Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Le département informatique au service des organisations
  3. Fiches outils
Extrait - Le département informatique au service des organisations Stratégie, gouvernance et pilotage
Extraits du livre
Le département informatique au service des organisations Stratégie, gouvernance et pilotage Revenir à la page d'achat du livre

Fiches outils - Sécuriser ses applications propres

La liste de contrôle de la sécurité

Quand on parle de sécurité, il est aisé de se faire dépasser tant le sujet est large. De ce fait, et même si tous les sujets ne sont pas abordés dans ce livre puisqu’il aborde les points principaux de la gouvernance et n’est pas un livre sur la cybersécurité, voici les sujets nécessaires à aborder au plus tôt. Il s’agit d’un point de départ mais la couverture de la sécurité sera déjà plutôt large une fois que les contrôles auront été implémentés, ou tout du moins étudiés :

  • Contrôles d’accès :

  • Authentification forte

  • Autorisations basées sur les rôles (RBAC)

  • Contrôle d’accès physique (verrous, badges, etc.)

  • Chiffrement :

  • Chiffrement des données au repos

  • Chiffrement des données en transit (SSL/TLS)

  • Chiffrement des communications (VPN)

  • Gestion des identités et des accès (IAM) :

  • Gestion des comptes utilisateur

  • Gestion des privilèges

  • Révision et révocation des droits d’accès

  • Surveillance et détection des intrusions :

  • Systèmes de détection d’intrusion (IDS)

  • Systèmes de prévention des intrusions (IPS)

  • Surveillance des journaux (logs)

  • Sécurité du réseau :...

Un exemple de politique d’authentification

Objectif

La politique d’authentification de l’organisation a pour objectif de garantir un accès sécurisé aux systèmes informatiques, aux données et aux ressources de l’organisation en mettant en place des mesures d’authentification appropriées.

Portée

Cette politique s’applique à tous les employés, sous-traitants, fournisseurs et toute autre personne ayant besoin d’accéder aux systèmes informatiques et aux données de l’organisation.

Types d’authentification

  • L’organisation encourage l’utilisation de l’authentification multi-facteur (MFA) chaque fois que cela est possible. L’utilisation de MFA est obligatoire pour l’accès aux systèmes et aux applications sensibles.

  • Les mots de passe doivent être complexes, comprenant au moins huit caractères et incluant des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux. Ils doivent être changés tous les 100 jours et ne peuvent être réutilisés.

Gestion des mots de passe

  • Les mots de passe doivent être stockés de manière sécurisée conformément aux meilleures pratiques de sécurité et ne doivent pas être stockés en clair.

  • Il est strictement interdit de partager...

Un exemple de politique d’accès aux données

Objectif

L’objectif de cette politique est de définir les règles et les procédures pour contrôler l’accès aux données sensibles de l’organisation, garantir la confidentialité, l’intégrité et la disponibilité des informations, et minimiser les risques de violation de données.

Portée

Cette politique s’applique à tous les employés, sous-traitants, fournisseurs et toute autre personne ayant accès aux données de l’organisation, qu’elles soient stockées électroniquement ou sur papier.

Accès aux données

  • Les utilisateurs n’auront accès qu’aux données strictement nécessaires à l’accomplissement de leurs fonctions. L’accès aux données sensibles sera limité aux personnes autorisées.

  • Un système de contrôle d’accès sera mis en place pour gérer l’attribution et la révocation des droits d’accès. Les accès seront régulièrement revus et actualisés pour refléter les changements de responsabilités des utilisateurs.

  • Les utilisateurs seront identifiés et authentifiés de manière sécurisée avant d’accéder aux données...

Un exemple de politique de gestion des mises à jour

Objectif

L’objectif de cette politique est de garantir que les systèmes informatiques de l’organisation restent à jour en ce qui concerne les mises à jour logicielles, les correctifs de sécurité et les améliorations fonctionnelles, afin de réduire les vulnérabilités et de maintenir la stabilité des systèmes.

Portée

Cette politique s’applique à tous les employés, sous-traitants, fournisseurs et toute autre personne ayant accès aux systèmes informatiques de l’organisation.

Responsabilités

  • Le responsable de l’informatique est chargé de la gestion des mises à jour logicielles et des correctifs de sécurité. Il doit superviser leur planification, leur déploiement et leur suivi.

  • Une équipe de gestion des mises à jour sera désignée pour évaluer, planifier et mettre en œuvre les mises à jour et les correctifs.

Procédures de gestion des mises à jour

  • Toutes les mises à jour logicielles et les correctifs de sécurité seront évalués pour déterminer leur pertinence et leur impact sur les systèmes.

  • Un calendrier de mise à jour sera établi pour chaque système ou application, en tenant compte de la criticité...

Un exemple de politique de gestion des failles

Objectif

L’objectif de cette politique est de définir les procédures et les responsabilités pour la gestion des failles de sécurité, en vue de minimiser les impacts sur l’organisation et ses actifs informatiques.

Portée

Cette politique s’applique à tous les employés, sous-traitants, fournisseurs et toute autre personne ayant accès aux systèmes informatiques et aux données de l’organisation.

Définition des failles de sécurité

Une faille de sécurité est définie comme toute violation, incident, ou événement pouvant compromettre la confidentialité, l’intégrité ou la disponibilité des systèmes informatiques, des données ou des ressources de l’organisation.

Responsabilités

  • Tout employé qui découvre ou soupçonne une faille de sécurité doit immédiatement la signaler au responsable de la sécurité de l’information ou à une personne désignée.

  • Le responsable de la sécurité de l’information est chargé de superviser la gestion des failles de sécurité et de coordonner les actions nécessaires.

  • Une équipe de gestion des incidents, composée de membres désignés, évaluera...

Un exemple de politique de sauvegarde

Objectif

L’objectif de cette politique est de définir les procédures de sauvegarde des données pour garantir la disponibilité, l’intégrité et la récupération des données essentielles de l’organisation en cas de perte, de panne ou d’incident.

Portée

Cette politique s’applique à tous les employés, sous-traitants, fournisseurs et toute autre personne qui a accès ou gère les données de l’organisation.

Responsabilités

  • Le responsable de l’informatique est chargé de la gestion et de la supervision des opérations de sauvegarde, y compris la planification, la mise en œuvre et le suivi des sauvegardes.

  • Les utilisateurs doivent identifier les données critiques et essentielles qui nécessitent une sauvegarde régulière. Ces données peuvent inclure des documents, des bases de données, des courriels, des fichiers de configuration, etc.

  • Le responsable de l’informatique doit élaborer et mettre en œuvre un plan de sauvegarde qui spécifie la fréquence des sauvegardes, les méthodes de sauvegarde, les emplacements de stockage et les délais de rétention.

  • Les méthodes de sauvegarde peuvent inclure des sauvegardes complètes, différentielles ou incrémentielles...