POLITIQUE DE SECURITE

Présentation
La politique de sécurité définit l’intégralité de la stratégie de
sécurité informatique de l’entreprise. C’est un document qui
doit être pris en compte par chaque collaborateur intervenant
dans l’organisme afin qu’il puisse connaitre les règles et les
enjeux en matière de sécurité interne et externe mais aussi
des mesures à appliquer en situation de crise liée.
Domaine d’application
Cette politique de sécurité des données s’applique à toutes les données clients,
données personnelles ou autres données de l’entreprise définies comme sensibles.
Elle s’applique donc à tous les serveurs et systèmes informatiques qui traitent ces
données, y compris tout appareil régulièrement utilisé pour le courrier électronique,
l’accès au Web, l'accès aux fichiers ou d’autres tâches professionnelles. Tout
utilisateur qui interagit avec les services informatiques de l’entreprise est
également soumis à cette politique.
Domaine de responsabilité

Dans cette entreprise il s’agit de

l’administrateur réseau et système.
REGLES
• Gestion des mots de passe
Il doit comporter au moins vingt huit (28) caractères.
Il ne doit pas contenir de mots de dictionnaire ni des mots ou dates significatifs.
Il faut également qu'il combine des lettres minuscules, majuscules, des chiffres, des
caractères spéciaux.
L'introduction délibérée de fautes d'orthographe est également un bon moyen.
Il faut changer fréquemment les mots de passe (exemple: tous les 2ans)
Recommandations générales sur les mots de passe
Ne JAMAIS écrire le mot de passe en clair
Ne JAMAIS communiquer le mot de passe
Ne JAMAIS se connecter via un protocole non sécurisé (Telnet,FTP…)
Si vous êtes administrateur, Ne JAMAIS enregistrer les mots de passe dans la base de
données mais les hachés de mots de passe.
REGLES
• Authentification des utilisateurs
 Chaque action dans le système par les users distants est précédée par un procédure d’authentification
via un VPN nomade
 Mise en place d’une solution d’authentification centralisée
 Mettre en place des outils de vérification d’identités au niveau de chaque zone
REGLES
• Contrôle d’accès
 Mise en place une solution de contrôle d’accès (firewall physique et logique)
 Mettre en place un IDS/IPS pour détecter des intrusions dans le système
 Mettre en place un portail captif pour gestionner l’accès sans fil
 Mettre en place des antivirus pour chaque SE
 Mettre un processus de MAJ automatique des SE et des antivirus avec une procédure de
vérification pour les tests de vulnérabilité
REGLES
• Architecture
Segmentation du réseau en trois zones d’accès
zone1: Z3: simple utilisateur niveau d’accès 1
zone2: Z2: utilisateur de niveau 2 niveau d’accès 2( lecture, écriture et exécution)
zone3: Z1: super-utilisateur de niveau d’accès 3 à 5
zone4 : Z4: zone d’acces externe
• Sécurité personnelle

 Formation et sensibilisation des utilisateurs dans l’entreprise

 Assurer la productivité des utilisateurs
 Procédures de vérification des bonnes pratiques se sécurité
REGLES
• Sécurité Physique
Positionnement des appareils suivant la procédure de segmentation
Positionnement des caméras de surveillance et des vigiles à l’entrée de
chaque regroupement des entités physiques et logiques.