Politique de protection des postes de travail



Documents pareils
ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Politique d'utilisation des dispositifs mobiles

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Accès réseau Banque-Carrefour par l Internet Version /06/2005

Securité de l information :

Recommandations en matière d'effacement de supports d'information électronique.

La sécurité IT - Une précaution vitale pour votre entreprise

Xerox EX Print Server Powered by Fiery pour la Xerox Color J75 Press. Impression

Installer des périphériques

Sessions en ligne - QuestionPoint

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

Guide d'installation et de configuration de Pervasive.SQL 7 dans un environnement réseau Microsoft Windows NT

Prestations informatiques Taux horaires. Prix / T.T.C 35 TTC 15 (offert si réparer par nos soins) Problème materiel :

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Rapport de certification

PUISSANCE ET SIMPLICITE. Business Suite

Avira Professional Security Migrer vers Avira Professional Security version HowTo

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

1 Description du phénomène. 2 Mode de diffusion effets dommageables

Guide de mise à niveau pas à pas vers Windows 8 CONFIDENTIEL 1/53

Comment protéger ses systèmes d'information légalement et à moindre coût?

Installation ou mise à jour du logiciel système Fiery

MSP Center Plus. Vue du Produit

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

PRONOTE 2010 hébergement

Installation et Réinstallation de Windows XP

La sécurité des systèmes d information

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

Fiche Technique. Cisco Security Agent

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Guide de récupération de Windows Server 2003 R2 pour serveurs Sun x64

STATISTICA Version 12 : Instructions d'installation

Downgrade Windows 7 FAQ. 8 mars 2013

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

VERITAS Backup Exec TM 10.0 for Windows Servers

Elle supporte entièrement la gestion de réseau sans fil sous Windows 98SE/ME/2000/XP.

1. Présentation de MGI Consultants. 2. Dynamic Desktop. 3. Fonctionnalités. 4. Architecture. 5. Valeur ajoutée. 6. Références. Plan de la présentation

tuto Avira-Antivir tesgaz 8 septembre 2006

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Avira Version 2012 (Windows)

FileMaker Server 14. Aide FileMaker Server

Sécuriser les achats en ligne par Carte d achat

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Avira System Speedup. Guide

Procédure d installation :

Installation d un ordinateur avec reprise des données

Le BYOD, risque majeur pour la sécurité des entreprises

Activité : TP Durée : 6H00. Un PC d assemblage de marque NEC Un casque avec micro Une clé USB. Un CD de Windows XP professionnel

Sécurité des systèmes d exploitation

Contents Backup et réinstallation... 2

Configuration de routeur D-Link Par G225

La carte d'identité électronique (eid): manuel d'installation pour Windows

Solutions McAfee pour la sécurité des serveurs

Routeur TP-Link Lite-N sans fil 4 Port 150Mbps WiFi (TL-WR741ND) Manuel de l utilisateur

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

Acronis True Image 10 Home Edition

PPE 2-1 Support Systeme. Partie Support Système

FileMaker Server 14. Guide de démarrage

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

PARAGON - Sauvegarde système

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Utiliser le Notebook GIGABYTE pour la première fois

Chapitre 1 : Les matériels d usine et les portables. (Desktop et laptop)

HAYLEM Technologies Inc.

Audits de sécurité, supervision en continu Renaud Deraison

Laplink PCmover Express La façon la plus facile de transférer vers un nouveau PC Windows

Lutter contre les virus et les attaques... 15

Guide d'installation d'esprit Version 2014 R2

Administration de systèmes

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

win-pod Manuel de résolution de pannes

Clé USB 2.0 Wi-Fi n Référence

A propos de la sécurité des environnements virtuels

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

LIVRE BLANC. Guide des fonctionnalités. Aperçu des avantages et des fonctions.

Mise à niveau de Windows XP vers Windows 7

Installer Windows 8 depuis une clé USB

ndv access point : Utilisation

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

Menaces du Cyber Espace

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Installation du SLIS 4.1

LA PROTECTION DES DONNÉES

Félicitations pour l'achat de votre Notebook GIGABYTE.

