personnel. Il s'agit d'outils permettant de parler le même langage et de se
référer à des éléments lisibles et bien définis.
Liens utiles
 CyberSimple.be(link is external)
 SafeOnWeb.be : Apprennez à reconnaître les e-mails frauduleux(link is external)
 No More Ransom
 Prenez en main la sécurité
COMPRENDRE LES BESOINS DE VOTRE

ENTREPRISE
Ayez une vision claire du contexte de l'entreprise et des différents facteurs

internes et externes qui peuvent influencer vos opérations courantes. Sur base
de la compréhension de votre entreprise, mais plus important encore du
contexte environnant, une décision de gestion doit être prise en fonction de
votre appétence au risque et d'une définition claire des niveaux de risque que
vous êtes prêt à accepter. Des informations suffisantes doivent être disponibles
pour comprendre ce que fait votre organisation et qui dans votre organisation
est responsable de quoi. N'oubliez pas que les partenaires externes, comme les
sous-traitants, peuvent avoir une influence sur votre cybersécurité.
Lois, règlements et normes de l'industrie
En plus de comprendre et de documenter votre organisation interne et vos

partenaires externes, les entreprises doivent également connaître les
réglementations, directives et meilleures pratiques de l'industrie dans laquelle
elles se trouvent. Les entreprises impliquées dans le traitement de données
personnelles importantes peuvent être influencées par le RGPD, tandis que les
entreprises qui offrent par exemple des services internet peuvent être soumis
au règlement NIS.
S'efforcer de respecter les exigences légales et réglementaires en matière

de confidentialité, de traitement des données et de sécurité
Le respect de la vie privée et la protection des données personnelles sont des

principes réglementés auxquels toute organisation qui traite des données
personnelles de résidents dans l'UE doit adhérer. La loi prévoit de nombreuses
obligations, y compris une obligation de compiler un registre de données
personnelles pour sécuriser correctement les données personnelles et une
obligation de signaler la perte de données (perte ou vol de données
personnelles) à l'autorité de protection des données (aujourd'hui la Commission
de la vie privée).
Liens Utiles
Registre des activités de traitement(link is external)

Protection des données et RGPD(link is external)
COMPOSEZ VOTRE ÉQUIPE DE SÉCURITÉ
DÉSIGNEZ UN RESPONSABLE DE LA SÉCURITÉ

DES SYSTÈMES D'INFORMATION (RSSI)
Le responsable de la sécurité des systèmes d'information est avant toute chose

chargé de la définition et de la mise en œuvre de la politique de sécurité de
l'entreprise. Concrètement, il garantit la disponibilité, la sécurité, et l'intégrité du
système d’information et des données.
Etant donné que de nombreuses petites et moyennes enterprises éprouvent
des difficultés avec les mécanismes de sécurité de base et compte tenu de leurs
ressources limitées, un rôle de responsable de la sécurité de l'information peut
vous aider à analyser vos besoins. Le rôle d'agent de sécurité de l'information
ne doit pas nécessairement être une personne dédiée, choisissez quelqu'un
dans votre organisation qui est disposé et capable de jouer ce rôle. Envisagez
des formations sur la sécurité et allouez le temps nécessaire pour remplir le
rôle.
La personne désignée assumera les tâches suivantes :
 Gestion de la Sécurité et des Risques (élaboration d'analyses de risque) ;
 Élaboration des procédures relatives à la sécurité de l'information et/ou à la protection

des données ;
 Elaboration d’un plan de sécurité et avis de sécurité ;
 Respect des normes comme par exemple la norme ISO27001 ou 27002 ;
 Réalisation d’audits de sécurité ou relatif à la protection des données.

Liens utiles
 Profil de fonction : Conseiller en technologies de l'information et en sécurité de

l'information
NOMMEZ UN DÉLÉGUÉ À LA PROTECTION DES

DONNÉES (DPD)
Votre entreprise/organisation doit désigner un DPD, si ses activités principales

impliquent l'utilisation de données sensibles, ou un contrôle systématique, à
grande échelle. À cet égard, la surveillance du comportement des personnes
comprend toutes les formes de suivi et de profilage sur Internet, y compris à
des fins de publicité comportementale.
Les administrations publiques ont toujours l'obligation de désigner un DPD

(sauf pour les tribunaux agissant dans le cadre de leur compétence judiciaire).
Le DPD peut être un membre du personnel de votre organisation ou peut être

engagé par contrat externe sur la base d'un contact de service. Un DPD peut
être un individu ou une organisation.
Exemples:
Obligation de désigner un délégué à la protection des données
Un DPD est obligatoire par exemple lorsque votre entreprise/organisation est :
 un hôpital qui traite un grand nombre de données sensibles ;
 une société de sécurité chargée de surveiller les centres commerciaux et les espaces
publics ;
 une petite société de chasseur de têtes qui établit le profil des individus.
Le délégué à la protection des données n'est pas obligatoire
Un DPD n'est pas obligatoire si :
 vous êtes un médecin généraliste et vous traitez les données personnelles de vos
patients ;
 vous avez un petit cabinet d'avocats et vous traitez les données personnelles de vos
clients.
IDENTIFIEZ LES COMPÉTENCES CLÉS ET LES

PERSONNES QUI LES POSSÈDENT
En plus de la direction et du responsable de la sécurité de l'information, vous

devez identifier qui, à l'intérieur ou à l'extérieur de votre organisation, sera
impliqué en cas d'incident.
N'oubliez pas d'inclure des informations provenant de tiers (coordonnées,

numéro de contrat, ...), en particulier lorsque vous utilisez des services du cloud.

