Frameworks Compliance Manager

Ce document fournit du contenu de référence pour les frameworks cloud intégrés inclus dans le Gestionnaire de conformité.

Google Recommended AI Essentials - Vertex AI

Fournisseur de services cloud compatible : Google Cloud

Ce framework décrit les bonnes pratiques de sécurité recommandées par Google pour les charges de travail Vertex AI. Il fournit une collection prescriptive de règles préventives et de détection essentielles. Lorsque vous activez AI Protection dans Security Command Center, une évaluation détaillée de la conformité de la sécurité par rapport à ce framework s'affiche automatiquement dans le tableau de bord AI Security.

Ce framework inclut les contrôles cloud suivants :

CIS GKE 1.7

Fournisseur de services cloud compatible : Google Cloud

Le benchmark CIS de GKE est un ensemble de recommandations et de bonnes pratiques de sécurité spécialement conçues pour les clusters Google Kubernetes Engine (GKE). Le benchmark vise à améliorer la stratégie de sécurité des environnements GKE.

Ce framework inclut les contrôles cloud suivants :

CIS Critical Security Controls v8

Fournisseur de services cloud compatible : Google Cloud

Ensemble de mesures de protection prioritaires permettant de se protéger contre les cybermenaces courantes. Il propose une approche pratique de la cyberdéfense, divisée en groupes d'implémentation (IG1, IG2, IG3) pour s'adapter aux organisations de maturité variable.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

cis-controls-1-1

Établissez et tenez à jour un inventaire précis, détaillé et actualisé de tous les actifs de l'entreprise susceptibles de stocker ou de traiter des données, y compris les appareils des utilisateurs finaux (y compris portables et mobiles), les appareils réseau, les appareils non informatiques/IoT et les serveurs. Assurez-vous que l'inventaire enregistre l'adresse réseau (si elle est statique), l'adresse matérielle, le nom de la machine, le propriétaire de l'actif d'entreprise, le service pour chaque actif et si l'actif a été approuvé pour se connecter au réseau. Pour les appareils mobiles des utilisateurs finaux, les outils de type MDM peuvent prendre en charge ce processus, le cas échéant. Cet inventaire inclut les composants connectés à l'infrastructure de manière physique, virtuelle ou à distance, ainsi que ceux qui se trouvent dans des environnements cloud. Il inclut également les composants régulièrement connectés à l'infrastructure réseau de l'entreprise, même s'ils ne sont pas sous son contrôle. Examinez et mettez à jour l'inventaire de tous les actifs de l'entreprise deux fois par an, ou plus fréquemment.

cis-controls-10-2

Configurez les mises à jour automatiques des fichiers de signatures anti-malware sur tous les composants de l'entreprise.

cis-controls-10-3

Désactivez les fonctionnalités d'exécution automatique et de lecture automatique pour les supports amovibles.

cis-controls-10-6

Gérez de manière centralisée les logiciels anti-malware.

cis-controls-11-1

Établissez et maintenez un processus de récupération des données documenté qui inclut des procédures de sauvegarde détaillées. Dans ce processus, abordez l'étendue des activités de récupération de données, la priorité de récupération et la sécurité des données de sauvegarde. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-11-2

Effectuez des sauvegardes automatiques des composants d'entreprise concernés. Effectuez des sauvegardes hebdomadaires ou plus fréquentes en fonction de la sensibilité des données.

cis-controls-11-3

Protégez les données de récupération avec des contrôles équivalents à ceux des données d'origine. Chiffrement de référence ou séparation des données, selon les exigences.

cis-controls-11-4

Établissez et gérez une instance isolée de données de récupération. Par exemple, vous pouvez contrôler les versions des destinations de sauvegarde via des systèmes ou services hors connexion, cloud ou hors site.

cis-controls-11-5

Testez la récupération des sauvegardes tous les trimestres, ou plus souvent, pour un échantillon d'assets d'entreprise concernés.

cis-controls-12-2

Concevez et gérez une architecture réseau sécurisée. Une architecture réseau sécurisée doit au minimum aborder la segmentation, le moindre privilège et la disponibilité. Les exemples d'implémentation peuvent inclure des composants de documentation, de règles et de conception.

cis-controls-12-3

Gérez l'infrastructure réseau de manière sécurisée. Parmi les exemples d'implémentations, on peut citer l'Infrastructure as Code (IaC) avec gestion des versions et l'utilisation de protocoles réseau sécurisés, tels que SSH et HTTPS.

cis-controls-12-5

Centralisez l'authentification, l'autorisation et la comptabilité du réseau.

cis-controls-12-6

Adoptez des protocoles de gestion de réseau sécurisés (par exemple, 802.1X) et des protocoles de communication sécurisés (par exemple, WPA2 Entreprise ou alternatives plus sécurisées).

cis-controls-12-7

Exigez des utilisateurs qu'ils s'authentifient auprès des services d'authentification et de VPN gérés par l'entreprise avant d'accéder aux ressources de l'entreprise sur leurs appareils.

cis-controls-13-1

Centralisez les alertes d'événements de sécurité sur l'ensemble des ressources de l'entreprise pour la corrélation et l'analyse des journaux. Pour appliquer les bonnes pratiques, vous devez utiliser un SIEM, qui inclut des alertes de corrélation d'événements définies par le fournisseur. Une plate-forme d'analyse de journaux configurée avec des alertes de corrélation liées à la sécurité répond également à cette mesure de protection.

cis-controls-13-2

Déployez une solution de détection d'intrusion basée sur l'hôte sur les ressources de l'entreprise, le cas échéant et/ou si elle est prise en charge.

cis-controls-13-3

Déployez une solution de détection d'intrusion réseau sur les ressources de l'entreprise, le cas échéant. Par exemple, vous pouvez utiliser un système de détection des intrusions sur le réseau (NIDS) ou un service CSP (fournisseur de services cloud) équivalent.

cis-controls-13-4

Filtrez le trafic entre les segments réseau, le cas échéant.

cis-controls-13-5

Gérez le contrôle des accès pour les ressources se connectant à distance aux ressources de l'entreprise. Déterminez le niveau d'accès aux ressources de l'entreprise en fonction des éléments suivants : logiciel antimalware à jour installé, configuration conforme au processus de configuration sécurisée de l'entreprise, et système d'exploitation et applications à jour.

cis-controls-13-6

Collectez les journaux de flux de trafic réseau et/ou le trafic réseau à examiner et sur lesquels générer des alertes à partir des périphériques réseau.

cis-controls-13-7

Déployez une solution de prévention des intrusions basée sur l'hôte sur les ressources de l'entreprise, le cas échéant et/ou si elle est prise en charge. Par exemple, vous pouvez utiliser un client EDR (Endpoint Detection and Response) ou un agent IPS basé sur l'hôte.

cis-controls-13-8

Déployez une solution de prévention des intrusions réseau, le cas échéant. Par exemple, vous pouvez utiliser un système de prévention des intrusions réseau (NIPS) ou un service CSP équivalent.

cis-controls-13-9

Déployez le contrôle des accès au niveau des ports. Contrôle des accès au niveau des ports utilise le protocole 802.1x ou des protocoles de contrôle des accès au réseau similaires, tels que les certificats, et peut inclure l'authentification des utilisateurs et/ou des appareils.

cis-controls-14-1

Établir et gérer un programme de sensibilisation à la sécurité. L'objectif d'un programme de sensibilisation à la sécurité est d'apprendre aux employés de l'entreprise comment interagir de manière sécurisée avec les ressources et les données de l'entreprise. Organisez des formations lors de l'embauche et, au minimum, une fois par an. Examinez et mettez à jour le contenu chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette protection.

cis-controls-14-3

Formez les membres de votre personnel aux bonnes pratiques d'authentification. Par exemple, l'authentification multifactorielle, la composition des mots de passe et la gestion des identifiants.

cis-controls-14-5

Formez les membres de votre personnel pour qu'ils soient conscients des causes d'exposition involontaire des données. Par exemple, la mauvaise distribution de données sensibles, la perte d'un appareil portable d'utilisateur final ou la publication de données auprès d'audiences non prévues.

cis-controls-16-1

Établir et gérer un processus de développement d'applications sécurisé. Dans ce processus, abordez des éléments tels que les normes de conception d'applications sécurisées, les pratiques de codage sécurisé, la formation des développeurs, la gestion des failles, la sécurité du code tiers et les procédures de test de sécurité des applications. Examiner et mettre à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-16-11

Utilisez des modules ou des services approuvés pour les composants de sécurité des applications, tels que la gestion de l'identité, le chiffrement, l'audit et la journalisation. L'utilisation des fonctionnalités de la plate-forme dans les fonctions de sécurité critiques réduira la charge de travail des développeurs et minimisera le risque d'erreurs de conception ou d'implémentation. Les systèmes d'exploitation modernes fournissent des mécanismes efficaces d'identification, d'authentification et d'autorisation, et les mettent à la disposition des applications. N'utilisez que des algorithmes de chiffrement standardisés, actuellement acceptés et largement examinés. Les systèmes d'exploitation fournissent également des mécanismes permettant de créer et de gérer des journaux d'audit sécurisés.

cis-controls-16-12

Appliquez des outils d'analyse statique et dynamique au cours du cycle de vie de l'application pour vérifier que des pratiques de codage sécurisé sont suivies.

cis-controls-16-13

Effectuez des tests d'intrusion sur l'application. Pour les applications critiques, les tests d'intrusion authentifiés sont plus adaptés à la recherche de failles de logique métier que l'analyse du code et les tests de sécurité automatisés. Les tests d'intrusion reposent sur la capacité du testeur à manipuler manuellement une application en tant qu'utilisateur authentifié et non authentifié. 

cis-controls-16-2

Établissez et maintenez un processus permettant d'accepter et de traiter les signalements de failles logicielles, y compris en fournissant un moyen aux entités externes de les signaler. Le processus doit inclure des éléments tels qu'une stratégie de gestion des failles qui identifie le processus de signalement, la partie responsable de la gestion des signalements de failles, ainsi qu'un processus d'ingestion, d'attribution, de correction et de test de correction. Dans le cadre de ce processus, utilisez un système de suivi des failles qui inclut des niveaux de gravité et des métriques permettant de mesurer le temps nécessaire à l'identification, à l'analyse et à la correction des failles. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection. Les développeurs d'applications tierces doivent considérer qu'il s'agit d'un règlement externe qui permet de définir les attentes des parties prenantes externes.

cis-controls-16-3

Effectuez une analyse des causes fondamentales des failles de sécurité. Lors de l'examen des failles, l'analyse des causes fondamentales consiste à évaluer les problèmes sous-jacents qui créent des failles dans le code. Elle permet aux équipes de développement de ne pas se contenter de corriger les failles individuelles au fur et à mesure qu'elles surviennent.

cis-controls-16-7

Utilisez des modèles de configuration de renforcement standard et recommandés par le secteur pour les composants de l'infrastructure d'application. Cela inclut les serveurs, les bases de données et les serveurs Web sous-jacents, et s'applique aux conteneurs cloud, aux composants PaaS (Platform as a Service) et aux composants SaaS. Ne pas autoriser les logiciels développés en interne à affaiblir le renforcement de la configuration.

cis-controls-17-2

Établissez et conservez les coordonnées des parties qui doivent être informées des incidents de sécurité. Les contacts peuvent inclure du personnel interne, des fournisseurs de services, des représentants des forces de l'ordre, des fournisseurs d'assurance cyber, des agences gouvernementales concernées, des partenaires de l'Information Sharing and Analysis Center (ISAC) ou d'autres parties prenantes. Vérifiez les contacts chaque année pour vous assurer que les informations sont à jour.

cis-controls-17-4

Établissez et maintenez un processus de réponse aux incidents documenté qui aborde les rôles et responsabilités, les exigences de conformité et un plan de communication. Examinez-le chaque année ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir une incidence sur cette mesure de protection.

cis-controls-17-9

Établissez et maintenez des seuils d'incidents de sécurité, y compris, au minimum, en faisant la différence entre un incident et un événement. Par exemple : activité anormale, faille de sécurité, point faible en termes de sécurité, atteinte aux données, incident de confidentialité, etc. Examinez-le chaque année ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-18-1

Établissez et maintenez un programme de tests d'intrusion adapté à la taille, à la complexité, au secteur et à la maturité de l'entreprise. Les caractéristiques du programme de tests d'intrusion incluent le champ d'application, tel que les contrôles du réseau, de l'application Web, de l'interface de programmation d'application (API), des services hébergés et des locaux physiques ; la fréquence ; les limites, telles que les heures acceptables et les types d'attaques exclus ; les informations sur le point de contact ; la correction, telle que la manière dont les résultats seront transmis en interne ; et les exigences rétrospectives.

cis-controls-18-2

Effectuez des tests d'intrusion externes périodiques en fonction des exigences du programme, au moins une fois par an. Les tests d'intrusion externes doivent inclure une reconnaissance de l'entreprise et de l'environnement pour détecter les informations exploitables. Les tests d'intrusion nécessitent des compétences et une expérience spécialisées, et doivent être effectués par une partie qualifiée. Le test peut être effectué dans une boîte transparente ou opaque.

cis-controls-18-5

Effectuer des tests d'intrusion internes périodiques en fonction des exigences du programme, au moins une fois par an. Le test peut être effectué dans une boîte transparente ou opaque.

cis-controls-2-7

Utilisez des contrôles techniques, tels que les signatures numériques et le contrôle des versions, pour vous assurer que seuls les scripts autorisés, tels que les fichiers .ps1 et .py spécifiques, sont autorisés à s'exécuter. Bloquez l'exécution de scripts non autorisés. Réévaluez-les deux fois par an ou plus souvent.