Procédure d installation de mexi backup

Spécifications techniques

Secure Desktop Solution. Sébastien Marchadier ZENworks Technology Specialist

Playzilla - Chargement par clé usb


Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

GFI LANguard Network Security Scanner 6. Manuel. Par GFI Software Ltd.

Augmenter la portée de votre WiFi avec un répéteur

Sophos Computer Security Scan Guide de démarrage

Mise en place d un firewall d entreprise avec PfSense

DÉPANNAGE. Lisez d abord ceci! 1. Cliquez sur le menu Démarrer de Windows, pointez sur Paramètres et cliquez sur Panneau de configuration.

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Transcription:

ISMS (Information Security Management System) Politique de protection des postes de travail 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.039.workstation.fr Release Status Date Written by (*) Approved by FR_1.0 Proposition des institutions de sécurité sociale 24/06/2009 Johan Costrop Groupe de travail Sécurité de l information (24/06/2009) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), De Vuyst (BCSS), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vandergoten (INAMI) et Vertongen (ONSS) (*) Ce document est basé sur le document «workstation policy» de Smals (auteur : Rolf Coucke) Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, http://www.bcss.fgov.be). La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1

Table des matières ISMS...1 (INFORMATION SECURITY MANAGEMENT SYSTEM)...1 1 INTRODUCTION...3 2 PORTÉE...3 2.1 DÉFINITION D UN POSTE DE TRAVAIL...3 2.2 PUBLIC-CIBLE...3 2.3 OBJECTIF...3 2.4 CHAMP D APPLICATION...3 3 PROTECTION DES POSTES DE TRAVAIL...4 3.1 PRINCIPES GÉNÉRAUX...4 3.2 ASPECTS HARDWARE...4 3.3 ASPECTS SOFTWARE...5 3.3.1 Système d exploitation...5 3.3.2 Software hors système d exploitation...6 3.3.3 Gestion des patches...6 3.4 DIRECTIVES ORGANISATIONNELLES...7 3.5 PROCÉDURES...7 P 2

1 Introduction Les postes de travail sont des appareils vulnérables qui peuvent accéder au réseau. Les erreurs présentes dans les logiciels sur le poste de travail peuvent par exemple permettre à des attaquants à distance d accéder aux systèmes afin de copier des données ou de retrouver des mots de passe. La multiplication des postes de travail entraîne par ailleurs une augmentation proportionnelle du risque. Ce document s inscrit dans le cadre du développement de l ISMS (Information Security Management System) de la sécurité sociale. Il peut être classé parmi les mesures de contrôle en matière de «gestion opérationnelle». 2 Portée 2.1 Définition d un poste de travail Le terme poste de travail englobe tous les systèmes informatiques (p.ex. ordinateur de bureau, portable), y compris les logiciels qu ils contiennent et qui sont utilisés directement par les utilisateurs finaux dans le cadre d un réseau ou de manière autonome. Les serveurs ou les consoles spécifiques (généralement pour l administration) ne sont pas considérés comme des postes de travail. 2.2 Public-cible Le public-cible de cette politique n est pas l utilisateur final, mais les services responsables de la gestion des postes de travail auprès de l institution. 2.3 Objectif Le but de cette politique est d introduire une directive pour la protection des postes de travail par les services compétents, de façon à protéger les informations résidant sur le poste de travail ainsi que l accès de ceux-ci aux informations disponibles sur le réseau, compte tenu de l impact potentiel d une perte de confidentialité, d intégrité et de disponibilité. 2.4 Champ d application La politique est applicable à tous les postes de travail de l institution qui sont utilisés ou non en son sein. La politique n est pas applicable aux postes de travail de tiers (par exemple des consultants) ne pouvant être connectés à l infrastructure réseau 1. 1 En cas de dérogation exceptionnelle, l avis du service de sécurité doit être recueilli au préalable. P 3