Cela comprendra généralement les membres de :
 Sécurité physique/Installations
 Ressources techniques (administrateurs de serveur, ingénieurs réseau et sécurité,

développeurs d'applications)
 Communications d'entreprise
 Ressources humaines et formation
 Juridique et conformité
 Vérification interne
 Fournisseurs de services tiers et contacts dans le cloud

Pour chacun d'entre eux, vous devriez avoir :
 Coordonnées (pendant et en dehors des heures d'ouverture)
 Informations sur le contrat
 Niveau de service/Accords de soutien
 Information hiérarchique
Liens utiles
https://www.cybersecuritycoalition.be/resource/incident-management-guide/
ASSUREZ-VOUS QUE LE RESPONSABLE DE LA

SÉCURITÉ DE L'INFORMATION SOIT UN AGENT
INDÉPENDANT
L'indépendance par rapport au service informatique et à ses opérations est un

critère essentiel pour que le conseiller en sécurité puisse mener à bien sa
mission.
Idéalement, le responsable de la sécurité ne rapporte pas au directeur
informatique mais directement au plus haut niveau de la direction.
ELABOREZ UNE POLITIQUE DE SÉCURITÉ ET DES

PROCÉDURES
CLASSEMENT ET TRAÇABILITÉ DES

INFORMATIONS SENSIBLES
L'objectif d'une classification de base des informations est de vous aider à

distinguer les informations, à sensibiliser, à éviter les confusions et les
malentendus. La classification des informations de base vous permettra
d'adapter les mesures de sécurité en fonction du type d'information.
Vous devriez classer l'information; par exemple l'information publique sur le site
Web, l'information confidentielle d'usage interne et l'information personnelle
connexe. Si vous communiquez cette catégorisation à vos employés, cela vous
aidera énormément à les sensibiliser, à éviter la confusion et les malentendus.
La classification devrait être utilisée pour lier certaines mesures de sécurité à
des types d'information, comme le verrouillage des portes ou le chiffrement
d'un document.
Link
https://www.itgovernance.co.uk/blog/what-is-information-classification-a...
NTRODUISEZ LES NOTIONS DE 'BESOIN DE

SAVOIR', DU 'MOINDRE PRIVILÈGE' ET DE LA
'SÉPARATION DES TÂCHES'
Need to know, Least Privilege and Segregation of duties
Besoin de savoir
L'expression "besoin de savoir" décrit une restriction de l'accès à une

information/système considéré comme sensible, aux seules et uniques
personnes qui en ont besoin, et éventuellement pour une période limitée. Le
propriétaire doit évaluer qui a un besoin spécifique de lire ou de modifier, et
pendant combien de temps cet accès est nécessaire.
Le moindre privilège
Le principe du moindre privilège est l'idée que tout utilisateur, programme ou

service ne devrait avoir que le strict minimum de privilèges nécessaires pour
remplir sa fonction. Par exemple, un compte utilisateur créé pour extraire des
enregistrements d'une base de données n'a pas besoin d'accéder aux partages
de fichiers.
Séparation des tâches
La séparation des tâches répond à deux objectifs principaux : Elle permet de

s'assurer qu'il y a une surveillance et un examen pour déceler les erreurs. Elle
aide à prévenir la fraude ou le vol parce qu'il faut que deux personnes
s'entendent pour cacher une transaction.
PUBLIEZ UNE POLITIQUE DE DIVULGATION
RESPONSABLE
Grâce à une politique de divulgation coordonnée des vulnérabilités (ou politique

de divulgation responsable), vous participez à la communication des éventuelles
failles de sécurité découvertes sur les systèmes de votre organisation.
Une politique de divulgation coordonnée des vulnérabilités est un ensemble de
règles préalablement déterminées par une organisation responsable de
technologies de l’information ou de la communication autorisant des
chercheurs en sécurité ou le grand public à rechercher, avec de bonnes
intentions, de potentielles vulnérabilités dans ses systèmes, ou à lui transmettre
toute information pertinente découverte à ce sujet. Ces règles, généralement
rendues publiques sur un site internet, permettent de fixer un cadre juridique à
la collaboration entre l’organisation responsable et les participants à la
politique.

Links:
www.enisa.europa.eu/publications/vulnerability-disclosure
PUBLIEZ UNE POLITIQUE DE DIVULGATION

RESPONSABLE
Grâce à une politique de divulgation coordonnée des vulnérabilités (ou politique

de divulgation responsable), vous participez à la communication des éventuelles
failles de sécurité découvertes sur les systèmes de votre organisation.
Une politique de divulgation coordonnée des vulnérabilités est un ensemble de
règles préalablement déterminées par une organisation responsable de
technologies de l’information ou de la communication autorisant des
chercheurs en sécurité ou le grand public à rechercher, avec de bonnes
intentions, de potentielles vulnérabilités dans ses systèmes, ou à lui transmettre
toute information pertinente découverte à ce sujet. Ces règles, généralement
rendues publiques sur un site internet, permettent de fixer un cadre juridique à
la collaboration entre l’organisation responsable et les participants à la
politique.