cis-controls-3-1

Établir et maintenir un processus de gestion des données documenté. Au cours du processus, abordez la sensibilité des données, le propriétaire des données, le traitement des données, les limites de conservation des données et les exigences de suppression, en fonction des normes de sensibilité et de conservation pour l'entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-3-11

Chiffrez les données sensibles au repos sur les serveurs, les applications et les bases de données. Le chiffrement au niveau du stockage, également appelé chiffrement côté serveur, répond aux exigences minimales de cette protection. Les méthodes de chiffrement supplémentaires peuvent inclure le chiffrement au niveau de l'application, également appelé chiffrement côté client, où l'accès aux dispositifs de stockage de données ne permet pas d'accéder aux données en texte clair.

cis-controls-3-14

Journalisez l'accès aux données sensibles, y compris leur modification et leur suppression.

cis-controls-3-2

Établir et tenir à jour un inventaire des données en fonction du processus de gestion des données de l'entreprise. Inventoriez au minimum les données sensibles. Examinez et mettez à jour l'inventaire au moins une fois par an, en accordant la priorité aux données sensibles.

cis-controls-3-3

Configurez des listes de contrôle des accès aux données en fonction du besoin d'en connaître de l'utilisateur. Appliquez des listes de contrôle des accès aux données, également appelées autorisations d'accès, aux systèmes de fichiers, bases de données et applications locaux et distants.

cis-controls-3-4

Conservez les données conformément au processus de gestion des données documenté de l'entreprise. La conservation des données doit inclure des délais minimum et maximum.

cis-controls-3-5

Éliminez les données de manière sécurisée, comme indiqué dans le processus de gestion des données documenté de l'entreprise. Assurez-vous que le processus et la méthode d'élimination sont adaptés à la sensibilité des données.

cis-controls-3-6

Chiffrez les données sensibles sur les appareils des utilisateurs finaux. Par exemple : Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

cis-controls-3-7

Établir et gérer un schéma global de classification des données pour l'entreprise. Les entreprises peuvent utiliser des libellés tels que "Sensible", "Confidentiel" et "Public", et classer leurs données en fonction de ces libellés. Examinez et mettez à jour le système de classification chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-3-8

Flux de données des documents. La documentation sur le flux de données inclut les flux de données des fournisseurs de services et doit être basée sur le processus de gestion des données de l'entreprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-3-9

Chiffrez les données sur les supports amovibles.

cis-controls-4-1

Établissez et maintenez un processus de configuration sécurisé documenté pour les ressources de l'entreprise (appareils des utilisateurs finaux, y compris portables et mobiles, appareils non informatiques/IoT et serveurs) et les logiciels (systèmes d'exploitation et applications). Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-4-2

Établissez et gérez un processus de configuration sécurisé documenté pour les périphériques réseau. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-4-3

Configurez le verrouillage automatique des sessions sur les ressources de l'entreprise après une période d'inactivité définie. Pour les systèmes d'exploitation à usage général, la période ne doit pas dépasser 15 minutes. Pour les appareils mobiles des utilisateurs finaux, la période ne doit pas dépasser deux minutes.

cis-controls-4-4

Implémentez et gérez un pare-feu sur les serveurs, si cela est possible. Les exemples d'implémentations incluent un pare-feu virtuel, un pare-feu de système d'exploitation ou un agent de pare-feu tiers.

cis-controls-4-5

Implémentez et gérez un pare-feu basé sur l'hôte ou un outil de filtrage des ports sur les appareils des utilisateurs finaux, avec une règle de refus par défaut qui bloque tout le trafic, à l'exception des services et des ports explicitement autorisés.

cis-controls-4-6

Gérez les actifs et les logiciels de l'entreprise de manière sécurisée. Parmi les exemples d'implémentations, on peut citer la gestion de la configuration via l'infrastructure en tant que code (IaC) avec contrôle des versions et l'accès aux interfaces d'administration via des protocoles réseau sécurisés, tels que Secure Shell (SSH) et Hypertext Transfer Protocol Secure (HTTPS). N'utilisez pas de protocoles de gestion non sécurisés, tels que Telnet (Teletype Network) et HTTP, sauf si cela est absolument nécessaire.

cis-controls-4-7

Gérez les comptes par défaut sur les logiciels et les ressources d'entreprise, tels que les comptes racine, administrateur et autres comptes de fournisseur préconfigurés. Par exemple, vous pouvez désactiver les comptes par défaut ou les rendre inutilisables.

cis-controls-4-8

Désinstallez ou désactivez les services inutiles sur les ressources et logiciels de l'entreprise, comme un service de partage de fichiers, un module d'application Web ou une fonction de service inutilisés.

cis-controls-5-1

Établissez et tenez à jour un inventaire de tous les comptes gérés dans l'entreprise. L'inventaire doit au minimum inclure les comptes utilisateur, administrateur et de service. L'inventaire doit au minimum contenir le nom de la personne, son nom d'utilisateur, ses dates de début et de fin, et son service. Vérifiez que tous les comptes actifs sont autorisés, au moins une fois par trimestre ou plus souvent.

cis-controls-5-2

Utilisez des mots de passe uniques pour tous les composants de l'entreprise. La mise en œuvre des bonnes pratiques inclut, au minimum, un mot de passe de huit caractères pour les comptes utilisant l'authentification multifactorielle (MFA) et un mot de passe de 14 caractères pour les comptes n'utilisant pas MFA;AMF. 

cis-controls-5-4

Limitez les droits d'administrateur aux comptes administrateur dédiés sur les ressources de l'entreprise. Effectuez des activités informatiques générales, telles que la navigation sur Internet, l'envoi d'e-mails et l'utilisation d'une suite de productivité, à partir du compte principal non privilégié de l'utilisateur.

cis-controls-5-5

Établissez et tenez à jour un inventaire des comptes de service. L'inventaire doit au minimum contenir le propriétaire du service, la date de révision et l'objectif. Effectuez des vérifications des comptes de service pour valider que tous les comptes actifs sont autorisés, au moins tous les trimestres, voire plus fréquemment.

cis-controls-5-6

Centralisez la gestion des comptes à l'aide d'un service d'annuaire ou d'identité.

cis-controls-6-1

Établissez et suivez un processus documenté, de préférence automatisé, pour accorder l'accès aux ressources de l'entreprise lorsqu'un nouvel utilisateur est embauché ou qu'un utilisateur change de rôle.

cis-controls-6-2

Établissez et suivez un processus, de préférence automatisé, pour révoquer l'accès aux ressources de l'entreprise en désactivant les comptes immédiatement en cas de résiliation, de révocation des droits ou de changement de rôle d'un utilisateur. Il peut être nécessaire de désactiver les comptes au lieu de les supprimer pour conserver les journaux d'audit.

cis-controls-6-3

Exigez que toutes les applications d'entreprise ou tierces exposées en externe appliquent la MFA, si elle est prise en charge. L'application de l'authentification multifacteur via un service d'annuaire ou un fournisseur d'authentification unique constitue une implémentation satisfaisante de cette mesure de protection.

cis-controls-6-5

Exigez l'authentification multifactorielle pour tous les comptes disposant d'un accès administrateur, lorsque cela est possible, sur tous les actifs de l'entreprise, qu'ils soient gérés sur site ou par un fournisseur de services.

cis-controls-6-6

Établissez et tenez à jour un inventaire des systèmes d'authentification et d'autorisation de l'entreprise, y compris ceux hébergés sur site ou chez un fournisseur de services à distance. Vérifiez et mettez à jour l'inventaire au moins une fois par an, ou plus souvent.

cis-controls-6-7

Centralisez le contrôle des accès pour tous les composants d'entreprise via un service d'annuaire ou un fournisseur d'authentification unique, lorsque cela est possible.

cis-controls-6-8

Définissez et gérez le contrôle des accès basé sur les rôles en déterminant et en documentant les droits d'accès nécessaires à chaque rôle au sein de l'entreprise pour mener à bien les tâches qui lui sont attribuées. Effectuez des examens du contrôle des accès aux ressources de l'entreprise pour vérifier que tous les privilèges sont autorisés, selon une planification récurrente (au moins une fois par an) ou plus fréquemment.

cis-controls-7-2

Établissez et maintenez une stratégie de correction basée sur les risques, documentée dans un processus de correction, avec des examens mensuels ou plus fréquents.

cis-controls-7-7

Corrigez les failles détectées dans les logiciels à l'aide de processus et d'outils sur une base mensuelle (ou plus fréquente), en fonction du processus de correction.

cis-controls-8-1

Établissez et maintenez un processus documenté de gestion des journaux d'audit qui définit les exigences de journalisation de l'entreprise. Au minimum, abordez la collecte, l'examen et la conservation des journaux d'audit pour les ressources Enterprise. Examinez et mettez à jour la documentation chaque année, ou lorsque des changements importants se produisent dans l'entreprise et peuvent avoir un impact sur cette mesure de protection.

cis-controls-8-11

Examiner les journaux d'audit pour détecter les anomalies ou les événements anormaux pouvant indiquer une menace potentielle. Effectuez des examens chaque semaine ou plus souvent.

cis-controls-8-2

Collectez les journaux d'audit. Assurez-vous que la journalisation, conformément au processus de gestion des journaux d'audit de l'entreprise, a été activée pour les ressources de l'entreprise.

cis-controls-8-3

Assurez-vous que les destinations de journalisation disposent d'un espace de stockage suffisant pour respecter le processus de gestion des journaux d'audit de l'entreprise.

cis-controls-8-4

Normalisez la synchronisation horaire. Configurez au moins deux sources de temps synchronisées sur les ressources de l'entreprise, si possible.

cis-controls-8-5

Configurez des journaux d'audit détaillés pour les ressources d'entreprise contenant des données sensibles. Incluez la source de l'événement, la date, le nom d'utilisateur, le code temporel, les adresses sources, les adresses de destination et d'autres éléments utiles qui pourraient aider à l'enquête.

cis-controls-8-6

Collectez les journaux d'audit des requêtes DNS sur les ressources de l'entreprise, le cas échéant et si cela est possible.

cis-controls-8-7

Collectez les journaux d'audit des demandes d'URL sur les ressources de l'entreprise, le cas échéant et si cela est possible.

cis-controls-8-8

Collectez les journaux d'audit de la ligne de commande. Par exemple, vous pouvez collecter des journaux d'audit à partir de PowerShell®, BASH™ et de terminaux d'administration à distance.

cis-controls-8-9

Centralisez, dans la mesure du possible, la collecte et la conservation des journaux d'audit pour les ressources de l'entreprise, conformément au processus documenté de gestion des journaux d'audit. Les exemples d'implémentation incluent principalement l'utilisation d'un outil SIEM pour centraliser plusieurs sources de journaux.

cis-controls-9-1

Assurez-vous que seuls les navigateurs et clients de messagerie entièrement compatibles sont autorisés à s'exécuter dans l'entreprise, en utilisant uniquement la dernière version des navigateurs et clients de messagerie fournie par le fournisseur.

cis-controls-9-2

Utilisez des services de filtrage DNS sur tous les appareils des utilisateurs finaux, y compris les ressources distantes et sur site, pour bloquer l'accès aux domaines malveillants connus.

cis-controls-9-3

Appliquez et mettez à jour les filtres d'URL basés sur le réseau pour empêcher un composant d'entreprise de se connecter à des sites Web potentiellement malveillants ou non approuvés. Les implémentations peuvent inclure le filtrage par catégorie ou par réputation, ou l'utilisation de listes de blocage. Appliquez des filtres à tous les composants de l'entreprise.

cis-controls-9-4

Restreignez, en désinstallant ou en désactivant, les plug-ins, extensions et modules complémentaires non autorisés ou inutiles pour les navigateurs ou les clients de messagerie.

