Discussion :

[Invité]

Bonjour à tous,

Je recherche un site ou un livre qui listerait l'ensemble des mesures de sécurité que l'on pourrait retrouver dans tout type entreprise et leurs mises en oeuvre.

L'idée, c'est d'avoir un ensemble de mesures abstraites : "Protéger le réseau" par exemple, que l'on déclinerait en mesures plus concrètes : "Protéger l'accès à distance", "Maitriser l'accès à internet" que l'on déclineraient ensuite en mesures concrètes "Mettre en place un VPN", "Mettre en place une DMZ", "Mettre en place un firewall", "Mettre en place un proxy" que l'on déclinerait ensuite en spécifications plus techniques.

A la base, je voulais créer un document qui récapitule l'ensemble des mesures de sécurité qui sont à l'état du l'art du moment avec leurs déclinaisons en sous mesures qu'un RSSI choisirait ou non de mettre en place.

J'avais déjà commencé la rédaction d'un tel document. Je me suis renseigné sur le site de l'ANSSI où ils ont publié ce document : https://www.ssi.ens.fr/guide_hygiene...ique_anssi.pdf . Ce document est ma base.

Ensuite, j'ai commencé à subdiviser chacune des mesures qu'ils ont cités en des sous - mesures qu'ils détaillent dans chaque parties. Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
I) Protéger le réseau informatique interne :
    1) Maitriser les accès Internet
        A) Il est recommandé de mettre en œuvre une passerelle sécurisée d’accès à Internet comprenant au minimum un pare-feu au plus près de l’accès Internet pour filtrer les connexions et un serveur mandataire (proxy) embarquant différents 
            mécanismes de sécurité. 	
        
        B) Cette passerelle de sécurité doit assurer l’authentification des utilisateurs et la journalisation des requêtes. 

        C) ...

Après cela, j'ai commencé à regarder les notes auxquelles ils faisaient référence, mais leurs référence ne s'attardent que sur quelques aspects de ce qu'ils ont mentionné auparavant. C'est pour ça que je suis un peu bloqué et que je recherche de la documentation où je pourrais trouver plusieurs mesures détaillées.

J'ai essayé de regarder sur le site de la BSI, (l'ANSSI allemande) où j'ai pu avoir un aperçu de ce que je recherche, mais encore une fois, il y a certaines parties qu'ils ne traitent pas : http://enos.itcollege.ee/~valdo/bsie...05/m05140.html

Ducoup je recherche des livres ou des sites qui proposerait une méthodologie concrète et bien structurée pour sécuriser un SI de toute taille.

Cordialement.

[Shampra]

Bonjour,

J'espère que vous avez trouver ce qu'il faut, après plusieurs mois ;-).
Sinon, l'ANSSI propose ce document comme base, mais aussi tout un panel de recommandation sur un grand nombre de thème :
https://www.ssi.gouv.fr/administrati...nes-pratiques/

Et là, ce sera beaucoup beaucoup plus détaillé sur les différents sujets : durcissement système, réseau, IPSEC, web,...

[gangsoleil]

Bonjour,

J'avais zappé cette discussion, qui est intéressante, mais qui n'aura malheureusement pas de réponse complète.

Bien sûr, la sécurisation du réseau, des machines de chacun, avec ségrégation des réseaux, et tout. On met dedans les backups, avec la sécurisation de ceux-ci. Un peu de télétravail, du BYOD, et hop, des chapitres en plus.
Puis la gestion des droits, pour que chacun n'ait accès qu'à ce dont il a besoin.
Puis la sécurisation des données.
Puis la sécurisation de tout ce qui concerne les clients.
La même chose pour les gens en déplacement -- les commerciaux, mais aussi le haut-management, plus difficile.
La formation de tous les utilisateurs. TOUS, y compris le PDG.
Un plan de continuité de l'activité (Business Continuity Plan), que beaucoup d'entreprises ont sorti pour la première fois lors des confinements.

Bref, je pense qu'en restant très très haut niveau, la liste serait déjà très longue, alors une liste détaillée me semble illusoire.

Rien que pour ton point I, 1, B, il faudrait détailler ce que tu loggues (lois sur la protection des données oblige, RGPD pour les européens, mais aussi toutes les autres), et combien de temps tu les gardes.