Links:
www.enisa.europa.eu/publications/vulnerability-disclosure
POLITIQUE DE SAUVEGARDE
Faire des sauvegardes régulières et complètes des données est la seule bonne
assurance contre une infection ou une attaque qui corromprait les données de
production ou les rendrait inaccessibles.
Les sauvegardes régulières consistent à faire une copie de toutes les données
importantes sur un support (non) physique, qui est différent de celui sur lequel
les données ont été générées. La meilleure façon de commencer est de mettre
en place une politique pour les utilisateurs finaux qui explique où les données
critiques doivent être stockées (par exemple sur un disque partagé, un
emplacement spécifique, etc.).
Définissez la fréquence des sauvegardes pour chaque type de données, le
support sur lequel elles doivent être stockées et la durée de conservation de la
sauvegarde
Votre politique de sauvegarde doit également comporter des dispositions

relatives au chiffrement, au stockage et à la récupération des sauvegardes hors
site ou sur le cloud et à la personne autorisée à demander la récupération de
vos sauvegardes.
POLITIQUE SUR LES APPAREILS MOBILES
Une politique relative aux appareils mobiles devrait informer vos utilisateurs de
ce qui est acceptable lors de l'utilisation de téléphones, de tablettes ou d'autres
appareils mobiles appartenant à une entreprise ou à un particulier.
La politique relative aux appareils mobiles devrait inclure :
 Utilisation d'appareils gérés par l'entreprise
 Utilisation d'appareils personnels non gérés
 Exigences de sécurité pour les appareils mobiles

Les appareils mobiles, qu'ils appartiennent à une société ou qu'ils soient
"Apportez votre propre appareil" (BYOD - Bring Your Own Device), doivent
toujours être cryptés et protégés par au moins un code PIN. Il devrait toujours
être possible d'effacer à distance les données de l'entreprise contenues sur
l'appareil mobile.
Une solution de gestion des appareils mobiles peut techniquement mettre en
application plusieurs de ces politiques, peut réduire votre exposition en cas de
perte, de vol ou de départ d'un employé de l'entreprise.
Les solutions de gestion des appareils mobiles qui devraient être mises en
œuvre :
 Appliquer l'authentification multi-facteur lorsque cela est possible
 Cryptage de bout en bout de tout le trafic entre l'appareil mobile et l'environnement de

l'entreprise
 Gestion à distance et destruction des données de l'entreprise sur l'appareil
 Mettre en place les demandes de l'entreprise, et ne pas altérer l'appareil
 Consigner et signaler les violations de la charte.
POLITIQUE EN MATIÈRE DE COURRIEL ET DE

COMMUNICATION
Politique en matière de courriel et de communication
Une politique en matière de courriel et de communications devrait traiter de

l'utilisation et de la conservation correctes des courriels. Une politique en
matière de courrier électronique sensibilisera les utilisateurs aux implications de
l'utilisation du courrier électronique et à son impact potentiel sur votre
entreprise.
Une politique en matière de courrier électronique devrait inclure :
 Utilisation acceptable du courrier électronique à des fins professionnelles et/ou

personnelles
 Sensibilisation aux conséquences de l'utilisation du courrier électronique sur la vie

privée
 La politique de conservation des courriels
 Sécurité du courrier électronique
 Directives concernant le transfert automatique de courrier électronique

 Utilisation de systèmes de messagerie tiers (Google, Outlook, Yahoo,...) pour un usage
personnel
 Informations sur la surveillance du courrier électronique par l'organisation
PLAN DE TRAITEMENT DES INCIDENTS
Gestion des incidents
L'objectif d'une gestion de base des incidents est de vous préparer en cas
d'interruption imprévue. Savoir qui fait quoi et quand, et qui avertit qui par
quels moyens et quand, vous permet de gagner un temps précieux en cas
d'interruption imprévue.
Pour ce faire, vous devez disposer d'une liste complète et à jour des contacts
internes (personnel) et externes qui peuvent être impliqués en cas d'incident
majeur. Ces listes devraient être distribuées dans toute l'organisation. Les listes
de contacts doivent être claires et leurs détails (téléphone, courriel, messagerie,
etc.) doivent être à jour.
Pour avoir une gestion de base des incidents, il est important de garder une
trace de tous les incidents de cybersécurité survenus dans le passé. Cela vous
permet de mieux déterminer les risques d'un incident de cybersécurité et
d'ajuster les politiques si nécessaire. Le journal de bord de tous les incidents
antérieurs devrait au moins contenir tous les événements TIC qui ont eu ou
pourraient avoir un impact sur les services TIC.
En cas d'interruption imprévue, vous devriez avoir mis en place des procédures
de réponse aux incidents, qui peuvent vous aider à déterminer qui doit faire
quoi. Le meilleur moyen est de différencier la procédure selon le type et la
gravité de l'incident.
DISPOSEZ D'UN REGISTRE D'INCIDENTS À JOUR
Enregistrez tous les incidents
Pour avoir une gestion de base des incidents, il est important de garder une
trace de tous les incidents de cybersécurité survenus dans le passé. Cela vous
permet de mieux déterminer les risques d'un incident de cybersécurité et
d'ajuster les politiques si nécessaire. Le journal de bord de tous les incidents
antérieurs devrait au moins contenir tous les événements TIC qui ont eu ou
pourraient avoir un impact sur les services TIC.
TOUS LES TRAVAILLEURS DOIVENT CONNAÎTRE