CSA Cloud Controls Matrix v4.0.11

Fournisseur de services cloud compatible : Google Cloud

Framework de contrôle de la cybersécurité conçu spécifiquement pour l'environnement de cloud computing. Il fournit un ensemble complet de contrôles dans les principaux domaines pour vous aider à évaluer la posture de sécurité de vos services cloud.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

ccm-aa-01

Établir, documenter, approuver, communiquer, appliquer, évaluer et maintenir des règles, des procédures et des normes d'audit et d'assurance Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-aa-02

Effectuez des évaluations d'audit et d'assurance indépendantes conformément aux normes applicables au moins une fois par an.

ccm-ais-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour la sécurité des applications afin de fournir des conseils pour la planification, la fourniture et l'assistance appropriées des capacités de sécurité des applications de l'organisation. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-ais-02

Établir, documenter et maintenir les exigences de référence pour sécuriser différentes applications.

ccm-ais-03

Définissez et implémentez des métriques techniques et opérationnelles en fonction des objectifs commerciaux, des exigences de sécurité et des obligations de conformité.

ccm-ais-04

Définissez et implémentez un processus SDLC pour la conception, le développement, le déploiement et l'exploitation des applications, conformément aux exigences de sécurité définies par l'organisation.

ccm-ais-05

Mettez en œuvre une stratégie de test, y compris des critères d'acceptation des nouveaux systèmes d'information, des mises à niveau et des nouvelles versions, qui garantit la sécurité des applications et la conformité tout en permettant d'atteindre les objectifs de rapidité de livraison de l'organisation. Automatisez les processus lorsque cela est possible et applicable.

ccm-bcr-03

Établissez des stratégies pour réduire l'impact des perturbations de l'activité, les surmonter et vous en remettre, en fonction de votre tolérance au risque.

ccm-bcr-07

Établissez une communication avec les parties prenantes et les participants au cours des procédures de continuité et de résilience de l'activité.

ccm-bcr-08

Sauvegardez régulièrement les données stockées dans le cloud. Assurez la confidentialité, l'intégrité et la disponibilité de la sauvegarde, et vérifiez la restauration des données à partir de la sauvegarde pour la résilience.

ccm-bcr-09

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez un plan de reprise après sinistre pour vous remettre de catastrophes naturelles ou d'origine humaine. Mettez à jour le plan au moins une fois par an ou en cas de changements importants.

ccm-bcr-10

Mettez en œuvre le plan de réponse en cas de catastrophe chaque année ou en cas de changements importants, y compris, si possible, avec les autorités locales en charge des urgences.

ccm-bcr-11

Complétez les équipements essentiels à l'activité par des équipements redondants situés indépendamment à une distance minimale raisonnable, conformément aux normes du secteur applicables.

ccm-ccc-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et gérez des règles et des procédures pour gérer les risques associés à l'application de modifications aux ressources de l'organisation, y compris les applications, les systèmes, l'infrastructure, la configuration, etc. Les règles et procédures doivent être gérées, que les ressources soient gérées en interne ou en externe. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-ccc-02

Suivez un processus défini de contrôle, d'approbation et de test des modifications de la qualité, avec des normes de référence, de test et de publication établies.

ccm-ccc-07

Mettez en place des mesures de détection avec notification proactive en cas de changements s'écartant de la référence établie.

ccm-cek-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et gérez les règles et procédures de cryptographie, de chiffrement et de gestion des clés. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-cek-02

Définissez et implémentez les rôles et responsabilités liés à la cryptographie, au chiffrement et à la gestion des clés.

ccm-cek-03

Fournissez une protection cryptographique aux données au repos et en transit à l'aide de bibliothèques cryptographiques certifiées selon les normes approuvées.

ccm-cek-04

Utilisez des algorithmes de chiffrement adaptés à la protection des données, en tenant compte de la classification des données, des risques associés et de la facilité d'utilisation de la technologie de chiffrement.

ccm-cek-05

Établissez une procédure standard de gestion des changements pour prendre en compte les changements provenant de sources internes et externes, afin d'examiner, d'approuver, d'implémenter et de communiquer les changements apportés aux technologies de cryptographie, de chiffrement et de gestion des clés.

ccm-cek-08

Les CSP doivent permettre aux CSC de gérer leurs propres clés de chiffrement de données.

ccm-cek-10

Générez des clés cryptographiques à l'aide de bibliothèques cryptographiques acceptées par le secteur, en spécifiant la puissance de l'algorithme et le générateur de nombres aléatoires utilisé.

ccm-cek-11

Gérez les clés privées et secrètes de chiffrement provisionnées pour un usage unique.

ccm-cek-18

Définir, implémenter et évaluer des processus, des procédures et des mesures techniques pour gérer les clés archivées dans un dépôt sécurisé nécessitant un accès selon le principe du moindre privilège, y compris des dispositions pour les exigences légales et réglementaires.

ccm-cek-21

Définir, implémenter et évaluer les processus, procédures et mesures techniques afin que le système de gestion des clés puisse suivre et signaler tous les éléments cryptographiques et les changements d'état, y compris les dispositions relatives aux exigences légales et réglementaires.

ccm-dcs-07

Mettez en place des périmètres de sécurité physique pour protéger le personnel, les données et les systèmes d'information. Établissez des périmètres de sécurité physique entre les zones administratives et commerciales, et les zones de stockage et de traitement des données.

ccm-dcs-09

Autorisez uniquement le personnel autorisé à accéder aux zones sécurisées, avec tous les points d'entrée et de sortie restreints, documentés et surveillés par des mécanismes de contrôle des accès physique. Conservez les enregistrements de contrôle des accès de manière périodique, selon ce que l'organisation juge approprié.

ccm-dsp-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour la classification, la protection et le traitement des données tout au long de leur cycle de vie, conformément à toutes les lois, réglementations et normes applicables, ainsi qu'au niveau de risque. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-dsp-02

Appliquez des méthodes acceptées par le secteur pour éliminer les données de manière sécurisée à partir des supports de stockage, de sorte qu'elles ne puissent pas être récupérées par des moyens d'analyse forensique.

ccm-dsp-07

Développer des systèmes, des produits et des pratiques commerciales basés sur le principe de la sécurité par conception et les bonnes pratiques du secteur.

ccm-dsp-08

Développer des systèmes, des produits et des pratiques commerciales basés sur le principe de confidentialité dès la conception et les bonnes pratiques du secteur. Assurez-vous que les paramètres de confidentialité des systèmes sont configurés par défaut, conformément à toutes les lois et réglementations applicables.

ccm-dsp-10

Définir, implémenter et évaluer des processus, des procédures et des mesures techniques qui garantissent que tout transfert de données sensibles ou à caractère personnel est protégé contre tout accès non autorisé et n'est traité que dans les limites autorisées par les lois et réglementations respectives.

ccm-dsp-16

La conservation, l'archivage et la suppression des données sont gérés conformément aux exigences commerciales, ainsi qu'aux lois et réglementations applicables.

ccm-dsp-17

Définissez et implémentez des processus, des procédures et des mesures techniques pour protéger les données sensibles tout au long de leur cycle de vie.

ccm-grc-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour un programme de gouvernance de l'information, qui est parrainé par la direction de l'organisation. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-grc-03

Examinez toutes les règles d'administration pertinentes et les procédures associées au moins une fois par an ou en cas de changement important au sein de l'organisation.

ccm-grc-07

Identifiez et documentez toutes les normes, réglementations, exigences légales, contractuelles et statutaires pertinentes qui s'appliquent à votre organisation.

ccm-iam-01

Établissez, documentez, approuvez, communiquez, implémentez, appliquez, évaluez et gérez les règles et procédures de gestion des identités et des accès. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-iam-03

Gérez, stockez et examinez les informations sur les identités système et leur niveau d'accès.

ccm-iam-04

Appliquez le principe de séparation des tâches lorsque vous implémentez l'accès au système d'information.

ccm-iam-05

Appliquez le principe du moindre privilège lorsque vous implémentez l'accès au système d'information.

ccm-iam-07

Déprovisionnez ou modifiez l'accès des personnes qui rejoignent ou quittent l'entreprise, ou qui changent d'identité système, de manière rapide afin d'adopter et de communiquer efficacement les stratégies de gestion des identités et des accès.

ccm-iam-09

Définissez, implémentez et évaluez les processus, procédures et mesures techniques pour la séparation des rôles d'accès privilégiés, de sorte que l'accès administratif aux données, aux capacités de chiffrement et de gestion des clés, ainsi qu'aux capacités de journalisation soient distincts et séparés.

ccm-iam-10

Définissez et implémentez un processus d'accès pour vous assurer que les rôles et droits d'accès privilégiés sont accordés pour une durée limitée. Implémentez également des procédures pour empêcher la combinaison d'accès privilégiés distincts.

ccm-iam-11

Définissez, implémentez et évaluez les processus et procédures permettant aux clients de participer, le cas échéant, à l'octroi de l'accès aux rôles privilégiés à haut risque convenus, tels que définis par l'évaluation des risques de l'organisation.

ccm-iam-12

Définissez, implémentez et évaluez des processus, des procédures et des mesures techniques pour vous assurer que l'infrastructure de journalisation est en lecture seule pour tous les utilisateurs disposant d'un accès en écriture, y compris les rôles d'accès privilégiés, et que la possibilité de la désactiver est contrôlée par une procédure qui garantit la séparation des tâches et les procédures de secours.

ccm-iam-13

Définissez, implémentez et évaluez des processus, des procédures et des mesures techniques qui permettent d'identifier les utilisateurs à l'aide d'ID uniques ou qui peuvent associer des personnes à l'utilisation d'ID utilisateur.

ccm-iam-14

Définissez, implémentez et évaluez les processus, procédures et mesures techniques permettant d'authentifier l'accès aux systèmes, aux applications et aux ressources de données, y compris l'authentification multifacteur pour l'accès aux utilisateurs disposant du moindre privilège et aux données sensibles. Adoptez des certificats numériques ou des alternatives qui offrent un niveau de sécurité équivalent pour les identités système.

ccm-iam-16

Définissez, implémentez et évaluez des processus, des procédures et des mesures techniques pour vérifier que l'accès aux données et aux fonctions du système est autorisé.

ccm-ivs-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour la sécurité de l'infrastructure et de la virtualisation. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-ivs-03

Surveillez, chiffrez et limitez les communications entre les environnements aux connexions authentifiées et autorisées uniquement, selon les besoins de l'entreprise. Examinez ces configurations au moins une fois par an et justifiez-les en documentant tous les services, protocoles, ports et contrôles compensatoires autorisés.

ccm-ivs-04

Renforcez l'OS hôte et invité, l'hyperviseur ou le plan de contrôle de l'infrastructure en suivant leurs bonnes pratiques respectives et en vous appuyant sur des contrôles techniques, dans le cadre d'une base de référence de sécurité.

ccm-ivs-06

Concevez, développez, déployez et configurez des applications et des infrastructures de sorte que l'accès des utilisateurs CSP et CSC (locataires) et l'accès intra-locataire soient correctement segmentés et séparés, surveillés et limités par rapport aux autres locataires.

ccm-ivs-07

Utilisez des canaux de communication sécurisés et chiffrés lorsque vous migrez des serveurs, des services, des applications ou des données vers des environnements cloud. Ces canaux ne doivent inclure que des protocoles à jour et approuvés.

ccm-ivs-09

Définissez, implémentez et évaluez les processus, les procédures et les techniques de défense en profondeur pour la protection, la détection et la réponse rapide aux attaques réseau.

ccm-log-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures de journalisation et de surveillance. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-log-02

Définissez, implémentez et évaluez les processus, les procédures et les mesures techniques pour assurer la sécurité et la conservation des journaux d'audit.

ccm-log-03

Identifier et surveiller les événements liés à la sécurité dans les applications et l'infrastructure sous-jacente Définissez et implémentez un système permettant de générer des alertes pour les parties prenantes responsables en fonction de ces événements et des métriques correspondantes.

ccm-log-04

Restreignez l'accès aux journaux d'audit au personnel autorisé et conservez des enregistrements qui fournissent une responsabilité d'accès unique.

ccm-log-05

Surveillez les journaux d'audit de sécurité pour détecter les activités qui ne correspondent pas aux schémas habituels ou attendus. Définissez et suivez un processus défini pour examiner les anomalies détectées et prendre les mesures appropriées en temps voulu.

ccm-log-07

Déterminez, documentez et implémentez les métadonnées d'informations et les événements du système de données qui doivent être consignés. Examinez et mettez à jour le champ d'application au moins une fois par an ou chaque fois que l'environnement des menaces change.

ccm-log-08

Générez des journaux d'audit contenant des informations de sécurité pertinentes.

ccm-log-12

Surveillez et consignez les accès physiques à l'aide d'un système de contrôle des accès auditable.

ccm-sef-01

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour la gestion des incidents de sécurité, l'e-discovery et l'analyse forensique du cloud. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-sef-02

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour la gestion rapide des incidents de sécurité. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-sef-08

Maintenir des points de contact pour les autorités de réglementation applicables, les forces de l'ordre nationales et locales, et les autres autorités juridictionnelles.

ccm-sta-04

Délimitez la propriété partagée et l'applicabilité de tous les contrôles CSA CCM conformément au SSRM pour l'offre de services cloud.

ccm-sta-08

Les CSP examinent régulièrement les facteurs de risque associés à toutes les organisations de leur chaîne d'approvisionnement.

ccm-sta-09

Les contrats de service entre les CSP et les CSC (locataires) doivent intégrer au moins les dispositions et conditions convenues mutuellement, y compris le champ d'application, les caractéristiques et l'emplacement de la relation commerciale et des services proposés, les exigences en matière de sécurité des informations (y compris SSRM), le processus de gestion des modifications, la capacité de journalisation et de surveillance, les procédures de gestion des incidents et de communication, le droit d'audit et d'évaluation par des tiers, la résiliation des services, les exigences en matière d'interopérabilité et de portabilité, et la confidentialité des données.

ccm-tvm-01

Établir, documenter, approuver, communiquer, appliquer, évaluer et maintenir des règles et des procédures pour identifier, signaler et hiérarchiser la correction des failles, afin de protéger les systèmes contre leur exploitation. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-tvm-02

Établissez, documentez, approuvez, communiquez, appliquez, évaluez et maintenez des règles et des procédures pour vous protéger contre les logiciels malveillants sur les ressources gérées. Examinez et mettez à jour les règles et procédures au moins une fois par an.

ccm-tvm-03

Définir, implémenter et évaluer les processus, les procédures et les mesures techniques pour permettre des réponses planifiées et d'urgence aux identifications de failles, en fonction du risque identifié.

ccm-tvm-06

Définissez, implémentez et évaluez des processus, des procédures et des mesures techniques pour la réalisation périodique de tests d'intrusion par des tiers indépendants.

ccm-uem-04

Tenez un inventaire de tous les points de terminaison utilisés pour stocker les données de l'entreprise et y accéder.

ccm-uem-07

Gérez les modifications apportées aux systèmes d'exploitation, aux niveaux de correctifs et aux applications des points de terminaison à l'aide des processus de gestion des modifications de l'entreprise.

ccm-uem-10

Configurez les points de terminaison gérés avec des pare-feu logiciels correctement configurés.

ccm-uem-11

Configurez les points de terminaison gérés avec des technologies et des règles de protection contre la perte de données (DLP) conformément à une évaluation des risques.

