Académique Documents
Professionnel Documents
Culture Documents
Introduction
Cet article fait suite à l'article "La sécurité du matériel informatique", du même auteur.
Il présente un manuel dont les DSI, et RSI peuvent s'inspirer pour écrire leurs propres
procédures.
Ces différentes procédures permettent aux agents de n'importe quelle entreprise d'avoir une
vision complète sur toutes les décisions et actes qu'ils auront à prendre pour garantir la sécurité
et le contrôle aussi bien internes qu'externes du matériel informatique.
Pour notre manuel de procédures, les principaux opérateurs qui doivent intervenir sont les cinq
suivants :
Objectif
L'inventaire est un document sur lequel se trouve une description détaillée des biens
informatiques. Évaluation annuelle obligatoire des biens d'une entreprise afin de clairement
identifier tous les biens :
des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des
matériels non IT) ;
des informations (bases de données, fichiers, archives) ;
des logiciels (applications ou systèmes) ;
des services de la documentation (politiques, procédures, plans).
Logigramme
Procédure inventaire des biens
Règle
1. Le statut du bien ;
2. La localisation du bien ;
3. La nature du bien ;
4. L'étiquette ;
5. La désignation du bien ;
6. L'état du bien ;
7. La source de financement du bien ;
8. La date d'acquisition ;
9. La valeur d'acquisition ou valeur d'entrée du bien ;
10. Les observations pertinentes sur le bien.
Procédure contrôle physique des accès
Objectif
Il convient de protéger les zones sécurisées par des contrôles à l'entrée adéquats pour s'assurer
que seule la personne habilitée soit admise.
Logigramme
Règles
R4 : Réexamen et mise à jour réguliers des droits d'accès aux zones sécurisées
Une révision régulière des privilèges et droits d'accès devrait être effectuée par le responsable
de sécurité dont le but de s'assurer que les privilèges donnés correspondent toujours aux
besoins réels des tâches à effectuer.
Objectif
Règles
R1 : Contrôle du câblage
R5 : Contrôle antivirus
Objectif
La maintenance proactive assure la bonne conformité des systèmes, elle garantie la sécurité et
améliore les performances et la fiabilité des équipements, afin de travailler de façon plus rapide
et plus sécurisée.
Logigramme
Procédure maintenance informatique proactive
Règles
Analyse Une analyse Scandisk, permet de détecter et réparer des erreurs physiques ou
d'indexation des fichiers qui pourraient empêcher ou bloquer l'installation. Au préalable, fermer
toutes les applications d'arrière-plan. Pour lancer un ScanDisk complet, procéder comme suit :
Pour Windows XP
1. Ouvrez le Poste de Travail et sélectionnez le disque dur local que vous souhaitez vérifier ;
2. Dans le menu Fichier, cliquez sur Propriétés ;
3. Cliquez sur l'onglet Outils ;
4. Dans la section Défragmentation, cliquez sur Défragmenter maintenant ;
5. Sélectionnez le volume à défragmenter ;
6. Cliquez sur Défragmenter ;
L'outil Nettoyage de disque s'exécute pour éliminer tous les fichiers inutiles de l'ordinateur :
1. Cliquer sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, sur Outils
système, puis sur Nettoyage de disque ;
2. Dans la boite de dialogue Options de nettoyage de lecteur, indiquer les fichiers à
nettoyer (fichiers personnels ou de tous les utilisateurs de l'ordinateur) ;
3. Si la boite de dialogue Nettoyage de disque : Sélection du lecteur apparait, sélectionner
le disque dur à nettoyer, puis cliquer sur OK ;
4. Cliquer sur l'onglet Nettoyage de disque, puis activer les cases à cocher pour les types de
fichier à supprimer ;
5. Une fois la sélection terminée, cliquer sur OK , puis sur Supprimer les fichiers pour
confirmer l'opération.
Objectif
Des contrôles ponctuels doivent être effectués pour détecter une sortie de bien.
Logigramme
R1 : Autorisation préalable
Il convient de ne pas sortir un matériel, des informations ou des logiciels des locaux de
l'organisme sans autorisation préalable.
R2 : Identifier les personnels qui ont autorité pour permettre la sortie de biens hors du site
Il convient d'identifier clairement les salariés, contractants et utilisateurs tiers qui ont autorité
pour permettre la sortie de biens hors du site.
