L’hygiène informatique en entreprise: 40 recommandations simples de l'ANSSI pour la sécurité des SI
La sécurité est un thème délicat dans les organisations. On peut facilement passer des heures à débattre sur quel niveau de sécurité fixé. Le cas idéal est bien sûr de mettre en place un SMSSI (Système de Management de la Sécurité des Systèmes d’Information, ISO 27001 et ITIL), mais tout le monde sait que c’est lourd et pas toujours simple à mettre en place, surtout dans des organisations de petites et moyennes tailles.
Pour ceux qui ne connaissent pas l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), c’est une organisation rattachée au Secrétaire général de la défense et de la sécurité nationale. Elle préconise et fournit des recommandations pour assurer la sécurité des SI. Suite aux assises de la sécurité de 2012, le directeur général (Patrick Pailloux) a mis à disposition un guide d’hygiène informatique. Ce guide comporte 40 recommandations simples pour sécuriser son SI.
Bien sûr, toutes ces recommandations ne vont pas sécuriser à 100% votre SI, mais elles vont mettre en place une bonne hygiène informatique.
Je vous invite à lire ces recommandations et à les partager au sein de vos organisations! Nous n’avons plus d’excuses sur ce qu’il faut faire.
Le guide est disponible ici: http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/appel-a-commentaires-sur-le-guide-l-hygiene-informatique-en-entreprise-quelques.html
Quelques règles extraites de ce guide:
1) Disposer d’une cartographie précise de l’installation informatique et la maintenir à jour.
8) Définir une politique simple de mise à jour et l’appliquer strictement.
16) Interdire techniquement la connexion des supports amovibles sauf si c’est strictement nécessaire ;
sinon désactiver l’exécution des autoruns depuis de tels supports.
23) Interdire la navigation sur Internet depuis les comptes d’administration.
39) Sensibiliser les utilisateurs aux règles d’hygiène informatique élémentaires.
40) Faire réaliser des audits de sécurité périodiques (au minimum tous les ans). Chaque audit doit être
associé à un plan d’action.
Je vous invite aussi à écouter le discours très franc de Patrick Pailloux pour l’ouverture des assises de la sécurité 2012 :