3 Protection des postes de travail 3.1 Principes généraux o Il y a lieu de prévoir différentes couches de sécurité sur les postes de travail (hardware, système d exploitation, applications, ) pour éviter de compromettre la sécurité globale lorsqu une d elle est mise en danger. o Il faut veiller à garantir, dans toute la mesure du possible, l homogénéité du parc des postes de travail. o Une politique d audit (examen des traces/logging) de tous les postes de travail est recommandée. o Comme tout matériel informatique, tous les postes de travail doivent être inventoriés (normes minimales) o En fonction de leurs caractéristiques, la confidentialité et l intégrité des données présentes sur des ordinateurs portables / médias portables doit être assurée 2. o Lors de la configuration des postes de travail, il y a lieu de tenir compte des polices de sécurité au niveau de l utilisateur final afin d en imposer leur implémentation. 3.2 Aspects hardware o Tous les postes de travail comportent un mot de passe BIOS connu des seuls services ICT pour l accès aux paramètres d administration du BIOS. Ce mot de passe BIOS doit être suffisamment complexe et ne peut pas être communiqué. Nous recommandons dès lors d acquérir des hardwares permettant ce niveau de protection.. o Les différentes configurations-types des postes de travail doivent être élaborées et inventoriées sur base des risques de sécurité (tous les canaux d input et output possibles). Le nombre de configurations-types doit être limité. o Par configuration-type, il y a lieu de limiter, autant que possible les risques de sécurité éventuels sur base de l inventaire précité. Les canaux d entrées et sorties superflus 3 doivent être limités ; ceci peut être réalisé tant au niveau du hardware que du software. o L utilisateur peut uniquement démarrer le poste de travail à partir du disque dur système interne. o Il convient de prendre des mesures pour que seul le hardware fourni par l institution puisse être connecté aux postes de travail. o En cas de remise en service d un poste de travail, les données d exploitation doivent au besoin être préservées avant la réinstallation du poste de travail. o Lorsqu un poste de travail est mis hors service, les disques durs doivent être rendus illisibles à l aide d outils spéciaux. o Privilégier l utilisation des systèmes d allocation de fichiers les plus récents. 2 Voir également les polices correspondantes au niveau de l utilisateur final. 3 Exemples de canaux d input et output: USB, Firewire, Wifi, ports sériels et parallèles, bluetooth, infrarouge, disquette, graveur CD, P 4

3.3 Aspects software 3.3.1 Système d exploitation A. Droits / autorisations o Le nombre d utilisateurs disposant de droits spéciaux 4 doit être limité à un minimum. La création d un administrateur (local / domaine) pour un certain profil de fonction devra faire l objet d une autorisation du service de sécurité. Les comptes avec des droits spéciaux peuvent uniquement être utilisés pour l exécution de tâches spécifiques qui requièrent des droits spéciaux. Ceci signifie que les tâches quotidiennes doivent être exécutées avec un compte disposant de droits limités. o Il y a lieu de limiter le nombre de comptes locaux sur un poste de travail. Il convient également de désactiver les comptes préinstallés. o Veillez à implémenter une politique en matière de mots de passe, de manière à imposer des mots de passe forts. Imposez une longueur minimale des mots de passe. Utilisez un historique des mots de passe et un «account lockout threshold» pour éviter le risque de brute force attack. La politique spécifique en matière de mots de passe sera déterminée en collaboration avec le service de sécurité de l information. o Evitez la réutilisation de mots de passe identiques sur différents comptes / différentes plateformes (p.ex. mot de passe d administrateur local différent des mots de passe domaine, database, ). o En dehors d un système spécialisée suffisamment sécurisé (SSO), évitez l enregistrement automatique de mots de passe pour les connexions réseau et internet, les connexions vers les applications, B. Services o Désactivez toutes les fonctions locales de sharing 5. o Réduisez les risques par l élimination de tous les processus / protocoles / services à risque et/ou inutilisés connus. o Evitez l utilisation de la fonction Memory Dump Files et veillez à ce que les Paging files et Temporary files soient vidés au moment de redémarrer ou d éteindre le poste de travail. o Désactivez les possibilités de «universal plug & play» pour éviter tout usage non autorisé de hardware supplémentaire. o Débranchez tous les canaux de communication 6 qui ne sont pas nécessaires dans le cadre des activités autorisées. o Prévoyez une méthode pour éviter l utilisation d applications non autorisées en combinaison avec une politique de limitation de software. 4 Tout groupe d utilisateurs qui diffère d un utilisateur configuré de manière standard, p.ex. domain admin, local admin, superusers, 5 simple file sharing, shared folders et internet connection sharing 6 wireless network, firewire, bluetooth, infrared, serial, P 5

