Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Manuel des procédures de sécurité du matériel informatique


Introduction

Cet article fait suite à l'article "La sécurité du matériel informatique", du même auteur.
Il présente un manuel dont les DSI, et RSI peuvent s'inspirer pour écrire leurs propres procédures.

Liste des procédures

Les procédures élaborées pour un manuel des procédures de sécurité du matériel informatique sont : Ces différentes procédures permettre aux agents de n'importe quelle entreprise d'avoir une vision complète sur toutes les décisions et actes qu'ils auront à prendre pour garantir la sécurité et le contrôle internes qu'externes du matériel informatique.
Pour notre manuel de procédure les principaux opérateurs qui doivent intervenir sont les cinq suivants :

Procédure inventaire des biens

Objectif

L'inventaire est un document sur lequel se trouve une description détaillée des biens informatiques. Évaluation annuelle obligatoire des biens d'une entreprise afin de clairement identifier tous les biens :

Logigramme

Procédure inventaire des biens
Procédure inventaire des biens

Règle

R1 : La fiche d'inventaire fournit les informations suivantes :

Procédure contrôle physique des accès

Objectif

Il convient de protéger les zones sécurisées par des contrôles à l'entrée adéquats pour s'assurer que seule la personne habilitée soit admise.

Logigramme

Procédure contrôle physique des accès
Procédure contrôle physique des accès

Règles

R1 : Définition des zones sécurisées

R2 : Identification des personnes

Identité, durée de validité, périmètre d'accès, etc.

R3 : Surveiller l'accès des personnes tiers

R4 : Réexamen et MAJ régulier des droits d'accès aux zones sécurisé

Une révision régulière des privilèges et droits d'accès devrait être effectuée par le responsable de sécurité dont le but de s'assurer que les privilèges donnés correspondent toujours aux besoins réels des tâches à effectuer.

Procédure maintenance du matériel

La maintenance est l'ensemble des actions à mettre en œuvre pour assurer une continuité de service optimum. Il convient d'entretenir le matériel correctement pour garantir sa disponibilité permanente et son intégrité.
Comme première étape nous devons déterminer les exigences concernant la maintenance du matériel. Cette procédure facilite le choix de réalisation pour la maintenance.
Procédure politique de maintenance
Procédure politique de maintenance

Procédure maintenance informatique préventive

Objectif

La maintenance informatique préventive permet d'assurer un contrôle du PC, afin de prévoir toute dégradation, éviter une panne inattendue et assurer le bon fonctionnement du matériel informatique.

Logigramme

Procédure maintenance informatique préventive
Procédure maintenance informatique préventive

Règles

R1 : Contrôle du câblage

Branchements, état physique, etc.

R2 : Nettoyage complet du PC intérieur et extérieur

La poussière, à l'intérieur de l'ordinateur, est un facteur d'usure important de l'ensemble des composants en empêchant un bon fonctionnement.

R3 : Contrôle de l'état des composants et périphériques

Lecteur CD, DVD, imprimante, disque dur, carte graphique, etc.

R4 : Nettoyage du disque dur

Optimisation des données, suppression de programmes inutilisés, des fichiers inutiles, courriers indésirables, cookies, etc.

R5 : Contrôle antivirus

Éliminer toute présence de virus, malwares, spywares se trouvant sur l'ordinateur.

R6 : Mise à jour système et logiciels

Installation des correctifs Windows et mise à jour des logiciels.

Procédure maintenance informatique proactive

Objectif

La maintenance proactive assure la bonne conformité des systèmes, elle garantie la sécurité et améliore les performances et la fiabilité des équipements, afin de travailler de façon plus rapide et plus sécurisée.

Logigramme

Procédure maintenance informatique proactive
Procédure maintenance informatique proactive

Règles

R1 : Analyse et défragmentation des disques

Analyse Une analyse Scandisk, permet de détecter et réparer des erreurs physiques ou d'indexation des fichiers qui pourraient empêcher ou bloquer l'installation. Au préalable, fermer toute les applications d'arrière-plan. Pour lancer un ScanDisk complet, procéder comme suit :
Pour Windows XP
Pour Windows Vista/7/8
Défragmentation La défragmentation des disques durs permet d'améliorer l'organisation des fichiers afin d'en optimiser l'accès, pour le faire, procéder comme suit :
Pour Windows XP
Pour Windows Vista/7/8

R2 : Tests du disque dur

Effectuer un test du disque dur afin de prévenir les pannes.

R3 : Nettoyage des fichiers temporaires

L'outil Nettoyage de disque s'exécute pour éliminer tous les fichiers inutiles de l'ordinateur :

R4 : Analyse des journaux d'évènements

Les journaux doivent être soumis à des contrôles réguliers et indépendants.

Procédure sortie d'un bien

Objectif

Des contrôles ponctuels doivent être effectués pour détecter une sortie de bien.

Logigramme

Procédure sortie d'un bien
Procédure Sortie d'un bien

Règles

R1 : Autorisation préalable

Il convient de ne pas sortir un matériel, des informations ou des logiciels des locaux de l'organisme sans autorisation préalable.