LE POINT DE CONTACT POUR SIGNALER UN
INCIDENT
Une liste exhaustive et à jour des collaborateurs impliqués dans un incident

majeur est distribuée à l'entièreté de l'organisation. Les personnes de contact,
classées par type d'incident, sont clairement visibles et leurs données
(téléphone, mail, messaging...) sont maintenues à jour.
La pré-programmation de raccourcis sur le bureau et/ou la pré-programmation

des coordonnées de l'incident dans les téléphones peuvent accélérer le
processus en cas d'incident.
Savoir qui fait quoi et à quel moment, qui avertir et selon quel média, fait
gagner un temps précieux lors d'une interruption non planifiée.
Informez le CERT.be en cas d'un incident grave.

Le personnel technique et les administrateurs de système et de réseau doivent
connaître les procédures d'escalade selon le type et la gravité de l'incident.
Les procédures d'escalade doivent inclure les coordonnées des personnes-

ressources de :
 Équipe de gestion
 Gestion des opérations
 Équipe des opérations
 Marketing et communications
 Responsable de la protection des données
 Services d'urgence (police, ...)
 SPF Economie (Spam, etc.)
 Conseiller juridique
 Experts en cybersécurité (sous-traitants, ...)

 Spécialistes en médecine légale
 CERT.BE
 Fournisseurs
SIGNALEZ TOUS LES INCIDENTS SIGNIFICATIFS À

VOTRE DIRECTION ET AU CERT.BE
Le but de cette obligation est de pouvoir rassembler l'information afin d'alerter

et d'aider d'autres organisations. Le partage d'informations est crucial afin de
s'assurer un environnement digital sûr et de confiance.
La remontée des incidents améliore la visibilité et la compréhension de la
sécurité.
Informez le CERT.be en cas d'un incident grave.
Liens Utiles
 Cert.be
DISPOSEZ DE PROCÉDURES D'INTERVENTION EN

CAS D'INCIDENT
De nombreuses organisations ne sont pas préparées à gérer les incidents.

Lorsqu'un incident survient, la panique s'installe... Élaborez une procédure de
réponse aux incidents et tenez-la à jour : cela vous aidera en cas d'incident. Les
récentes attaques montrent que toutes les industries sont des cibles
potentielles. Une bonne gestion des incidents est vitale pour la survie de
l'organisation.
Le plan de réponse aux incidents décrit ce qui doit être fait en cas d'incident,
selon le type et la gravité de l'incident. Même si vous n'avez pas d'incident réel,
assurez-vous de tester votre plan d'incident au moins une fois par an. La
direction, le service communication et le service juridique devraient également
être inclus dans le test.
N'oubliez pas d'inclure vos partenaires d'hébergement, partenaires de cloud,

partenaires de services gérés et fournisseurs de services externes dans votre
plan de réponse aux incidents. Assurez-vous qu'ils connaissent également votre
plan et qu'ils participent à tous les tests que vous effectuez.
Links
 https://www.sans.org/reading-room/whitepapers/incident/incident-handling-annual-
testing-training-34565(link is external)
 http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/
Incident-Management-and-Response.aspx(link is external)
 http://www.cybersecuritycoalition.be(link is external)
 https://www.cyberaware.gov.uk/cyberessentials/docs.html(link is external)
 https://wiki.en.it-processmaps.com/index.php/Incident_Management
ÉVALUEZ L'OPPORTUNITÉ D'UNE ASSURANCE

CONTRE LES INCIDENTS DE CYBER SÉCURITÉ
Certaines compagnies d'assurance offrent une couverture au niveau des risques

de cyber sécurité, comprenant de la consultante technique et procédurale post-
incident, des assessments préalables, et éventuellement des indemnités.
Afin de définir le niveau de couverture, la compagnie d'assurance fera procéder
à une évaluation du niveau de sécurité informatique de l'organisation et
proposera des actions d'amélioration. Elle définira également les actions post-
incidents et les éventuelles indemnités.
ENGAGEMENT DE LA DIRECTION
L'implication de la direction est essentielle à l'efficacité de votre programme de

sécurité de l'information. La direction peut varier selon la taille de l'entreprise.
L'objectif est d'assurer et de valider l'engagement de la direction, car la direction