Data Security and Privacy Essentials

Fournisseur de services cloud compatible : Google Cloud

Contrôles cloud recommandés par Google pour la sécurité et la confidentialité des données

Ce framework inclut les contrôles cloud suivants :

Data Security Framework Template

Fournisseur de services cloud compatible : Google Cloud

Framework Google intégré pour déployer des contrôles Cloud DSPM avancés.

Ce framework inclut les contrôles cloud suivants :

FedRAMP Low 20x

Fournisseur de services cloud compatible : Google Cloud

Programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des autorités administratives. Le niveau d'impact faible de FedRAMP est le plus adapté aux CSO où la perte de confidentialité, d'intégrité et de disponibilité aurait un effet négatif limité sur les opérations, les ressources ou les personnes d'une agence.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

ksi-cmt-1

Journalisez et surveillez les modifications apportées au système. Assurez-vous que toutes les modifications apportées au système sont documentées et que les bases de référence de configuration sont mises à jour.

ksi-cna-1

Configurez toutes les ressources d'information pour limiter le trafic entrant et sortant.

ksi-cna-2

Concevez des systèmes pour réduire la surface d'attaque et minimiser le mouvement latéral en cas de piratage.

ksi-cna-4

Utilisez une infrastructure immuable avec des fonctionnalités et des droits d'accès strictement définis.

ksi-cna-6

Concevez des systèmes d'information offrant une haute disponibilité et des capacités de reprise rapide pour éviter la perte de données.

ksi-cna-7

Implémentez des ressources d'information axées sur le cloud, basées sur les bonnes pratiques et les conseils documentés du fournisseur d'hébergement.

ksi-iam-3

Appliquez des méthodes d'authentification sécurisées pour tous les comptes et services non utilisateur dans Google Cloud afin de protéger les données et les ressources contre tout accès non autorisé.

ksi-iam-4

Implémentez un modèle d'autorisation de sécurité basé sur le principe du moindre privilège, sur les rôles et les attributs, et sur l'accès juste-à-temps. Utilisez ce modèle pour tous les comptes et services utilisateur et non utilisateur afin de réduire le risque d'accès non autorisé ou d'utilisation abusive.

ksi-mla-2

Examinez régulièrement les journaux d'audit de vos applications et services.

ksi-mla-3

Détectez les failles et corrigez-les ou atténuez-les rapidement pour réduire l'impact des risques sur les applications et les services.

ksi-piy-1

Maintenez à jour un inventaire des ressources d'information ou un code qui définit tous les composants, logiciels et services déployés.

ksi-piy-4

Intégrez les considérations de sécurité dans le cycle de vie du développement logiciel (SDLC) et alignez-vous sur les principes de sécurité intégrée de la Cybersecurity and Infrastructure Security Agency (CISA).

ksi-svc-1

Examinez et renforcez régulièrement les configurations réseau et système pour vous assurer d'avoir une base sécurisée.

ksi-svc-2

Chiffrez toutes les données de contenu de base échangées entre les machines qui se connectent à Google Cloud, ou sécurisez tout le trafic réseau pour protéger les données.

ksi-svc-6

Utilisez des systèmes de gestion des clés automatisés pour protéger, gérer et renouveler régulièrement les clés et certificats numériques.

ksi-svc-7

Adoptez une approche cohérente et basée sur les risques pour appliquer des correctifs de sécurité à vos applications et services.

ISO 27001:2022

Fournisseur de services cloud compatible : Google Cloud

Norme internationale pour un système de gestion de la sécurité de l'information (SMSI). Elle fournit une approche systématique et basée sur les risques pour gérer les informations sensibles en spécifiant les exigences pour établir et améliorer les contrôles de sécurité.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

iso-27001-2022-a-5-1

Des règles de sécurité de l'information et des règles spécifiques à des thèmes doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel et les parties intéressées concernés, et examinées à intervalles réguliers et en cas de changements importants.

iso-27001-2022-a-5-10

Les règles d'utilisation acceptable et les procédures de gestion des informations et autres ressources associées doivent être identifiées, documentées et mises en œuvre.

iso-27001-2022-a-5-12

Les informations doivent être classées en fonction des besoins de l'organisation en matière de sécurité des informations, en fonction de la confidentialité, de l'intégrité, de la disponibilité et des exigences des parties intéressées concernées.

iso-27001-2022-a-5-14

Des règles, procédures ou accords de transfert d'informations doivent être en place pour tous les types de moyens de transfert au sein de l'organisation et entre l'organisation et d'autres parties.

iso-27001-2022-a-5-15

Des règles permettant de contrôler l'accès physique et logique aux informations et aux autres ressources associées doivent être établies et mises en œuvre en fonction des exigences de l'entreprise et de la sécurité des informations.

iso-27001-2022-a-5-17

L'attribution et la gestion des informations d'authentification doivent être contrôlées par un processus de gestion, y compris en informant le personnel sur la manière appropriée de les traiter.

iso-27001-2022-a-5-18

Les droits d'accès aux informations et aux autres ressources associées doivent être provisionnés, examinés, modifiés et supprimés conformément aux règles et aux consignes de l'organisation concernant le contrôle des accès pour des thèmes spécifiques.

iso-27001-2022-a-5-19

Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité des informations associés à l'utilisation des produits ou services du fournisseur.

iso-27001-2022-a-5-20

Des exigences de sécurité des informations pertinentes doivent être établies et convenues avec chaque fournisseur en fonction du type de relation avec le fournisseur.

iso-27001-2022-a-5-23

Les processus d'acquisition, d'utilisation, de gestion et d'arrêt des services cloud doivent être établis conformément aux exigences de l'organisation en matière de sécurité des informations.

iso-27001-2022-a-5-24

L'organisation doit planifier et se préparer à gérer les incidents de sécurité des informations en définissant, en établissant et en communiquant les processus, les rôles et les responsabilités liés à la gestion des incidents de sécurité des informations.

iso-27001-2022-a-5-25

L'organisation doit évaluer les événements liés à la sécurité des informations et décider s'ils doivent être classés comme incidents de sécurité des informations.

iso-27001-2022-a-5-28

L'organisation doit établir et mettre en œuvre des procédures pour identifier, collecter, acquérir et conserver les preuves liées aux événements de sécurité des informations.

iso-27001-2022-a-5-30

La préparation des TIC doit être planifiée, mise en œuvre, maintenue et testée en fonction des objectifs de continuité des activités et des exigences de continuité des TIC.

iso-27001-2022-a-5-33

Les enregistrements doivent être protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la divulgation non autorisée.

iso-27001-2022-a-5-5

L'organisation doit établir et maintenir le contact avec les autorités compétentes.

iso-27001-2022-a-5-6

L'organisation doit établir et maintenir le contact avec des groupes d'intérêt spécifiques ou d'autres forums spécialisés sur la sécurité et associations professionnelles.

iso-27001-2022-a-5-9

Un inventaire des informations et autres éléments associés, y compris les propriétaires, doit être développé et tenu à jour.

iso-27001-2022-a-6-7

Des mesures de sécurité doivent être mises en place lorsque le personnel travaille à distance pour protéger les informations auxquelles il accède, qu'il traite ou qu'il stocke en dehors des locaux de l'organisation.

iso-27001-2022-a-8-1

Les informations stockées sur les appareils de point de terminaison des utilisateurs, traitées par ceux-ci ou accessibles à l'aide de ceux-ci doivent être protégées.

iso-27001-2022-a-8-10

Les informations stockées dans des systèmes d'information, des appareils ou sur tout autre support de stockage doivent être supprimées lorsqu'elles ne sont plus nécessaires.

iso-27001-2022-a-8-13

Des copies de sauvegarde des informations, des logiciels et des systèmes doivent être conservées et testées régulièrement, conformément à la règle convenue sur les sauvegardes.

iso-27001-2022-a-8-14

Les installations de traitement des informations doivent être mises en œuvre avec une redondance suffisante pour répondre aux exigences de disponibilité.

iso-27001-2022-a-8-15

Des journaux enregistrant les activités, les exceptions, les défauts et d'autres événements pertinents doivent être produits, stockés, protégés et analysés.

iso-27001-2022-a-8-16

Les réseaux, systèmes et applications doivent être surveillés pour détecter tout comportement anormal, et des mesures appropriées doivent être prises pour évaluer les éventuels incidents de sécurité des informations.

iso-27001-2022-a-8-17

Les horloges des systèmes de traitement de l'information utilisés par l'organisation doivent être synchronisées avec des sources de temps approuvées.

iso-27001-2022-a-8-2

L'attribution et l'utilisation des droits d'accès privilégiés doivent être limitées et gérées.

iso-27001-2022-a-8-20

Les réseaux et les périphériques réseau doivent être sécurisés, gérés et contrôlés pour protéger les informations dans les systèmes et les applications.

iso-27001-2022-a-8-21

Les mécanismes de sécurité, les niveaux de service et les exigences de service des services réseau doivent être identifiés, implémentés et surveillés.

iso-27001-2022-a-8-22

Les groupes de services d'information, d'utilisateurs et de systèmes d'information doivent être séparés dans les réseaux de l'organisation.

iso-27001-2022-a-8-23

L'accès aux sites Web externes doit être géré pour réduire l'exposition aux contenus malveillants.

iso-27001-2022-a-8-24

Des règles pour l'utilisation efficace de la cryptographie, y compris la gestion des clé cryptographique, doivent être définies et mises en œuvre.

iso-27001-2022-a-8-25

Des règles pour le développement sécurisé de logiciels et de systèmes doivent être établies et appliquées.

iso-27001-2022-a-8-26

Les exigences en matière de sécurité des informations doivent être identifiées, spécifiées et approuvées lors du développement ou de l'acquisition d'applications.

iso-27001-2022-a-8-27

Des principes pour concevoir des systèmes sécurisés doivent être établis, documentés, maintenus et appliqués à toutes les activités de développement de systèmes d'information.

iso-27001-2022-a-8-28

Les principes de codage sécurisé doivent être appliqués au développement de logiciels.

iso-27001-2022-a-8-29

Les processus de tests de sécurité doivent être définis et implémentés dans le cycle de vie du développement.

iso-27001-2022-a-8-3

L'accès aux informations et aux autres ressources associées doit être limité conformément aux règles établies sur le contrôle des accès spécifiques à chaque thème.

iso-27001-2022-a-8-30

L'organisation doit diriger, surveiller et examiner les activités liées au développement de systèmes externalisés.

iso-27001-2022-a-8-4

L'accès en lecture et en écriture au code source, aux outils de développement et aux bibliothèques logicielles doit être géré de manière appropriée.

iso-27001-2022-a-8-5

Des technologies et procédures d'authentification sécurisées doivent être mises en œuvre en fonction des restrictions d'accès aux informations et du règlement spécifique aux thèmes sur le contrôle des accès.

iso-27001-2022-a-8-6

L'utilisation des ressources doit être surveillée et ajustée en fonction des besoins de capacité actuels et prévus.

iso-27001-2022-a-8-7

La protection contre les logiciels malveillants doit être mise en œuvre et soutenue par une sensibilisation appropriée des utilisateurs.

iso-27001-2022-a-8-8

Des informations sur les failles techniques des systèmes d'information utilisés doivent être obtenues, l'exposition de l'organisation à ces failles doit être évaluée et des mesures appropriées doivent être prises.

iso-27001-2022-a-8-9

Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, implémentées, surveillées et examinées.

Qatar National Information Assurance Standard v2.1

Fournisseur de services cloud compatible : Google Cloud

Le NIAS du Qatar vise à fournir aux organisations de l'État du Qatar les bases et les outils nécessaires pour mettre en œuvre un système complet de gestion de la sécurité de l'information.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

qa-nias-2-1-am-1

Les utilisateurs ont accès aux informations selon le principe du moindre privilège et en fonction de leur besoin de connaître ou de leur besoin d'avoir.

qa-nias-2-1-am-11

Les dépôts d'authentification centralisés tels que LDAP et les bases de données d'authentification sont protégés contre les attaques par déni de service et utilisent des canaux sécurisés et authentifiés pour récupérer les données d'authentification. Ces dépôts doivent consigner les événements suivants : mise à jour ou accès non autorisés ; date et heure de début et de fin de l'activité (avec l'identifiant du système) ; identification de l'utilisateur (pour une connexion illégale) ; activité de connexion et de déconnexion (pour une connexion illégale) ; session, terminal ou connexion à distance.

qa-nias-2-1-am-12

Les organisations doivent élaborer et maintenir un ensemble de règles, de plans et de procédures, dérivés de la National Data Classification Policy (IAP-NAT-DCLS), qui couvrent l'identification, l'authentification et l'autorisation des utilisateurs du système.

qa-nias-2-1-am-14

Tous les utilisateurs du système sont identifiables de manière unique et authentifiés chaque fois qu'ils accèdent à un système.

qa-nias-2-1-am-17

Les informations d'authentification non protégées qui accordent l'accès au système ou déchiffrent un appareil chiffré se trouvent sur le système ou l'appareil auquel elles donnent accès, ou avec celui-ci.

qa-nias-2-1-am-18

Les données d'authentification du système en cours d'utilisation ne sont pas vulnérables aux attaques, y compris, mais sans s'y limiter, aux attaques par relecture, aux attaques de l'homme du milieu et au détournement de session.

qa-nias-2-1-am-2

L'accès est géré et contrôlé par des contrôles d'accès au système, l'identification et l'authentification, ainsi que des journaux d'audit en fonction de la sensibilité des informations. Ces demandes d'accès doivent être autorisées par le responsable ou le supérieur hiérarchique du membre du personnel.