R2 : Identifier les personnels qui ont autorité pour permettre la sortie de biens hors du site

Il convient d'identifier clairement les salariés, contractants et utilisateurs tiers qui ont autorité pour permettre la sortie de biens hors du site.

R3 : Contrôles ponctuels

Des contrôles ponctuels, destinés à détecter une sortie de bien non autorisée.

Procédure sécurité du câblage

Objectif

Les câbles électriques ou de télécommunications transportant des données doivent être protégé contre toute interception ou dommage.

Logigramme

Procédure sécurité du câblage
Procédure Sécurité du câblage

Règles

R1 : Protéger le câblage réseau

Les câbles sont sensibles à l'humidité et doivent donc être protégés :

R2 : Utiliser un marquage clairement identifiable sur les câbles

Pour les câbles, choisir une méthode (et une seule) de marquage, par exemple :

R3 : Utiliser câble fibre optique

La fibre optique est le média conseillée par l'ISO et l'EIA/TIA. Les principaux avantages sont :

R4 : Utiliser un blindage

R5 : Contrôler l'accès aux panneaux de raccordement et aux salles des câbles

Procédure de mise au rebut du matériel

Objectif

Tout matériel équipé des supports de stockage doit être contrôlé en cas de mise au rebut afin que toutes les données à caractère personnel soient supprimées de manière sécurisée. Si ce matériel contient des données à caractère personnel sensibles, des mesures spécifiques doivent être prises pour détruire physiquement ce matériel ou supprimer les informations au moyen de techniques qui rendent impossible toute récupération.

Logigramme

Procédure de mise au rebut du matériel
Procédure de mise au rebut du matériel

Règles

R1 : Nettoyage des données

R2 : Retrait des logiciels et licences

Vérifier que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut.

R3 : Destruction physique

Protection contre les codes malveillants

Des précautions sont requises pour prévenir et détecter l'introduction de codes malveillants non autorisé qui pourraient affecter le matériel, les systèmes d'exploitation, les programmes et les données.
Nous cherchons dans ce cadre quatre procédures :

Procédure atténuation des menaces

Objectif

Une menace pour un système informatique est une circonstance qui a le potentiel de causer des dommages ou de perte. Le but de cette procédure est de se protégé contre toute menace.

Logigramme

Procédure atténuation des menaces
Procédure atténuation des menaces

Règles

R1 : Installer des antivirus

Installer une solution antivirale gratuite ou rémunérée de façon efficace qui prend en charge automatiquement le nettoyage des éléments indésirables.

R2 : Détecter et enlever les spyware

La meilleure façon de se protéger est de ne pas installer des logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité :

R3 : Installer des pare-feu

Pour garantir une sécurité informatique et empêcher le vol des données personnelles et confidentielles, un ordinateur doit être imperméable aux attaques en provenance du réseau internet. La configuration correcte d'un pare-feu est indispensable pour la sécurisation d'un ordinateur. Le pare-feu appelé "firewall" protège l'ordinateur des intrusions malveillantes en filtrant les paquets d'information qui entrent et sortent de PC au moyen de la connexion internet et s'assure qu'ils ne tentent pas d'effectuer des actions illégales.

R4 : Configuration sécurisée pour les hôtes

Procédure atténuation des Vulnérabilités

Objectif

Une vulnérabilité est une faiblesse du système informatique qui peut être utilisée pour causer des dommages. Les faiblesses peuvent apparaitre dans n'importe quel élément d'un ordinateur, à la fois dans le matériel, le système d'exploitation et le logiciel. Le but de cette procédure est de détecté les vulnérabilités.

Logigramme

Procédure atténuation des vulnérabilités
Procédure atténuation des vulnérabilités

Règles

R1 : Gérer les patchs logiciels

F aire régulièrement la mise à jour des patchs de sécurité du système d'exploitation.

R2 : Renforcer la sécurité des hôtes

R3 : Désactiver l'exécution automatique des scripts

Les fichiers au format REG, VBS et WSF permettent d'exécuter des scripts Windows. Or certains scripts malicieux peuvent recevoir par mail ou trouver sur Internet peuvent chambouler un ordinateur. Pour éviter cela et éviter d'exécuter par mégarde un tel script, il suffit de désactiver leur exécution automatique.

Procédure atténuation des incidents

Objectif

Un incident ou plusieurs évènements intéressant la sécurité indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité de l'information. Le but de cette procédure est de se protégé contre toute incident.

Logigramme

Procédure atténuation des incidents
Procédure atténuation des incidents

Procédure réaction en cas d'infection

Objectif

Le but de cette procédure est de former l'utilisateur par les étapes qu'il doit les faire afin d'atténuer la propagation d'une infection dans le réseau.
Classification des infections informatiques
Classification des infections informatique

Logigramme

Procédure réaction en cas d'infection
Procédure réaction en cas d'infection

Règles

R1 : Appeler un service d'assistance informatique

Alerter le service d'assistance informatique immédiatement et suivre les instructions.

R2 : Déconnecter l'ordinateur de l'internet

Fermer la connexion internet (débrancher physiquement le câble ou la ligne téléphonique) pour empêcher le cheval de Troie ou le virus à accéder aux informations personnelles ou utiliser l'ordinateur pour attaquer d'autres ordinateurs.