est responsable de la sécurité de l'information et de sa politique.
L'implication de la direction dans le programme de sécurité de l'information
vous aidera :
 A parrainer et promouvoir la sécurité de l'information dans l'entreprise
 A comprendre l'appétence de l'entreprise pour le risque
 A un alignement avec l'entreprise et ses objectifs
 En ressources et budget
La direction pourrait aussi :
 Fournir une orientation et une méthodologie en matière de gestion des risques
 Définir les exigences et les KPI associés
 Examiner régulièrement votre sécurité de l'information
 Fixer des objectifs de sécurité de l'information pour tous les employés dans le cadre
de leur évaluation annuelle
 Approuver et communiquer vos politiques de cybersécurité
IMPLIQUEZ LA DIRECTION
La direction de l'organisation est responsable de la sécurité des informations et

doit établir les objectifs et les ambitions de l'organisation.
La stratégie et le soutien de la direction peuvent être déclinés comme suit :
1. Implication de la direction
2. Développer une stratégie de sécurité de l'information alignée sur la stratégie de

l'organisation afin qu'elle soutienne les objectifs de l'organisation, en respectant
pleinement les dispositions légales et réglementaires
3. Identifier les actifs
4. Gérer les risques pour définir les priorités et mettre en place des mesures
5. Gérer les ressources allouées à la sécurité de l'information et aux infrastructures

de manière efficace et efficiente, y compris la désignation des responsabilités en
matière de sécurité de l'information
6. Mettre en place des mesures techniques et organisationnelles
7. Définir un plan à long terme pour la formation et la sensibilisation régulières de

toutes les parties prenantes internes et externes, et de l'organisation
8. Intégrer une culture de la sécurité et de l'analyse des risques pour chaque projet
(par exemple : développement d'applications, nouvelle infrastructure ou
architecture) dès le départ ("security by design")
9. Disposer d'un plan pour gérer les incidents et les crises de sécurité
majeurs/graves
10. Avoir un plan pour la continuité des activités
11. Mesurer la performance des actions (points précédents) mises en œuvre mais
aussi l'évolution des menaces et des vulnérabilités à intervalles réguliers pour
s'assurer que les objectifs sont atteints
IDENTIFIEZ VOS RISQUES EN MATIÈRE D'ICT ET

PROTÉGEZ VOTRE ENTREPRISE POUR L'AVENIR
Faire l'inventaire des actifs essentiels, évaluer les risques et les mesures de
sécurité prises, identifier les mesures supplémentaires à prendre afin d'amener
le niveau de risque à un niveau acceptable pour votre organisation. De plus en
plus d'entreprises délèguent des opérations internes à des prestataires
extérieurs. Cette décision est souvent motivée par des besoins d'économies.
Mais la délégation de certaines fonctions permet également aux entreprises de
se concentrer sur leur "core business".
Le plus souvent, toutefois, la délégation d'une fonction implique également de

donner à un tiers externe différents degrés d'accès au réseau et/ou aux
données de l'entreprise. Comme nous le savons tous, cela peut poser des
problèmes.
La conscientisation et l’appui de la direction pour cet exercice est indispensable

à sa réussite.
Afin de démarrer, il est bon de dresser un inventaire des actifs essentiels au

fonctionnement de votre organisation.
Nous vous recommandons de commencer par exemple par le top 5 de vos «
actifs essentiels ».
La priorité devra être donnée à ceux qui sont indispensables au fonctionnement

de votre organisation.
Les différentes itérations de votre plan de sécurité vous permettront d’enrichir
progressivement cet inventaire, de le compléter, de l’étoffer .
Afin de dresser l’inventaire, effectuez les actions suivantes :
 Définissez avec la direction et les départements les différents « actifs essentiels ».
 Rencontrez les personnes responsables de ces différents actifs afin de mieux les
cerner/définir.
 Dressez-en la liste.
 Faites approuver cette liste , lors d'une réunion avec la direction. Cela permettra de
l’impliquer dans votre démarche (le compte rendu de la réunion servira de preuve).
Différents types d’actifs essentiels existent au sein de toute organisation. Voici, à
titre d'exemples une liste non exhaustive :
 les actifs primaires, à savoir :
o l’information, les services, les processus clés
 les actifs secondaires :
o les systèmes IT supportant les actifs primaires

N’essayez pas d’obtenir une liste exhaustive, concentrez-vous sur l’essentiel. Il
vaut mieux démarrer le processus avec un nombre limité d’actifs que d’essayer
de les lister tous. En effet le risque est grand que quand vous aurez terminé
l’exercice, celle-ci soit obsolète.
L'important est surtout de démarrer le processus et de l’améliorer au fur et à

mesure.
SOYEZ CONSCIENTS DES CYBER MENACES ET DES

VULNÉRABILITÉS DE VOS RÉSEAUX
La formation continue quant aux nouvelles menaces fait partie des

responsabilités du conseiller en sécurité de l'information (CSI).
Procédez régulièrement à des scans de vulnérabilité.

Liens utiles
 CERT.be : cyber emergency team (l’équipe d’intervention d’urgence en sécurité
informatique) fédérale(link is external)
 CCB : Guide de gestion des cyber incidents
 ENISA : Threat Landscape
DÉFINISSEZ CLAIREMENT LES OBJECTIFS DU

MONITORING DU SYSTÈME ET DU RÉSEAU
L'objectif principal réside dans le diagnostic des faiblesses du système observé.