qa-nias-2-1-am-20

Les mots de passe sont modifiés au moins tous les 90 jours.

qa-nias-2-1-am-23

Les verrouillages d'écran et de session sont configurés comme suit : ils s'activent après un maximum de 15 minutes d'inactivité de l'utilisateur du système, ils peuvent être activés manuellement par l'utilisateur du système, ils verrouillent l'écran pour masquer complètement toutes les informations, ils s'assurent que l'écran ne semble pas éteint lorsqu'il est verrouillé, ils exigent que l'utilisateur du système se réauthentifie pour déverrouiller le système et ils empêchent les utilisateurs du système de désactiver le mécanisme de verrouillage.

qa-nias-2-1-am-24

L'accès à un système est suspendu après un nombre spécifié de tentatives de connexion infructueuses ou dès que possible après que le membre du personnel n'a plus besoin d'y accéder, en raison d'un changement de rôle ou de son départ de l'organisation.

qa-nias-2-1-am-3

Les droits d'accès d'un utilisateur ou d'une entité pour créer, lire, mettre à jour, supprimer ou transmettre les ressources informationnelles d'une organisation doivent être basés sur un modèle matriciel (hiérarchique) de droits définis par des règles métier établies par les propriétaires de ces informations.

qa-nias-2-1-am-31

L'utilisation de comptes avec accès privilégié est documentée, contrôlée, responsable et réduite au minimum. Les comptes privilégiés ne doivent être utilisés que pour les tâches administratives.

qa-nias-2-1-am-32

Les administrateurs système se voient attribuer un compte individuel pour effectuer leurs tâches d'administration.

qa-nias-2-1-am-34

Le journal de gestion du système est mis à jour pour enregistrer les informations suivantes : activités de désinfection, démarrage et arrêt du système, défaillances de composants ou du système, activités de maintenance, activités de sauvegarde et d'archivage, activités de récupération du système, et activités spéciales ou hors horaires.

qa-nias-2-1-am-35

L'accès à distance ne doit pas être fourni, sauf s'il est explicitement autorisé par le responsable du service et uniquement s'il est justifié par les exigences commerciales et seulement après avoir fait preuve de diligence raisonnable pour analyser les risques associés et mis en place des contrôles appropriés pour atténuer les risques identifiés.

qa-nias-2-1-am-36

L'authentification à deux facteurs, à l'aide d'un jeton matériel, d'un contrôle biométrique ou d'un système similaire, est utilisée pour accéder aux systèmes traitant des données classées C3 ou plus.

qa-nias-2-1-am-37

Les sessions d'accès à distance sont sécurisées à l'aide d'un chiffrement de bout en bout approprié, comme spécifié dans la section C-10, Sécurité cryptographique (CY).

qa-nias-2-1-am-6

Toute tentative non autorisée de contourner le contrôle des accès de l'organisation doit être considérée comme un incident de sécurité et traitée conformément à la procédure établie de gestion des incidents, ainsi qu'aux règles et procédures appropriées des ressources humaines.

qa-nias-2-1-am-7

Les journaux d'audit doivent être activés et tenus à jour de manière à permettre la surveillance de la conformité avec les règles gouvernementales et à faciliter la gestion des incidents.

qa-nias-2-1-am-8

L'accès logique aux réseaux de l'organisation est contrôlé techniquement. Cela peut se faire à l'aide de services et d'appareils de contrôle d'accès au réseau (NAC, Network Admission Control).

qa-nias-2-1-cy-1

Les algorithmes cryptographiques, le matériel ou logiciel de chiffrement, les systèmes de gestion des clés et les signatures numériques doivent être conformes aux algorithmes et systèmes de chiffrement/cryptographiques approuvés, tels que spécifiés par l'autorité compétente dans la loi n° (16) de 2010 sur la promulgation de la loi sur le commerce électronique et les transactions.

qa-nias-2-1-cy-2

La durée de vie de la clé est déterminée principalement par l'application et l'infrastructure d'information dans lesquelles elle est utilisée. Les clés doivent être immédiatement révoquées et remplacées si elles ont été compromises ou si l'on soupçonne qu'elles l'ont été.

qa-nias-2-1-cy-3

Les informations classées comme C3 (IAP-NAT-DCLS) sont chiffrées et protégées contre toute divulgation non autorisée lorsqu'elles sont stockées et en transit, quel que soit le format ou le support de stockage. Les organisations peuvent appliquer ces contrôles cryptographiques aux composants ayant des exigences de confidentialité moins élevées, si leur évaluation des risques le juge nécessaire.

qa-nias-2-1-cy-4

L'intégrité des informations classées I3 (IAP-NAT-DCLS) est assurée par hachage cryptographique. Les organisations peuvent appliquer ces contrôles cryptographiques aux composants dont les exigences d'intégrité sont moins élevées, si leur évaluation des risques le juge nécessaire.

qa-nias-2-1-cy-5

Les protocoles suivants ou une version ultérieure, avec les algorithmes approuvés décrits dans la norme nationale qatarienne de chiffrement (version 1.0 ou ultérieure) émise par l'autorité compétente, sont utilisés pour sécuriser les données classées C3 en transit : pour sécuriser le trafic Web : TLS (+128 bits) (RFC4346) ; pour sécuriser les transferts de fichiers : SFTP (SFTP) ; pour sécuriser l'accès à distance : SSH v2 (RFC4253) ou IPSEC (RFC 4301) ; et seul S/MIME v3 (RFC3851) ou une version ultérieure est utilisé pour sécuriser les e-mails. Consultez CY11 pour connaître l'exigence associée.

qa-nias-2-1-cy-6

Les mots de passe doivent toujours être chiffrés ou hachés et protégés contre toute divulgation non autorisée lorsqu'ils sont stockés ou en transit, quel que soit le format ou le support de stockage. Les mots de passe privilégiés doivent être chiffrés et stockés hors site avec des fichiers de sauvegarde chaque fois qu'ils sont modifiés pour assurer une récupération complète.

qa-nias-2-1-cy-7

Lorsque des modules de sécurité matériels (HSM) sont utilisés, ils sont certifiés au moins FIPS 2-140 de niveau 2 (FIPS2-140) ou Common Criteria (CC3.1) EAL4.

qa-nias-2-1-cy-9

Des processus de gestion des clés appropriés sont définis, conformément à la norme (ISO1-11770), et utilisés pour gérer le cycle de vie des clés cryptographiques, couvrant les fonctions suivantes : rôles et responsabilités des dépositaires de clés, génération de clés, double contrôle et partage des connaissances, stockage sécurisé des clés, utilisation des clés, distribution et transfert sécurisés des clés, sauvegarde et récupération des clés, vérification périodique de l'état des clés, compromission des clés, révocation et destruction des clés, et journaux d'audit et documentation.

qa-nias-2-1-gs-1

Les réseaux sont protégés les uns des autres par des passerelles, et les flux de données sont correctement contrôlés.

qa-nias-2-1-gs-13

L'exportation de données vers un système moins classifié est limitée par le filtrage des données à l'aide d'au moins des vérifications sur les libellés de classification.

qa-nias-2-1-gs-2

Les passerelles qui connectent les réseaux d'une organisation à d'autres réseaux de l'organisation ou à des réseaux publics non contrôlés sont implémentées comme suit : avec un périphérique réseau approprié pour contrôler le flux de données, avec tous les flux de données contrôlés de manière appropriée et avec les composants de la passerelle situés physiquement dans une salle de serveurs sécurisée de manière appropriée.

qa-nias-2-1-gs-6

Les zones démilitarisées (DMZ) permettent de séparer les systèmes accessibles de l'extérieur des réseaux publics non contrôlés et des réseaux internes à l'aide de pare-feu et d'autres équipements de sécurité réseau.

qa-nias-2-1-gs-7

Les passerelles doivent : être les seuls chemins de communication vers et depuis les réseaux internes ; refuser par défaut toutes les connexions vers et depuis le réseau ; n'autoriser que les connexions explicitement autorisées ; être gérées à l'aide d'un chemin sécurisé isolé de tous les réseaux connectés ; fournir une capacité d'audit suffisante pour détecter les failles de sécurité des passerelles et les tentatives d'intrusion dans le réseau ; et fournir des alarmes en temps réel.

qa-nias-2-1-gs-8

Les passerelles sont renforcées avant toute implémentation sur le site de production et sont protégées contre les éléments suivants : code malveillant et failles, configurations incorrectes ou médiocres, compromission de compte et élévation de privilèges, surveillance réseau malveillante, attaques par déni de service (DoS) et fuite d'informations ou de données.

qa-nias-2-1-gs-9

La surveillance et la supervision des passerelles sont en place et incluent des mécanismes de prévention des menaces, la journalisation, les alertes et la surveillance des équipements. Consultez la section B-10, "Logging and Security Monitoring (SM)".

qa-nias-2-1-ie-12

Assurez-vous que les informations échangées entre les systèmes sont protégées contre l'utilisation abusive, l'accès non autorisé ou la corruption des données. Pour transmettre des informations classifiées C2, I2 ou plus, des canaux authentifiés et chiffrés doivent être utilisés, comme spécifié dans CY5, section C-10, Cryptographic Security (CY).

qa-nias-2-1-ie-3

Assurez-vous que les accords nécessaires (en particulier les accords de confidentialité) entre les entités qui échangent des informations ont été établis avant l'échange d'informations. Les accords doivent fournir des informations sur les responsabilités, la procédure de notification d'échange d'informations, les normes techniques de transmission, l'identification des transporteurs, les responsabilités, la propriété et les contrôles. Pour les fournisseurs et les tiers, un accord de confidentialité (NDA) formel doit être utilisé. L'annexe D fournit un modèle d'accord de confidentialité.

qa-nias-2-1-ie-4

L'organisation doit s'assurer que les supports utilisés pour échanger des informations sont protégés contre tout accès, manipulation ou utilisation non autorisés, que ce soit au sein ou en dehors de l'environnement de l'organisation.

qa-nias-2-1-ie-8

Protégez les informations échangées à l'aide de la messagerie électronique contre tout accès non autorisé, toute modification ou toute interruption de service.

qa-nias-2-1-ms-20

Les supports, y compris ceux défectueux, contenant des informations classifiées sont nettoyés dans la mesure du possible avant d'être éliminés.

qa-nias-2-1-ns-1

Les détails de la configuration interne du réseau et du système, les services d'annuaire liés aux employés ou aux appareils, ainsi que d'autres technologies sensibles ne sont pas divulgués publiquement ni énumérés par le personnel non autorisé.

qa-nias-2-1-ns-17

Un serveur DNS interne distinct est configuré et placé dans le réseau interne pour les informations de domaine interne qui ne sont pas divulguées sur Internet.

qa-nias-2-1-ns-2

L'organisation supprime ou désactive tous les comptes par défaut (par exemple, root ou administrateur) ou modifie le mot de passe comme indiqué dans la section C-6, Sécurité logicielle (SS).

qa-nias-2-1-ns-20

Les fichiers de zone sont signés numériquement, et l'authentification mutuelle cryptographique et l'intégrité des données des transferts de zone et des mises à jour dynamiques sont assurées.

qa-nias-2-1-ns-21

L'authentification cryptographique de l'origine et l'assurance de l'intégrité des données DNS sont fournies.

qa-nias-2-1-ns-22

Les services DNS, y compris les transferts de zone, ne sont fournis qu'aux utilisateurs autorisés.

qa-nias-2-1-ns-25

La passerelle Internet refuse tous les services Internet, sauf s'ils sont spécifiquement activés.

qa-nias-2-1-ns-27

L'organisation dispose des capacités nécessaires pour surveiller le trafic, déduire les modèles de trafic, l'utilisation, etc. Pour en savoir plus, consultez la section B-10, "Journalisation et surveillance de la sécurité (SM)".

qa-nias-2-1-ns-29

La protection TLS est utilisée avec le serveur de messagerie SMTP conformément à la section C-10, Sécurité cryptographique (CY).

qa-nias-2-1-ns-3

La configuration du réseau est contrôlée par le gestionnaire de réseau ou une personne similaire. Toutes les modifications apportées aux configurations sont les suivantes : approuvées par le biais d'un processus formel de contrôle des modifications tel que défini dans la section B-5, Gestion des modifications (CM) ; documentées et conformes à la politique de sécurité du réseau et au plan de sécurité tels que définis dans la section B-12, Documentation (DC) ; et régulièrement examinées. Les anciennes configurations requises par les procédures de l'organisation sont conservées dans la révision des modifications. La fréquence d'examen de la configuration dépend des risques et des processus de l'organisation.

qa-nias-2-1-ns-5

Les réseaux sont conçus et configurés pour limiter les possibilités d'accès non autorisé aux informations transitant par l'infrastructure réseau. Les organisations doivent utiliser les technologies suivantes pour répondre à cette exigence : des commutateurs au lieu de hubs ; la sécurité des ports sur les commutateurs pour limiter l'accès et désactiver tous les ports inutilisés ; des routeurs et des pare-feu pour séparer les parties du réseau en fonction des besoins d'accès ; IPsec ou IP version 6 ; le chiffrement au niveau de l'application ; un outil automatisé qui compare la configuration en cours d'exécution des périphériques réseau à la configuration documentée ; l'authentification de la périphérie du réseau ; la restriction et la gestion des appareils des utilisateurs finaux communiquant avec le réseau de l'organisation à l'aide de techniques telles que le filtrage des adresses MAC ; un système IPS ou IDS pour détecter et prévenir les activités malveillantes au sein du réseau ; et des restrictions d'heure et de jour.