R3 : Vérifier la MAJ de l'antivirus et analyser la machine

Déconnecter de l'internet et réaliser une analyse complète de la machine afin de permettre d'identifier le(s) programme(s) malveillant(s) ( I l suffit de suivre les conseils ou instructions fournis).

R4 : Réinstaller le système

Formater le disque pour être sûr qu'aucun logiciel malveillant ne survive à la réinstallation.

R5 : Restaurer les fichiers

Avant de remettre les fichiers dans les répertoires de l'ordinateur, analyser les avec le logiciel antivirus pour vérifier qu'ils ne sont pas infectés.

Procédure de sauvegarde

Objectif

La sauvegarde est l'opération qui consiste à dupliquer et à mettre en sécurité les données contenues dans un système informatique.
Il convient de réaliser des copies de sauvegarde des informations et logiciels et de les soumettre régulièrement à essai conformément à la politique de sauvegarde convenue.

Procédure politique de sauvegarde

Logigramme

Procédure politique de sauvegarde
Procédure politique de sauvegarde

Règles

R1 : Établir un état des lieux des données à sauvegarder

R2 : Choisir la fréquence des sauvegardes

La périodicité et la durée des sauvegardes dépendent de plusieurs facteurs :

R3 : Choisir le type de sauvegarde

R4 : Choisir le support de sauvegarde

R5 : Vérification des sauvegardes

Contrôler régulièrement le journal des sauvegarde afin de vérifier qu'aucune anomalie n'ait perturbé le bon fonctionnement des sauvegardes.

Procédure réalisation de sauvegardes

Logigramme

Procédure réalisation de sauvegardes
Procédure réalisation de sauvegarde

Procédure contrôle d'accès réseau

Objectif

Empêcher les accès non autorisés aux services disponibles sur le réseau.

Logigramme

Procédure contrôle d'accès au réseau
Procédure contrôle d'accès réseau

Règles

R1 : Politique relative à l'utilisation des réseaux

R2 : Authentification des utilisateurs pour les connexions externes

Le premier niveau de sécurité à prendre en compte dans un LAN est l'utilisateur. Pour accéder aux ressources locales et réseau, il devra s'identifier grâce à un nom d'utilisateur et à un mot de passe.

R3 : Identification des matériels en réseau

Identifie chaque machine par une adresse IP.

R4 : Protection des ports de diagnostic et de configuration à distance

Contrôler l'accès physique et logique aux ports de diagnostic et de configuration à distance :

Procédure Identification et authentification de l'utilisateur

Objectif

Il convient d'attribuer à chaque utilisateur un identifiant unique et exclusif.
Le mot de passe est une méthode parmi d'autres pour effectuer une authentification, c'est-à- dire vérifié qu'une personne correspond bien à l'identité déclarée. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service.

Logigramme

Procédure d'authentification et identification
Procédure d'authentification et identification

Règles

R1 : Définir des règles de choix et de dimensionnement des mots de passe

R2 : Mettre en place des moyens techniques permettant de faire respecter les règles relatives aux mots de passe

Les moyens permettant de faire respecter la politique de mots de passe pourront être :

R3 : Ne pas conserver les mots de passe sur les systèmes informatiques

Les mots de passe ou les éléments secrets stockés sur les machines des utilisateurs sont des éléments recherchés ou exploités en priorité par les attaquants, donc il ne faut pas les conserver sur les systèmes informatiques.

R4 : Supprimer ou modifier systématiquement les éléments d'authentification par défaut sur les équipements

Les éléments d'authentification par défaut sur les équipements (commutateurs réseau, routeurs, serveurs, imprimantes) sont bien souvent connus des attaquants. Par ailleurs, ils sont bien souvent triviaux(mot de passe identique à l'identifiant correspondant, mot de passe partagé entre plusieurs équipements d'une même gamme, etc.), donc il convient les supprimer ou les modifier systématiquement.

Procédure manipulation des supports

Objectif

Il convient de contrôler et de protéger physiquement les supports afin d'empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) des biens et l'interruption des activités de l'organisme.

Logigramme

Procédure manipulation des supports
Procédure manipulation des supports

Règles

R1 : Tenir un registre des supports informatique

Il faut avoir une liste des supports informatiques :

R2 : Identifier les supports

R3 : Protéger physiquement les supports

Conclusion

Le manuel des procédures adapté à la sécurité du matériel informatique permettra à l'entreprise de mieux protéger l'intégrité des biens et des ressources informatique.
Nous avons procédé à l'inventaire puis à l'évaluation des procédures les plus importantes concernant la sécurité et le contrôle du matériel informatique.
Il faut noter que le manuel de procédures n'est pas figé. Il doit être régulièrement mis à jour par des notes qui les complètent ou en modifiant quelques aspects à partir de l'évolution de la structure et des activités de l'entreprise.


Sawsen Zaafouri
Octobre 2014

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités.
Twitter SecuriteInfo.com
Facebook SecuriteInfo.com
BOINC calcul scientifique
© 2004-2016 - Tous droits réservés - SecuriteInfo.com