Le monitoring vise à capter l’ensemble des actions importantes et des
indicateurs de performance aux différents niveaux des systèmes (matériel et
applicatif). L’objectif est triple :
 détecter les anomalies et/ou problèmes en temps réel et pouvoir agir,
 être en mesure d’analyser la charge du système pour en déduire des tendances,

repérer les corrélations et prévoir les besoins futurs (processeur, RAM, disques, réseau
etc.),
 récupérer et analyser l’ensemble des logs système et applicatifs pertinents pour

détecter et corriger les erreurs.
Liens utiles
IDENTIFIEZ LES CONSÉQUENCES JURIDIQUES

POUR L'ENTREPRISE D'UNE FUITE DE DONNÉES,
D'UNE DÉFAILLANCE DU RÉSEAU...
Le nouveau règlement européen de protection des données (GDPR) précise les

obligations des organisations en matière de respect et sécurisation de la vie
privée, notamment concernant la perte de données sensibles.
Il importe de faire l'inventaire des actifs essentiels, d'évaluer les risques et les
mesures de sécurité prises, identifier les mesures supplémentaires à prendre
afin d'amener le niveau de risque à un niveau acceptable pour votre
organisation.
SENSIBILISEZ TOUS VOS TRAVAILLEURS AUX

RISQUES CYBER
L'humain est un maillon très important dans la chaîne de sécurité de

l'information. Conscientisez vos collaborateurs internes et externes aux risques
de sécurité de l'information. Veillez à ce qu'ils assimilent vos messages et
n'hésitez pas à tester leur connaissance. Ils seront votre première ligne de
défense en cas d'attaque. Quelques exemples de sensibilisation possibles : des
mots de passe sûrs, le verrouillage du poste de travail,...
Les personnes sont un maillon important dans toute chaîne de sécurité de
l'information. Sensibilisez vos employés internes et externes aux risques liés à la
sécurité de l'information. Assurez-vous qu'ils traitent votre message en testant
leurs connaissances.
Les employés sont votre première défense en cas d'attaque.
Certains exemples de campagnes de sensibilisation:
 Utilisation de mots de passe
 Verrouillage des écrans
 Ne pas cliquer sur les liens d'expéditeurs inconnus

Il faut pour cela que les employés internes et externes soient sensibilisés à:
 les risques de sécurité de l'information liés à votre entreprise
 la nécessité de signaler lorsqu'ils voient quelque chose d'étrange dans les locaux de
l'entreprise, à leur poste de travail, sur leur téléphone portable ou sur le réseau
Les moyens que vous utilisez pour communiquer avec votre personnel afin de le
sensibiliser et de les éduquer sont définis dans une campagne de
communication. Assurez-vous que vos messages sont concrets et que les
objectifs sont réalisables. Veillez à ce que votre campagne atteigne votre
personnel.
Évaluez vos communications internes en permanence pour les améliorer.

N'hésitez pas à lancer un quiz ou une enquête ou à tester votre personnel pour
voir comment il répond aux courriels de phishing par exemple.
Liens utiles
INFORMEZ LES COLLABORATEURS DU SERVICE

COMPTABILITÉ AU SUJET DU PHÉNOMÈNE DE
"FRAUDE AU CEO"
Informez vos employés de l'existence de la fraude "de type CEO"; mettez en

place un contrôle suffisant sur l'exécution des paiements. De nouvelles
méthodes sont apparues pour voler l'argent des entreprises. Ces méthodes
reposent sur le respect de la hiérarchie au sein de l'équipe comptable et/ou
financière. Mettre en place un système de contrôle pour chaque transaction,
même si un ordre vient du "boss".
Sachez reconnaître les e-mails malveillants, le spam ou les e-mails de phishing
que les algorithmes ne peuvent pas détecter. Cet état d'esprit de remise en
question de l'information empêche l'ingénierie sociale.
Formez régulièrement vos employés, rappelez-leur avec des sessions de

sensibilisation et des affiches.
Links
What is CEO Fraud? (SANS)(link is external)

Learn how to identify fake emails (Safe on Web)
INFORMEZ LES UTILISATEURS SUR LA FAÇON DE

RECONNAÎTRE LE PHISHING
Le phishing (hameçonnage) est une technique de plus en plus courante afin

d'accéder par tous les moyens à des données sensibles et/ou confidentielles.
Aidez vos utilisateurs à reconnaitre le phishing
Sachez reconnaître les e-mails malveillants, le spam ou les e-mails de phishing