R3 : Contrôles ponctuels
Des contrôles ponctuels, destinés à détecter une sortie de bien non autorisée.
Objectif
Les câbles électriques ou de télécommunications transportant des données doivent être protégé
contre toute interception ou dommage.
Logigramme
Pour éviter les effets de couplage, il faut respecter la même distance entre les câbles
courants forts et courants faibles tout au long du cheminement. Les distances à respecter
(sur un chemin de câble) sont au minimum de 5 cm dans le cas d'une circulation
horizontale et sont de 30 cm en circulation verticale.
Pour éviter les courants de circulation, prévoir une terre unique pour les courants forts et
les courants faibles.
Pour les câbles, choisir une méthode (et une seule) de marquage, par exemple :
La fibre optique est le média conseillée par l'ISO et l'EIA/TIA. Les principaux avantages sont :
R4 : Utiliser un blindage
Les visiteurs doivent disposer d'une autorisation pour pénétrer dans la salle des câbles.
Conserver une trace des accès.
Tout matériel équipé des supports de stockage doit être contrôlé en cas de mise au rebut afin
que toutes les données à caractère personnel soient supprimées de manière sécurisée. Si ce
matériel contient des données à caractère personnel sensibles, des mesures spécifiques doivent
être prises pour détruire physiquement ce matériel ou supprimer les informations au moyen de
techniques qui rendent impossible toute récupération.
Logigramme
Règles
Vérifier que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant
sa mise au rebut.
R3 : Destruction physique
Objectif
Une menace pour un système informatique est une circonstance qui a le potentiel de causer des
dommages ou des pertes. Le but de cette procédure est de se protéger contre toute menace.
Logigramme
Installer une solution antivirale gratuite ou rémunérée de façon efficace qui prend en charge
automatiquement le nettoyage des éléments indésirables.
La meilleure façon de se protéger est de ne pas installer des logiciels dont on n'est pas sûr à
100% de la provenance et de la fiabilité :
Pour garantir une sécurité informatique et empêcher le vol des données personnelles et
confidentielles, un ordinateur doit être imperméable aux attaques en provenance du réseau
internet. La configuration correcte d'un pare-feu est indispensable pour la sécurisation d'un
ordinateur. Le pare-feu appelé "firewall" protège l'ordinateur des intrusions malveillantes en
filtrant les paquets d'informations qui entrent et sortent du PC au moyen de la connexion
internet et s'assure qu'ils ne tentent pas d'effectuer des actions illégales.
Activer le pare-feu ;
Centre de sécurité de Windows (Le Centre de sécurité de Windows est un tableau de bord
dont le but est d'indiquer si les moyens de protection classiques sont bien activés sur un
ordinateur sous Windows) ;
Configurer la mise à jour automatique du système d'exploitation ;
Désactiver le stockage faible des mots de passe ;
Mise à jour du système d'exploitation ;
Se protéger du pourriel grâce à un logiciel anti spam.
Objectif
Une vulnérabilité est une faiblesse du système informatique qui peut être utilisée pour causer
des dommages. Les faiblesses peuvent apparaitre dans n'importe quel élément d'un ordinateur,
à la fois dans le matériel, le système d'exploitation et le logiciel. Le but de cette procédure est de
détecter les vulnérabilités.
Logigramme
Procédure atténuation des vulnérabilités
Règles
Les fichiers au format REG, VBS et WSF permettent d'exécuter des scripts Windows. Or certains
scripts malicieux, reçus par mail ou trouvés sur Internet, peuvent perturber un ordinateur. Pour
éviter cela et éviter d'exécuter un tel script, il suffit de désactiver leur exécution automatique.
Procédure atténuation des incidents
Objectif
Un incident ou plusieurs évènements indésirables ou inattendus présentant une probabilité
forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité
de l'information. Le but de cette procédure est de se protéger contre tout incident.
Logigramme
Objectif
Le but de cette procédure est de former l'utilisateur par des étapes qu'il doit faire afin d'atténuer
la propagation d'une infection dans le réseau.
Classification des infections informatique
Logigramme
Règles
R1 : Appeler un service d'assistance informatique
R4 : Réinstaller le système
Formater le disque pour être sûr qu'aucun logiciel malveillant ne survive à la réinstallation.
Avant de remettre les fichiers dans les répertoires de l'ordinateur, analyser les avec le logiciel
antivirus pour vérifier qu'ils ne sont pas infectés.