qa-nias-2-1-ns-53

Les réseaux voix et données sont distincts. La séparation doit être physique, mais l'utilisation de réseaux locaux virtuels est autorisée. La passerelle vocale, qui sert d'interface avec le réseau téléphonique public commuté (RTPC), sépare les protocoles H.323, SIP ou autres protocoles VoIP du réseau de données.

qa-nias-2-1-ns-6

Les réseaux de gestion adoptent les mesures de protection suivantes : des réseaux dédiés sont utilisés pour les appareils de gestion en implémentant un VLAN de gestion distinct ou une infrastructure physiquement distincte ; des canaux sécurisés sont utilisés, par exemple en utilisant des VPN ou SSH.

qa-nias-2-1-ns-7

Les VLAN sont utilisés pour séparer le trafic de téléphonie IP dans les réseaux critiques pour l'entreprise.

qa-nias-2-1-ns-8

L'accès administratif n'est autorisé que depuis le VLAN le plus classifié vers un VLAN de même niveau de classification ou de niveau inférieur.

qa-nias-2-1-pr-5

L'évaluation de la sécurité du produit est effectuée sur une configuration d'évaluation dédiée, y compris des tests de fonctionnalité, des tests de sécurité et des correctifs pour se protéger contre les menaces et les failles potentielles.

qa-nias-2-1-pr-6

La livraison des produits est conforme aux pratiques de sécurité de l'organisation pour une livraison sécurisée.

qa-nias-2-1-pr-7

Les procédures de livraison sécurisée doivent inclure des mesures permettant de détecter toute falsification ou usurpation d'identité.

qa-nias-2-1-pr-8

Des produits ont été achetés auprès de développeurs qui se sont engagés à assurer la maintenance continue de leur produit.

qa-nias-2-1-pr-9

Des processus de correction et de mise à jour des produits sont en place. Les mises à jour des produits doivent respecter les règles de gestion des modifications spécifiées dans la section B-5, "Gestion des modifications" (CM).

qa-nias-2-1-ss-13

Les postes de travail utilisent un environnement d'exploitation standard renforcé (SOE) qui couvre les aspects suivants : suppression des logiciels indésirables ; désactivation des fonctionnalités inutilisées ou indésirables dans les logiciels et systèmes d'exploitation installés ; mise en œuvre de contrôles d'accès sur les objets concernés pour limiter les utilisateurs et les programmes du système à l'accès minimal nécessaire à l'exécution de leurs tâches ; installation de pare-feu logiciels limitant les connexions réseau entrantes et sortantes ; et configuration de la journalisation à distance ou du transfert des journaux d'événements locaux vers un serveur central.

qa-nias-2-1-ss-14

Les vulnérabilités potentielles dans leurs SOE et systèmes sont réduites en supprimant les partages de fichiers inutiles, en s'assurant que les correctifs sont à jour, en désactivant l'accès à toutes les fonctionnalités d'entrée et de sortie inutiles, en supprimant les comptes inutilisés, en renommant les comptes par défaut et en remplaçant les mots de passe par défaut.

qa-nias-2-1-ss-15

Les serveurs à haut risque, tels que les serveurs Web, de messagerie, de fichiers et de téléphonie IP, qui sont connectés à des réseaux publics non contrôlés, doivent respecter les consignes suivantes : maintenir une séparation fonctionnelle efficace entre les serveurs pour leur permettre de fonctionner de manière indépendante ; minimiser les communications entre les serveurs au niveau du réseau et du système de fichiers, le cas échéant ; et limiter les utilisateurs et les programmes du système à l'accès minimal nécessaire à l'accomplissement de leurs tâches.

qa-nias-2-1-ss-16

Vérifiez l'intégrité de tous les serveurs dont les fonctions sont essentielles pour l'organisation et de ceux qui sont identifiés comme présentant un risque élevé de piratage. Dans la mesure du possible, ces vérifications doivent être effectuées à partir d'un environnement de confiance plutôt que du système lui-même.

qa-nias-2-1-ss-17

Stockez les informations sur l'intégrité de manière sécurisée hors du serveur, de façon à préserver l'intégrité.

qa-nias-2-1-ss-19

Dans le cadre du calendrier d'audit continu de l'organisation, comparez les informations d'intégrité stockées avec les informations d'intégrité actuelles pour déterminer si une compromission ou une modification légitime, mais incorrectement effectuée, du système s'est produite.

qa-nias-2-1-ss-2

Toutes les applications (y compris les nouvelles et celles en cours de développement) sont classées à l'aide de la National Data Classification Policy (IAP-NAT-DCLS) et bénéficient d'une protection de sécurité adaptée à leurs niveaux de confidentialité, d'intégrité et de disponibilité.

qa-nias-2-1-ss-20

L'organisation doit résoudre toute modification détectée conformément à ses procédures de gestion des incidents de sécurité liés aux technologies de l'information et de la communication (TIC).

qa-nias-2-1-ss-21

Toutes les applications logicielles sont examinées pour déterminer si elles tentent d'établir des connexions externes. Si la fonctionnalité de connexion sortante automatisée est incluse, les organisations doivent prendre une décision commerciale pour déterminer s'il convient d'autoriser ou de refuser ces connexions, y compris une évaluation des risques encourus.

qa-nias-2-1-ss-23

La connectivité et l'accès entre chaque composant d'application Web sont minimisés.

qa-nias-2-1-ss-24

Les informations personnelles et les données sensibles sont protégées lorsqu'elles sont stockées et transmises à l'aide de contrôles cryptographiques appropriés.

qa-nias-2-1-ss-29

Les fichiers de base de données sont protégés contre les accès qui contournent les contrôles d'accès normaux de la base de données.

qa-nias-2-1-ss-3

Les exigences de sécurité, y compris les exigences fonctionnelles, techniques et d'assurance, sont développées et mises en œuvre dans le cadre des exigences du système.

qa-nias-2-1-ss-30

Les bases de données fournissent des fonctionnalités permettant d'auditer les actions des utilisateurs du système.

qa-nias-2-1-ss-31

Les utilisateurs du système qui ne disposent pas des droits suffisants pour afficher le contenu de la base de données ne peuvent pas voir les métadonnées associées dans une liste de résultats d'une requête de moteur de recherche. Si les résultats des requêtes de base de données ne peuvent pas être filtrés de manière appropriée, les organisations doivent s'assurer que tous les résultats de requête sont correctement nettoyés pour répondre au niveau de sécurité minimal des utilisateurs du système.

qa-nias-2-1-ss-4

Une infrastructure de test et de développement dédiée, y compris des systèmes et des données, est disponible et distincte des systèmes de production. De plus, le flux d'informations entre les environnements doit être strictement limité conformément à une règle définie et documentée. L'accès ne doit être accordé qu'aux utilisateurs du système ayant un besoin métier clair. L'accès en écriture à la source faisant autorité pour le logiciel doit être désactivé.

qa-nias-2-1-ss-5

Toutes les applications, qu'elles soient acquises ou développées, ne sont disponibles pour une utilisation en production qu'après avoir subi des tests et des contrôles appropriés d'assurance qualité et de sécurité pour s'assurer que le système confirme et respecte les exigences de sécurité prévues.

qa-nias-2-1-ss-6

Les développeurs de logiciels utilisent des pratiques de programmation sécurisées lorsqu'ils écrivent du code, y compris les suivantes : respecter les bonnes pratiques, par exemple les 25 erreurs de programmation les plus dangereuses de Mitre ; concevoir des logiciels pour qu'ils utilisent le niveau de privilège le plus bas nécessaire à l'accomplissement de leur tâche ; refuser l'accès par défaut ; vérifier les valeurs de retour de tous les appels système ; valider toutes les entrées.

qa-nias-2-1-ss-7

Les logiciels doivent être examinés et/ou testés pour détecter les failles avant d'être utilisés dans un environnement de production. Le logiciel doit être examiné et/ou testé par une partie indépendante, et non par le développeur.

qa-nias-2-1-vl-1

Une destruction d'urgence, un plan de verrouillage, un effacement à distance ou une autodestruction sont en place pour tous les appareils mobiles et ordinateurs portables.

qa-nias-2-1-vl-2

Renforcez l'hyperviseur, la couche administrative, la machine virtuelle et les composants associés conformément aux bonnes pratiques et consignes de sécurité acceptées par le secteur, ainsi qu'aux recommandations du fournisseur.

qa-nias-2-1-vl-3

Appliquez le principe du moindre privilège et la séparation des tâches pour gérer l'environnement virtuel, comme suit : définissez des rôles spécifiques et des droits d'accès précis pour chaque administrateur dans le logiciel de gestion de la virtualisation centralisé ; limitez l'accès administratif direct à l'hyperviseur dans la mesure du possible ; et, en fonction du risque et de la classification des informations traitées, les organisations doivent envisager d'utiliser l'authentification multifactorielle ou le contrôle double ou partagé des mots de passe administratifs entre plusieurs administrateurs. Pour en savoir plus, consultez la section C9 "Gestion des accès".

qa-nias-2-1-vl-5

L'environnement technologique virtualisé doit être complété par une technologie de sécurité tierce pour fournir des contrôles de sécurité multicouches, tels qu'une approche de défense en profondeur, afin de compléter les contrôles fournis par le fournisseur et la technologie elle-même.

qa-nias-2-1-vl-6

Séparez les machines virtuelles en fonction de la classification des données qu'elles traitent ou stockent.

qa-nias-2-1-vl-7

Un processus de gestion du changement englobe l'environnement technologique virtuel. Cela inclut les éléments suivants : s'assurer que le profil de la machine virtuelle est à jour et que l'intégrité de l'image de la machine virtuelle est maintenue à tout moment ; veiller à la maintenance et à la mise à jour des VM qui ne sont pas dans un état actif (inactives ou plus utilisées). Pour en savoir plus, consultez la section B6 "Gestion des modifications".

qa-nias-2-1-vl-8

Les journaux de l'environnement technologique virtuel doivent être consignés et surveillés au même titre que les autres infrastructures informatiques. Consultez la section B10 "Enregistrement des données et contrôle de sécurité".

NIST 800-53 Revision 5

Fournisseur de services cloud compatible : Google Cloud

Un catalogue complet de contrôles de sécurité et de confidentialité pour créer un programme de sécurité robuste. Obligatoire pour les systèmes fédéraux américains, il est désormais un framework de bonnes pratiques utilisé par les organisations de tous les secteurs.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

nist-r5-ac-02

A. Définissez et documentez les types de comptes autorisés et spécifiquement interdits dans le système. B. Attribuez des responsables de compte. C. Exigez des critères et des conditions préalables définis par l'organisation pour l'appartenance à un groupe et à un rôle. D. Spécifiez : a. Utilisateurs autorisés du système. b. Appartenance à des groupes et à des rôles c. Autorisations ou droits d'accès et attributs définis par l'organisation pour chaque compte. E. Exigez que les demandes de création de comptes soient approuvées par le personnel ou les rôles définis par l'organisation. F. Créez, activez, modifiez, désactivez et supprimez des comptes conformément aux règles, procédures, conditions préalables et critères définis par l'organisation. G. Surveillez l'utilisation des comptes. H. Envoyez des notifications aux responsables de compte et aux personnes ou rôles définis par l'organisation dans : a. Période définie par l'organisation pendant laquelle les comptes ne sont plus nécessaires. b. Période définie par l'organisation pendant laquelle les utilisateurs sont supprimés ou transférés. c. Période définie par l'organisation pendant laquelle l'utilisation du système ou les informations à connaître changent pour un utilisateur. I. Autorisez l'accès au système en fonction des éléments suivants : a. Autorisation d'accès valide. b. Utilisation prévue du système. c. Attributs définis par l'organisation. J. Vérifiez que les comptes respectent les exigences de gestion des comptes selon la fréquence définie par l'organisation. K. Établissez et mettez en œuvre un processus pour modifier les authentificateurs de compte partagé ou de groupe lorsque des personnes sont supprimées du groupe. L. Alignez les processus de gestion des comptes sur les processus de transfert et de cessation d'emploi du personnel.

nist-r5-ac-03

Appliquez les autorisations approuvées pour l'accès logique aux informations et aux ressources système conformément aux règles de contrôle des accès applicables.

nist-r5-ac-04

Appliquez les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction des règles de contrôle du flux d'informations définies par l'organisation.

nist-r5-ac-05

Identifiez et documentez les fonctions définies par l'organisation pour les personnes nécessitant une séparation des tâches. Définissez des autorisations d'accès au système pour assurer la séparation des tâches.

nist-r5-ac-06

Appliquez le principe du moindre privilège, en n'autorisant que les accès nécessaires aux utilisateurs ou aux processus agissant pour le compte des utilisateurs pour accomplir les tâches organisationnelles qui leur sont attribuées.

nist-r5-ac-06-05

Restreignez les comptes privilégiés du système au personnel ou aux rôles définis par l'organisation.

nist-r5-ac-07

Appliquez une limite au nombre de tentatives de connexion consécutives non valides effectuées par un utilisateur au cours d'une période définie par l'organisation. Lorsque le nombre maximal de tentatives infructueuses est dépassé, verrouillez automatiquement le compte ou le nœud pendant une période définie par l'organisation, verrouillez le compte ou le nœud jusqu'à ce qu'un administrateur le déverrouille, retardez la prochaine invite de connexion selon un algorithme de délai défini par l'organisation, informez l'administrateur système ou prenez toute autre mesure définie par l'organisation.

nist-r5-ac-12

Arrêtez automatiquement une session utilisateur après des conditions ou des événements déclencheurs définis par l'organisation nécessitant une déconnexion de la session.

nist-r5-ac-17

Établissez et documentez les restrictions d'utilisation, les exigences de configuration et de connexion, ainsi que les conseils d'implémentation pour chaque type d'accès à distance autorisé. Autorisez chaque type d'accès à distance au système avant d'autoriser ces connexions.