que les algorithmes ne peuvent pas détecter. Communiquez à vos utilisateurs ce
à quoi ils doivent prêter attention lorsqu'ils utilisent le courrier électronique.
Noms de domaine
Faites attention au nom de domaine (la partie après le symbole @). Assurez-
vous que l'orthographe est correcte, et si vous ne connaissez pas l'entreprise,
effectuez une recherche google rapide sur le nom de domaine. Même si un
email est envoyé par une personne que vous connaissez, vérifiez que le nom de
domaine est le bon, et qu'il n'y a pas de fautes de frappe ou de petits
changements de lettres.
Erreurs grammaticales et/ou orthographiques
Vérifiez les fautes d'orthographe évidentes... bien qu'il soit de plus en plus
difficile de reconnaître les courriels de phising, les fautes d'orthographe sont
faciles à reconnaitre. Si un email contient des phrases grammaticalement
incorrectes, assurez-vous de vérifier l'email avant de répondre.
Pièces jointes
Attention aux pièces jointes ! Si un courriel comporte des pièces jointes,

demandez-vous si c'est le type de pièce jointe que vous attendez. Si un e-mail
contient par exemple une facture, demandez-vous si c'est la bonne personne
qui vous envoie la facture. Les fichiers compressés (.zip) ou les exécutables
(.exe) devraient éveiller vos soupçons. En cas de doute, vous pouvez également
numériser des fichiers dans un service de sandbox. Veillez toutefois à ne pas
uploader de documents confidentiels sur des plateformes publiques.
Liens
Les e-mails de phishing contiennent souvent des liens vers des sites web, des
factures, des documents,... Vérifiez le lien en le survolant avec la souris. Vérifiez
si le domaine est le bon et s'il est correctement orthographié. Comme pour les
pièces jointes, vous pouvez également vérifier les urls, sur des services comme
par exemple VirusTotal.
Urgence
Les escrocs nous poussent à agir vite et créent un sentiment d'urgence... En

général, le courriel menace un arrêt du service, la suppression de votre compte
de façon permanente ou de nuire à votre entreprise. Les e-mails au ton
menaçant ou demandant une action urgente doivent toujours être vérifiés deux
fois avant d'y répondre.
Links
Faites le test ici : https://www.safeonweb.be/en/quiz/phishing-test
INFORMEZ LES UTILISATEURS SUR LES

COMPORTEMENTS SÉCURITAIRES SUR LE WEB
Formez vos utilisateurs sur les sites web malveillants, et leur comportement lors
du téléchargement de fichiers ou de programmes.
 Les employés doivent savoir qu'il est possible qu'ils cliquent sur des liens suspects ou
des téléchargements malveillants. Pour ce faire, ils doivent mieux comprendre les
signes avant-coureurs d'un site web frauduleux.
 Les employés devraient être formés à la reconnaissance des sites web dont les
certificats ne sont pas valides.
 Les employés devraient être formés à reconnaître les noms de domaine frauduleux et
le typosquattage.
 Désactiver les fenêtres pop-up, car elles présentent des risques.

 Les utilisateurs doivent être conscients des risques liés à l'installation de logiciels
provenant de sources inconnues.
En plus de la formation et de la sensibilisation, il faut faire respecter le principe
du comportement sécurisé sur la toile en mettant en œuvre des mesures
techniques :
Sur l'hôte :
 Désactiver l'accès aux paramètres du navigateur pour les utilisateurs normaux, afin
qu'ils ne puissent pas désactiver les mesures de sécurité de base
 Installez un Antivirus conçu spécialement pour gérer également le trafic web

Sur le Pare-feu/Proxy :
 Configurer les paramètres Antivirus/Antispam/Antimalware pour avertir ou empêcher

les utilisateurs d'accéder à des sites malveillants
ÉVALUEZ LES COMPÉTENCES DE VOTRE

PERSONNEL EN MATIÈRE DE SÉCURITÉ
L'objectif de la formation, de la communication et de la sensibilisation est de

réduire le maillon le plus vulnérable de toute chaîne de sécurité de l'information
: l'humain.
Assurez-vous que les collaborateurs assimilent vos messages en testant leurs

connaissances. Ils seront votre première défense en cas d'attaque. Les moyens
que vous utiliserez pour communiquer avec votre personnel afin de le
sensibiliser et de l'éduquer seront déterminés dans le cadre d'une campagne de
communication.
DÉVELOPPEZ UN CONCEPT ET UN PLAN DE

FORMATION À LA CYBERSÉCURITÉ
Les formations d'information sur la cyber sécurité fournies aux employés

permet de combattre un des facteurs les plus important en matière de faille de
sécurité informatique: l'erreur humaine. En formant les employés à reconnaitre
et réagir aux menaces informatique, les entreprises peuvent grandement
améliorer leur condition de sécurité informatique et leur capacité de résistance
aux cyber attaques.
Sensibiliser son personnel demande un investissement sur la durée. A force de
répéter le message, vos collaborateurs vont l'assimiler.
Une campagne de sensibilisation se doit d'être claire et structurée par un plan

adéquat de communication: Quelles sont les cibles ? Quels sont les messages ?
Quand et comment sont-ils transmis (supports, calendrier de mise en œuvre...) ?
Links
RALLIEZ VOS UTILISATEURS À VOTRE CODE DE

CONDUITE
Un code de conduite encadre l'activité de l'organisation, définit les règles et les

instructions de travail spécifiques pour l'organisation.
Un code de conduite englobe la description de l'activité de l'organisation, de ce
que l'organisation représente et ce qu'elle attend de ses employés et
éventuellement de ses partenaires (clients, fournisseurs, etc.).
Il détermine les règles de travail spécifiques et les instructions pour les

employés et éventuellement les partenaires de l'organisation. De cette façon,
les employés savent ce qu'ils peuvent ou ne devraient pas faire.
Le code de conduite est également utile pour les clients et les fournisseurs.
Incluez la sécurité dans les objectifs de développement du personnel.
Les valeurs de votre organisation doivent inclure les valeurs de sécurité. Vous
pouvez envisager d'inclure la sécurité dans les objectifs de développement de
votre personnel.
L'établissement d'objectifs de sécurité pour chaque membre du personnel est

un bon moyen de leur faire prendre conscience de la question.