C. Connexions o Eliminez du domaine les postes de travail inutilisés / mis hors service. o Le firewall interne doit être activé. Ce firewall doit être actualisé en permanence et ne peut pas être mis hors service par l utilisateur final. Ne laisser ouvert que quelques ports nécessaires à l éxécution des tâches professionnelles. Opérer une distinction entre les connexions nécessaires au réseau interne et les connexions externes. En fonction des besoins, il y a lieu de prévoir la possibilité de créer différents profils (VPN sur portables, ). 3.3.2 Software hors système d exploitation A. Navigateur o Configurez les paramètres internet du navigateur afin d éviter l installation de malware à travers internet (limiter les fonctions comme active content, scripting, ). o Laissez le navigateur contrôler si chaque certificat numérique est toujours valide. o Limitez le plus possible l utilisation de cookies. o Utilisez un bloqueur de «Pop-Ups Windows». B. Anti-malware o Planifier l éxecution automatique du logiciel anti-malware pour qu il effectue régulièrement un scan complet du système (tous les fichiers, également les fichiers startup, bios, boot records). o Utilisez les fonctions real-time présentes dans les programmes anti-malware. o L utilisateur ne doit pas pouvoir modifier lui-même les paramètres du logiciel antimalware, ni en interrompre son fonctionnement. o La mise à jour dui logiciel anti-malware doit être automatique et régulière. C. Autres logiciels o Il convient de prendre des mesures maximales pour garantir l intégrité des logiciels. o En cas d installation de systèmes pouvant permettre la prise de contrôle à distance du poste de travail, cette prise de contrôle ne peut uniquement avoir lieu que moyennant l accord de l utilisateur final. 3.3.3 Gestion des patches o Les mises à jour de sécurité doivent d abord être testées avant leur déployement. o Après la phase de test, les patches doivent être appliqués automatiquement aussi tôt que possible sur chaque poste de travail dès sa connexion au domaine/réseau. o Les nouveaux postes de travail ne peuvent être installés sur le réseau que lorsque ces systèmes ont atteint un niveau acceptable en matière de patching. o En ce qui concerne la fréquence d installation des mises à jour de sécurité, il convient de trouver un bon équilibre entre les besoins de sécurité et les objectifs opérationnels. Pour P 6

les mises à jour qui sont qualifiées d urgentes par des organismes reconnus 7 il convient de prendre immédiatement les mesures adéquates. o Une communication régulière doit être prévue entre le service responsable de la gestion des patches des postes de travail et le service réseau. L objectif est d évaluer les incidents de sécurité détectés par le service réseau dans le cadre de la gestion des patches et de prendre, le cas échéant, des mesures immédiates. 3.4 Directives organisationnelles o Une liste des logiciels autorisés doit être établie et seuls les logiciels approuvés par un service désigné à cet effet peuvent être ajoutés à cette liste. o Pour tous les logiciels installés par les seuls services compétents à cet égard, il y a lieu de s arrurer que l institution soit en règle en ce qui concerne les contrats de licence. o L installation de logiciels non autorisés sur les postes de travail peut faire l objet d un audit ciblé. o Il convient que le système installé fasse en sort que seuls les postes de travails autorisés puissent accéder au domaine (outre les éventuels systèmes qui empêchent l accès au niveau réseau). o L utilisation d un système de gestion centrale du parc des postes de travail est recommandée. 3.5 Procédures Des procédures doivent être établies, actualisées et respectées: o Pour garantir que les directives mentionnées dans le présent document soient respectées; o Pour l installation d un logiciel mis à disposition par l institution; o Pour autoriser l utilisation d un logiciel sur un poste de travail; o Quand à la configuration et la maintenance des postes de travail, avec une attention particulière pour les paramètres de sécurité ; o Pour la gestion des logiciels sur base du profil du personnel (lors de l entrée en service / du départ / du changement de fonction d un membre du personnel) ; o Pour la gestion de l évolution des logiciels (nouvelles versions, updates, patching, suivi des licences ) 7 Sans, Secunia, P 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back