nist-r5-ac-17-03

Faites transiter les accès à distance par des points de contrôle des accès au réseau autorisés et gérés.

nist-r5-ac-17-04

Autorisez l'exécution de commandes avec privilèges et l'accès aux informations liées à la sécurité à l'aide de l'accès à distance uniquement dans un format qui fournit des preuves évaluables et pour les besoins définis par l'organisation. Documentez la justification de l'accès à distance dans le plan de sécurité du système.

nist-r5-ac-18

Définissez les exigences de configuration et de connexion, et fournissez des conseils d'implémentation pour chaque type d'accès sans fil. Autorisez chaque type d'accès sans fil au système avant d'autoriser ces connexions.

nist-r5-ac-19

Établissez des exigences de configuration et de connexion, ainsi que des conseils d'implémentation pour les appareils mobiles contrôlés par l'organisation, y compris lorsque ces appareils se trouvent en dehors des zones contrôlées. Autorisez la connexion des appareils mobiles aux systèmes de l'organisation.

nist-r5-au-01

Élaborez, documentez et diffusez des règles d'audit et de responsabilité conformes, ainsi que les procédures de leur mise en œuvre. Assurez-vous que les règles répondent à leur objectif, à leur champ d'application, aux rôles et aux responsabilités. Désignez un responsable spécifique pour gérer cette documentation, et examinez et mettez à jour régulièrement les règles et procédures selon un calendrier défini ou en réponse à des événements spécifiques.

nist-r5-au-02

A. Identifiez les types d'événements que le système peut enregistrer pour la fonction d'audit : B. Coordonnez la fonction de journalisation des événements avec les autres entités de l'organisation qui ont besoin d'informations liées à l'audit pour guider et éclairer les critères de sélection des événements à enregistrer. C. Spécifiez les types d'événements définis par l'organisation qui sont un sous-ensemble des types d'événements définis dans AU-02a, ainsi que la fréquence ou la situation nécessitant la journalisation pour chaque type d'événement identifié. D. Indiquez pourquoi les types d'événements sélectionnés pour la journalisation sont considérés comme adéquats pour les investigations a posteriori des incidents. E. Passez en revue et mettez à jour les types d'événements sélectionnés pour la journalisation selon la fréquence définie par l'organisation.

nist-r5-au-03

Assurez-vous que les journaux d'audit contiennent des informations établissant les points suivants : A. Type d'événement qui s'est produit. B. Quand l'événement s'est produit. C. Lieu où l'événement s'est produit. D. Source de l'événement. D. Résultat de l'événement. F. Identité des personnes, des sujets, des objets et des entités associés à l'événement.

nist-r5-au-03-01

Générez des journaux d'audit contenant des informations supplémentaires définies par l'organisation.

nist-r5-au-04

Allouez une capacité de stockage des journaux d'audit pour répondre aux exigences de conservation des journaux d'audit définies par l'organisation.

nist-r5-au-05

Alertez le personnel ou les rôles définis par l'organisation dans un délai défini par l'organisation en cas d'échec du processus de journalisation des audits. Effectuez les actions supplémentaires définies par l'organisation.

nist-r5-au-05-02

Fournir une alerte dans le délai défini par l'organisation au personnel, aux rôles ou aux lieux définis par l'organisation, lorsque des événements d'échec de journalisation d'audit nécessitant des alertes en temps réel se produisent.

nist-r5-au-06

Examiner et analyser les journaux d'audit du système selon la fréquence définie par l'organisation pour détecter les activités inappropriées ou inhabituelles définies par l'organisation et leur impact potentiel. Communiquez les résultats au personnel ou aux rôles définis par l'organisation. Ajuster le niveau d'examen, d'analyse et de création de rapports sur les journaux d'audit dans le système en cas de changement de risque basé sur des informations des forces de l'ordre, des renseignements ou d'autres sources d'informations crédibles.

nist-r5-au-07

Fournissez et implémentez une fonctionnalité de réduction des enregistrements d'audit et de génération de rapports qui prend en charge les exigences d'examen, d'analyse et de création de rapports sur les enregistrements d'audit à la demande, ainsi que les enquêtes a posteriori sur les incidents. La fonctionnalité ne doit pas modifier le contenu d'origine ni l'ordre chronologique des journaux d'audit.

nist-r5-au-11

Conservez les journaux d'audit pendant une période définie par l'organisation, conformément à la stratégie de conservation des enregistrements, afin de faciliter les enquêtes sur les incidents et de répondre aux exigences réglementaires et organisationnelles en matière de conservation des informations.

nist-r5-au-12

A. Fournir une fonctionnalité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, comme défini dans AU-2a sur les composants système définis par l'organisation. B. Autorisez le personnel ou les rôles définis par l'organisation à sélectionner les types d'événements à consigner par des composants spécifiques du système. C. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c, y compris le contenu des enregistrements d'audit défini dans AU-3.

nist-r5-ca-2-2

Incluez, dans les évaluations des contrôles, à la fréquence définie par l'organisation, annoncée ou non : la surveillance approfondie, l'instrumentation de sécurité, les scénarios de tests de sécurité automatisés, l'analyse des failles, les tests des utilisateurs malveillants, l'évaluation des menaces internes, les tests de performances et de charge, l'évaluation des fuites ou pertes de données, ou d'autres formes d'évaluation définies par l'organisation.

nist-r5-ca-7

Élaborez une stratégie de surveillance continue au niveau du système et mettez en œuvre une surveillance continue conformément à la stratégie de surveillance continue au niveau de l'organisation, qui inclut : A. Établir les métriques au niveau du système définies par l'organisation. B. Établir des fréquences définies par l'organisation pour la surveillance et l'évaluation de l'efficacité des contrôles. C. Évaluations continues des contrôles conformément à la stratégie de surveillance continue. D. Surveillance continue des métriques définies par le système et l'organisation, conformément à la stratégie de surveillance continue. E. Corrélation et analyse des informations générées par les évaluations et la surveillance des contrôles. F. Actions de réponse pour traiter les résultats de l'analyse des informations sur l'évaluation et la surveillance des contrôles. G. Signaler l'état de sécurité et de confidentialité du système au personnel ou aux rôles définis par l'organisation, selon la fréquence définie par l'organisation.

nist-r5-ca-9

A. Autorisez les connexions internes des composants ou classes de composants du système définis par l'organisation au système. B. Documentez, pour chaque connexion interne, les caractéristiques de l'interface, les exigences en matière de sécurité et de confidentialité, ainsi que la nature des informations communiquées. C. Mettre fin aux connexions système internes après avoir rempli les conditions définies par l'organisation. D. Vérifiez, selon la fréquence définie par l'organisation, si chaque connexion interne est toujours nécessaire.

nist-r5-cm-01

A. Développez, documentez et diffusez au personnel ou aux rôles définis par l'organisation : a. Règle de gestion de la configuration définie au niveau d'une organisation, d'une mission, d'un processus métier ou d'un système. Les règles doivent aborder l'objectif, le champ d'application, les rôles, les responsabilités, l'engagement de la direction, la coordination entre les entités organisationnelles et la conformité. Les règles doivent être conformes aux lois, décrets, directives, réglementations, règles, normes et consignes applicables. b. Procédures visant à faciliter l'implémentation de la règle de gestion de la configuration et des contrôles de gestion de la configuration associés. B. Désignez un responsable officiel défini par l'organisation pour gérer le développement, la documentation et la diffusion des règles et procédures de gestion des configurations. C. Examinez et mettez à jour les règles et procédures de gestion de la configuration actuelles en fonction des fréquences et des événements définis par l'organisation.

nist-r5-cm-02

A. Développez, documentez et gérez, sous contrôle de configuration, une configuration de référence actuelle du système. B. Vérifiez et mettez à jour la configuration de référence du système : a. Selon la fréquence définie par l'organisation. b. Lorsque cela est nécessaire en raison de circonstances définies par l'organisation. c. Lorsque des composants système sont installés ou mis à niveau.

nist-r5-cm-06

A. Établissez et documentez les paramètres de configuration des composants utilisés dans le système qui reflètent le mode le plus restrictif compatible avec les exigences opérationnelles à l'aide de configurations sécurisées courantes définies par l'organisation. B. Implémentez les paramètres de configuration. C. Identifiez, documentez et approuvez toute déviation par rapport aux paramètres de configuration établis pour les composants système définis par l'organisation, en fonction des exigences opérationnelles définies par l'organisation. D. Surveillez et contrôlez les modifications apportées aux paramètres de configuration conformément aux règles et procédures de l'organisation.

nist-r5-cm-07

Configurez le système pour qu'il ne fournisse que les capacités essentielles définies par l'organisation. Interdire ou restreindre l'utilisation de fonctions, de ports, de protocoles, de logiciels ou de services définis par l'organisation.

nist-r5-cm-09

Élaborez, documentez et implémentez un plan de gestion de la configuration pour le système qui : A. Aborde les rôles, les responsabilités, ainsi que les processus et procédures de gestion de la configuration. B. Établit un processus permettant d'identifier les éléments de configuration tout au long du cycle de vie du développement du système et de gérer la configuration des éléments de configuration. C. Définit les éléments de configuration du système et les place sous la gestion de la configuration. D. sont examinées et approuvées par le personnel ou les rôles définis par l'organisation. E. Protège le plan de gestion de la configuration contre la divulgation et la modification non autorisées.

nist-r5-cp-06

Établissez un site de stockage alternatif, y compris les accords nécessaires pour permettre le stockage et la récupération des informations de sauvegarde du système. Assurez-vous que le site de stockage secondaire offre des contrôles équivalents à ceux du site principal.

nist-r5-cp-07

A. Établissez un site de traitement alternatif, y compris les accords nécessaires pour permettre le transfert et la reprise des opérations système définies par l'organisation pour les fonctions essentielles à la mission et à l'activité dans le délai défini par l'organisation, conformément aux objectifs de délai de reprise et de point de reprise, lorsque les capacités de traitement principales ne sont pas disponibles. B. Mettez à disposition sur le site de traitement de secours l'équipement et les fournitures nécessaires pour transférer et reprendre les opérations, ou mettez en place des contrats pour permettre la livraison sur le site dans le délai de transfert et de reprise défini par l'organisation. C. Fournissez des contrôles sur le site de traitement secondaire qui sont équivalents à ceux du site principal.

nist-r5-ia-04

Gérez les identifiants système en : A. Obtenir l'autorisation du personnel ou des rôles définis par l'organisation pour attribuer un identifiant à une personne, un groupe, un rôle, un service ou un appareil. B. Sélectionner un identifiant qui identifie une personne, un groupe, un rôle, un service ou un appareil. C. Attribuez l'identifiant à la personne, au groupe, au rôle, au service ou à l'appareil concerné. D. Empêcher la réutilisation des identifiants pendant une période définie par l'organisation.

nist-r5-ia-05

Gérez les authentificateurs système en procédant comme suit : a. Vérifier, lors de la distribution initiale de l'authentificateur, l'identité de la personne, du groupe, du rôle, du service ou de l'appareil recevant l'authentificateur. b. Établir le contenu initial de l'authentificateur pour tous les authentificateurs émis par l'organisation. c. S'assurer que les authentificateurs disposent d'un mécanisme suffisamment robuste pour leur utilisation prévue. d. Établir et mettre en œuvre des procédures administratives pour la distribution initiale des authentificateurs, pour les authentificateurs perdus, compromis ou endommagés, et pour la révocation des authentificateurs. e. Modifier les authentificateurs par défaut avant la première utilisation. f. Modifier ou actualiser les authentificateurs selon la période définie par l'organisation par type d'authentificateur ou lorsque des événements définis par l'organisation se produisent. Protéger le contenu de l'application d'authentification contre la divulgation et la modification non autorisées. h. Exiger des utilisateurs qu'ils prennent des mesures de contrôle spécifiques et que les appareils les mettent en œuvre pour protéger les authentificateurs. i. Modifier les authentificateurs pour les comptes de groupe ou de rôle lorsque l'appartenance à ces comptes change

nist-r5-ia-08

Identifier et authentifier de manière unique les utilisateurs ou processus non organisationnels agissant au nom d'utilisateurs non organisationnels.

nist-r5-ma-04

A. Approuvez et surveillez les activités de maintenance et de diagnostic non locales. B. Autorisez l'utilisation d'outils de maintenance et de diagnostic non locaux uniquement conformément aux règles de l'organisation et à la documentation du plan de sécurité du système. C. Utilisez une authentification forte pour établir des sessions de maintenance et de diagnostic non locales. D. Conservez les enregistrements des activités de maintenance et de diagnostic non locales. E. Mettez fin à la session et aux connexions réseau une fois la maintenance non locale terminée.

nist-r5-mp-02

Restreignez l'accès à des types de supports numériques ou non numériques définis par l'organisation à des rôles ou à du personnel définis par l'organisation.

nist-r5-pe-01

A. Développez, documentez et diffusez au personnel ou aux rôles définis par l'organisation : a. Règles de protection physique et environnementale définies au niveau de l'organisation, de la mission, du processus métier ou du système. Les règles doivent aborder l'objectif, le champ d'application, les rôles, les responsabilités, l'engagement de la direction, la coordination entre les entités organisationnelles et la conformité. Les règles doivent être conformes aux lois, décrets, directives, réglementations, règles, normes et consignes applicables. b. Procédures visant à faciliter la mise en œuvre de la politique de protection physique et environnementale, ainsi que des contrôles de protection physique et environnementale associés. B. Désignez un responsable officiel défini par l'organisation pour gérer l'élaboration, la documentation et la diffusion des règles et procédures de protection physique et environnementale. C. Examinez et mettez à jour les règles et procédures de protection physique et environnementale actuelles en fonction des fréquences et des événements définis par l'organisation.