Disposez D

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Disposez D

Titre original :

Transféré par

Droits d'auteur :

DISPOSEZ D'UN INVENTAIRE À JOUR DES

PÉRIPHÉRIQUES ET DES CONNEXIONS RÉSEAU

La tenue d'une carte détaillée de votre infrastructure informatique vous permet

L'inventaire de votre réseau ne doit pas seulement se limiter aux appareils

 Configurations VLAN et plages d'adresses IP associées

 Toutes les différentes zones et les paramètres de sécurité associés

 Toutes les lignes de connectivité et d'Internet

 Toute liste de contrôle d'accès ou règle de pare-feu

DISPOSEZ D'UN INVENTAIRE À JOUR DES POSTES

Disposez d'un inventaire à jour des postes de travail et des serveurs

Pour chaque type de serveur (par exemple, serveur de messagerie Linux,

Continuez à améliorer votre inventaire de postes de travail et de serveurs, et

 Type de poste de travail (ordinateur portable, bureau, tablette,...)

 Marque et modèle du poste de travail

 Garantie, information de soutien et contrat de service

 Marque, type et fournisseur du serveur

 Garantie, information de soutien et contrat de service

 Objet, applications et propriétaire

 Nom du serveur, adresses IP, domaine joint ou non

 Configuration de la ligne de base

DISPOSEZ D'UN INVENTAIRE À JOUR DES

Tenir un inventaire de vos actifs informatiques vous permet de comprendre

Tenez un inventaire de tous les appareils mobiles et tablettes, qu'ils

DISPOSEZ D'UN INVENTAIRE À JOUR DES

De plus en plus de dispositifs connectés à Internet sont introduits dans

Tenez un inventaire détaillé de tous ces dispositifs et analysez rigoureusement

Ces dispositifs sont généralement :

 Thermostats de chauffage, dispositifs de ventilation et de climatisation

 Dispositifs d'accès aux installations (lecteurs de badges, caméras,...)

 Dispositifs d'usine (PLC, SCADA,..)

 Panneaux de réservation des salles de réunion

 Caméras IP et leurs enregistreurs

 Appareils 'SMART' connectés au réseau

DÉCLASSEMENT DES ACTIFS ET ÉLIMINATION

Vos serveurs, ordinateurs portables, ordinateurs de bureau, imprimantes et

INVENTORIEZ VOS PARTENAIRES, FOURNISSEURS,

Si des fournisseurs ont un accès (à distance) à des systèmes, des outils de

Les fournisseurs doivent au minimum respecter des normes de sécurité

EFFECTUEZ UNE ANALYSE DES RISQUES

IDENTIFIEZ LES VULNÉRABILITÉS ET LES

Identifiez les risques possibles en termes de confidentialité, d'intégrité, de

La méthode d'identification des vulnérabilités et des menaces peut différer

Les entreprises/organisations sont encouragées à mettre en œuvre des

Par défaut, les entreprises/organisations devraient veiller à ce que les données

SAUVEGARDEZ VOS DONNÉES IMPORTANTES

La sauvegarde régulière consiste à prendre une copie de toutes les données

La sauvegarde régulière et exhaustive des données est la seule assurance

Donnez des conseils à vos collaborateurs pour effectuer leur back-ups, ou

GARDEZ LES BACKUPS HORS LIGNE ET À UN

HÉBERGEZ VOS SOLUTIONS DE SAUVEGARDE SUR

Les données sauvegardées le sont de préférence sur des machines propres à la

LES SAUVEGARDES SONT STOCKÉES DANS UN

A défaut de stockage à distance, assurez-vous que le stockage soit placé dans

PROTÉGEZ VOTRE NOM DE DOMAINE CONTRE

L'usurpation d'adresse électronique consiste à falsifier l'adresse de l'expéditeur

À partir de cette phase, vous devez continuer à surveiller vos configurations en

PROTÉGER VOTRE COURRIER ÉLECTRONIQUE

Vous devez faire attention à votre certificat de chiffrement et configurer vos

Lorsque deux serveurs de messagerie communiquent, ils utilisent le protocole

Les STARTTLS peuvent faire l'objet d'attaques de type "man-in-the-middle", il est

Vous pouvez également utiliser la norme S/MIME pour le chiffrement du

CRÉEZ VOTRE ENREGISTREMENT SPF

Dans l'enregistrement DNS, vous définissez quels serveurs de messagerie sont

Un exemple d'enregistrement SPF ressemble à ceci :

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ~all