Procédure de sauvegarde
Objectif
La sauvegarde est l'opération qui consiste à dupliquer et à mettre en sécurité les données
contenues dans un système informatique.
Il convient de réaliser des copies de sauvegarde des informations et logiciels et de les soumettre
régulièrement à essai conformément à la politique de sauvegarde convenue.
Logigramme
Procédure politique de sauvegarde
Règles
Sauvegarde complète ;
Sauvegarde incrémentale ;
Sauvegarde différentielle ;
Sauvegarde ponctuelle.
R4 : Choisir le support de sauvegarde
Contrôler régulièrement le journal des sauvegardes afin de vérifier qu'aucune anomalie n'ait
perturbé le bon fonctionnement des sauvegardes.
Logigramme
Objectif
Empêcher les accès non autorisés aux services disponibles sur le réseau.
Logigramme
Procédure contrôle d'accès réseau
Règles
Le premier niveau de sécurité à prendre en compte dans un LAN est l'utilisateur. Pour accéder
aux ressources locales et réseau, il devra s'identifier grâce à un nom d'utilisateur et à un mot de
passe.
Assurer la conformité des configurations des équipements réseaux des différents ports, qui
doit relever d'une cohérence de sécurité ;
Les configurations réseaux doivent faire l'objet d'un plan de sauvegarde, en cas de sinistre,
ces copies seront la pierre angulaire de la relève des opérations informatiques.
Objectif
Logigramme
Règles
R1 : Définir des règles de choix et de dimensionnement des mots de passe
Choisir un mot de passe qui n'est pas lié à une identité (mot de passe composé d'un nom
de société, d'une date de naissance, etc.).
Choisir un mot de passe, d'une longueur minimale de douze caractères et constitué d'au
moins trois des quatres groupes de caractères (minuscules, majuscules, caractères spéciaux
et chiffres).
R2 : Mettre en place des moyens techniques permettant de faire respecter les règles relatives aux mots de passe
Les moyens permettant de faire respecter la politique de mots de passe pourront être :
Le blocage des comptes tous les 6 mois tant que le mot de passe n'a pas été changé ;
Renouveler les mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon
compromis pour les systèmes contenant des données sensibles ;
La vérification que les mots de passe choisis ne sont pas trop faciles à retrouver ;
La vérification que les anciens mots de passe ne facilitent pas la découverte des nouveaux.
R3 : Ne pas conserver les mots de passe sur les systèmes informatiques
Les mots de passe ou les éléments secrets stockés sur les machines des utilisateurs sont des
éléments recherchés ou exploités en priorité par les attaquants, donc il ne faut pas les conserver
sur les systèmes informatiques.
R4 : Supprimer ou modifier systématiquement les éléments d'authentification par défaut sur les équipements
Les éléments d'authentification par défaut sur les équipements (commutateurs réseaux,
routeurs, serveurs, imprimantes) sont souvent bien connus des attaquants. Par ailleurs, ils sont
souvent triviaux (mot de passe identique à l'identifiant correspondant, mot de passe partagé
entre plusieurs équipements d'une même gamme, etc.), donc il convient les supprimer ou les
modifier systématiquement.
Objectif
Logigramme
Procédure manipulation des supports
Règles
Disques durs ;
Cassettes de sauvegardes ;
DVD ;
Bandes magnétiques ;
Clés USB ;
Cassettes Audios ;
Disquettes ;
CD-ROM.
Chaque support doit être identifié de manière unique et indépendante des informations
qu'il contient.
Attribuer un code à chaque support : l'attribution d'un code entraine la création d'une
étiquette qui est fixée sur les supports. Cette référence est reportée dans le registre des
supports.
Conserver les supports informatiques dans des coffres et armoires étanches et blindés.
Ne pas laisser les supports dans le centre informatique (en cas de sinistre, ces supports
risquent en effet d'être également détériorés).
Conclusion
Le manuel des procédures adapté à la sécurité du matériel informatique permettra à l'entreprise
de mieux protéger l'intégrité des biens et des ressources informatiques.
Nous avons procédé à l'inventaire puis à l'évaluation des procédures les plus importantes
concernant la sécurité et le contrôle du matériel informatique.
Il faut noter que le manuel de procédures n'est pas figé. Il doit être régulièrement mis à jour par
des notes qui les complètent ou en modifiant quelques aspects à partir de l'évolution de la
structure et des activités de l'entreprise.