nist-r5-pl-08

A. Développez des architectures de sécurité et de confidentialité pour le système : Décrivez les exigences et l'approche à adopter pour protéger la confidentialité, l'intégrité et la disponibilité des informations de l'organisation. b. Décrivez les exigences et l'approche à adopter pour traiter les informations permettant d'identifier personnellement les utilisateurs afin de minimiser les risques pour leur confidentialité. c. Décrivez comment les architectures sont intégrées à l'architecture d'entreprise et comment elles la prennent en charge. d. Décrivez toutes les hypothèses et dépendances concernant les systèmes et services externes. B. Examinez et mettez à jour les architectures à une fréquence définie par l'organisation pour refléter les changements apportés à l'architecture d'entreprise. C. Reflétez les modifications d'architecture prévues dans les plans de sécurité et de confidentialité, le concept d'opérations (CONOPS), l'analyse de la criticité, les procédures organisationnelles, ainsi que les achats et acquisitions.

nist-r5-ra-03

A. Évaluez les risques, y compris : a. Identifier les menaces et les failles du système. b. Déterminer la probabilité et l'ampleur des dommages causés par l'accès, l'utilisation, la divulgation, la perturbation, la modification ou la destruction non autorisés du système, des informations qu'il traite, stocke ou transmet, ainsi que de toute information connexe. c. Déterminer la probabilité et l'impact des effets indésirables sur les personnes résultant du traitement des informations permettant de les identifier personnellement. B. Intégrer les résultats de l'évaluation des risques et les décisions de gestion des risques du point de vue de l'organisation, de la mission ou du processus métier aux évaluations des risques au niveau du système ; C. Documentez les résultats de l'évaluation des risques dans les plans de sécurité et de confidentialité, le rapport d'évaluation des risques et le document défini par l'organisation. D. Examinez les résultats de l'évaluation des risques à une fréquence définie par l'organisation. E. Diffusez les résultats de l'évaluation des risques au personnel ou aux rôles définis par l'organisation. F Mettez à jour l'évaluation des risques à une fréquence définie par l'organisation ou lorsque le système, son environnement d'exploitation ou d'autres conditions susceptibles d'avoir un impact sur l'état de sécurité ou de confidentialité du système subissent des modifications importantes.

nist-r5-ra-05

A. Surveiller et rechercher les failles dans le système et les applications hébergées à la fréquence définie par l'organisation ou de manière aléatoire conformément au processus défini par l'organisation, et lorsque de nouvelles failles susceptibles d'affecter le système sont identifiées et signalées ; B. Utilisez des outils et des techniques de surveillance des failles qui facilitent l'interopérabilité entre les outils et automatisent certaines parties du processus de gestion des failles en utilisant des normes pour : a. Énumération des plates-formes, des failles logicielles et des configurations incorrectes. b. Listes de contrôle de la mise en forme et procédures de test. c. Mesurer l'impact des failles. C. Analysez les rapports et les résultats des analyses de failles et de la surveillance des failles. D. Corrigez les failles légitimes dans les délais de réponse définis par l'organisation, conformément à l'évaluation des risques de l'organisation. E. Partagez les informations obtenues à partir du processus de surveillance des failles et des évaluations des contrôles avec le personnel ou les rôles définis par l'organisation pour éliminer les failles similaires dans d'autres systèmes. F. Utilisez des outils de surveillance des failles qui permettent de mettre à jour facilement les failles à analyser.

nist-r5-sa-03

Acquérez, développez et gérez le système à l'aide d'un cycle de vie de développement du système défini par l'organisation, qui intègre des considérations relatives à la sécurité et à la confidentialité des informations. Définissez et documentez les rôles et responsabilités en matière de sécurité et de confidentialité des informations tout au long du cycle de vie du développement du système. Identifiez les personnes ayant des rôles et des responsabilités en matière de sécurité et de confidentialité des informations. Intégrez le processus de gestion des risques liés à la confidentialité et à la sécurité des informations de l'organisation dans les activités du cycle de vie du développement du système.

nist-r5-sa-08

Appliquer les principes d'ingénierie de la sécurité et de la confidentialité définis par l'organisation dans la spécification, la conception, le développement, l'implémentation et la modification du système et de ses composants.

nist-r5-sa-10

Exigez du développeur du système, du composant système ou du service système qu'il : A. Gérez la configuration lors de la conception, du développement, de l'implémentation, de l'exploitation ou de la mise au rebut du système, du composant ou du service. B. Documentez, gérez et contrôlez l'intégrité des modifications apportées aux éléments de configuration définis par l'organisation dans le cadre de la gestion de la configuration. C. N'implémentez que les modifications approuvées par l'organisation pour le système, le composant ou le service. D. Documentez les modifications approuvées apportées au système, au composant ou au service, ainsi que les impacts potentiels de ces modifications sur la sécurité et la confidentialité. E. Suivez les failles de sécurité et leur résolution dans le système, le composant ou le service, et signalez les résultats au personnel défini par l'organisation.

nist-r5-sa-11

Exiger du développeur du système, du composant système ou du service système, à toutes les étapes post-conception du cycle de vie du développement du système, qu'il : A. Élaborez et mettez en œuvre un plan d'évaluations continues de la sécurité et de la confidentialité ; B. Effectuez des tests unitaires, d'intégration, système et de régression selon la fréquence, la profondeur et la couverture définies par l'entreprise. C. Fournissez des preuves de l'exécution du plan d'évaluation et des résultats des tests et de l'évaluation. D. Mettez en œuvre un processus de correction des failles vérifiable. E. Corrigez les défauts identifiés lors des tests et de l'évaluation.

nist-r5-sa-15

Exiger du développeur du système, du composant système ou du service système qu'il suive un processus de développement documenté qui : traite explicitement les exigences de sécurité et de confidentialité, identifie les normes et les outils utilisés dans le processus de développement, documente les options et configurations d'outils spécifiques utilisées dans le processus de développement, et documente, gère et garantit l'intégrité des modifications apportées au processus et aux outils utilisés dans le développement. Examiner le processus de développement, les normes, les outils, les options d'outils et les configurations d'outils selon la fréquence définie par l'organisation, afin de déterminer si le processus, les normes, les outils, les options d'outils et les configurations d'outils sélectionnés et utilisés peuvent répondre aux exigences de sécurité et de confidentialité définies par l'organisation.

nist-r5-sa-21

Exiger que le développeur d'un système, d'un composant système ou d'un service système défini par l'organisation dispose des autorisations d'accès appropriées, telles que déterminées par les fonctions officielles attribuées par l'organisation. Le développeur doit satisfaire aux critères de sélection du personnel supplémentaires définis par l'organisation.

nist-r5-sc-03

Isolez les fonctions de sécurité des fonctions non liées à la sécurité.

nist-r5-sc-05

Protégez-vous contre les effets des événements de déni de service définis par l'organisation. Utilisez des contrôles définis par l'organisation en fonction du type d'événement de déni de service.

nist-r5-sc-07

Surveillez et contrôlez les communications au niveau des interfaces gérées externes vers le système et au niveau des principales interfaces gérées internes au système. Implémentez des sous-réseaux pour les composants système accessibles au public qui sont physiquement et logiquement séparés des réseaux organisationnels internes. Ne vous connectez aux réseaux ou systèmes externes que par le biais d'interfaces gérées composées de dispositifs de protection des limites, organisés conformément à une architecture de sécurité et de confidentialité de l'organisation.

nist-r5-sc-07-05

Refusez le trafic de communication réseau par défaut et autorisez-le par exception au niveau des interfaces gérées pour les systèmes définis par l'organisation.

nist-r5-sc-08

Protégez la confidentialité et l'intégrité des informations transmises.

nist-r5-sc-10

Mettre fin à la connexion réseau associée à une session de communication à la fin de la session ou après une période d'inactivité définie par l'organisation.

nist-r5-sc-12

Établissez et gérez les clés de chiffrement lorsque la cryptographie est utilisée dans le système, conformément aux exigences de gestion des clés telles que les exigences définies par l'organisation pour la génération, la distribution, le stockage, l'accès et la destruction des clés.

nist-r5-sc-13

Déterminez les utilisations requises pour la cryptographie et implémentez les types spécifiques de cryptographie nécessaires pour chacune de ces utilisations définies.

nist-r5-sc-23

Protéger l'authenticité des sessions de communication.

nist-r5-sc-28

Protégez la confidentialité et l'intégrité des informations au repos définies par l'organisation.

nist-r5-sc-28-01

Mettez en œuvre des mécanismes cryptographiques pour empêcher la divulgation et la modification non autorisées des informations au repos définies par l'organisation sur les composants système définis par l'organisation.

nist-r5-si-01

A. Développez, documentez et diffusez au personnel ou aux rôles définis par l'organisation : a. Règles relatives à l'intégrité des systèmes et des informations définies au niveau de l'organisation, de la mission, du processus métier ou du système. Les règles doivent aborder l'objectif, le champ d'application, les rôles, les responsabilités, l'engagement de la direction, la coordination entre les entités organisationnelles et la conformité. Les règles doivent être conformes aux lois, décrets, directives, réglementations, règles, normes et consignes applicables. b. Procédures visant à faciliter la mise en œuvre de la stratégie d'intégrité du système et des informations, ainsi que des contrôles d'intégrité du système et des informations associés. B. Désignez un responsable officiel défini par l'organisation pour gérer le développement, la documentation et la diffusion de la stratégie et des procédures d'intégrité du système et des informations. C. Examinez et mettez à jour les règles et procédures actuelles d'intégrité du système et des informations en fonction des fréquences et des événements définis par l'organisation.

nist-r5-si-02

Identifier, signaler et corriger les failles du système Testez l'efficacité et les effets secondaires potentiels des mises à jour logicielles et du micrologiciel liées à la correction des failles avant de les installer. Installez les mises à jour logicielles et micrologicielles liées à la sécurité dans le délai défini par l'organisation après leur publication. Intégrez la correction des failles au processus de gestion de la configuration de l'organisation.

nist-r5-si-02-02

Déterminez si les composants système ont installé les mises à jour logicielles et micrologicielles applicables liées à la sécurité à l'aide de mécanismes automatisés définis par l'organisation à une fréquence définie par l'organisation.

nist-r5-si-03

A. Mettez en place des mécanismes de protection contre le code malveillant basés ou non sur des signatures aux points d'entrée et de sortie du système pour détecter et éradiquer le code malveillant. B. Mettre à jour automatiquement les mécanismes de protection contre le code malveillant dès que de nouvelles versions sont disponibles, conformément aux règles et procédures de gestion de la configuration de l'organisation. C. Configurez les mécanismes de protection contre le code malveillant pour : a. Effectuez des analyses périodiques du système à la fréquence définie par l'organisation et des analyses en temps réel des fichiers provenant de sources externes au niveau du point de terminaison, des points d'entrée et de sortie du réseau lorsque les fichiers sont téléchargés, ouverts ou exécutés conformément aux règles de l'organisation. b. Bloquez le code malveillant, mettez-le en quarantaine, effectuez l'action définie par l'organisation et envoyez des alertes au personnel ou aux rôles définis par l'organisation en cas de détection de code malveillant. D. Traitez la réception de faux positifs lors de la détection et de l'éradication de code malveillant, ainsi que l'impact potentiel qui en résulte sur la disponibilité du système.

nist-r5-si-04

A. Surveillez le système pour détecter : a. Attaques et indicateurs d'attaques potentielles, conformément aux objectifs de surveillance définis par l'organisation. b. Connexions locales, réseau et à distance non autorisées. B. Identifier l'utilisation non autorisée du système à l'aide de techniques et de méthodes définies par l'organisation. C. Utilisez les fonctionnalités de surveillance interne ou déployez des dispositifs de surveillance : a. de manière stratégique dans le système pour collecter les informations essentielles déterminées par l'organisation. b. À des emplacements ad hoc dans le système pour suivre des types de transactions spécifiques qui intéressent l'organisation. D. Analysez les événements et les anomalies détectés. E. Ajustez le niveau d'activité de surveillance du système en cas de changement du risque pour les opérations et les ressources de l'organisation, les personnes, d'autres organisations ou le pays. F. Obtenez un avis juridique concernant les activités de surveillance du système. G. Fournissez des informations sur la surveillance du système définies par l'organisation au personnel ou aux rôles définis par l'organisation, selon les besoins ou la fréquence définie par l'organisation.

nist-r5-si-04-02

Utilisez des outils et des mécanismes automatisés pour analyser les événements en temps quasi réel.

nist-r5-si-04-04

Déterminez les critères pour les activités ou conditions inhabituelles ou non autorisées pour le trafic de communications entrantes et sortantes. Surveillez le trafic de communication entrant et sortant à une fréquence définie par l'organisation pour détecter les activités ou conditions inhabituelles ou non autorisées définies par l'organisation.

nist-r5-si-07

a. Utilisez des outils de vérification de l'intégrité pour détecter les modifications non autorisées apportées aux logiciels, micrologiciels et informations définis par l'organisation. b. Prenez les mesures définies par l'organisation lorsque des modifications non autorisées sont détectées dans les logiciels, les micrologiciels et les informations.

nist-r5-si-07-01

Effectuez une vérification de l'intégrité des logiciels, micrologiciels et informations définis par l'organisation, au démarrage et lors des états de transition ou des événements liés à la sécurité définis par l'organisation, à une fréquence définie par l'organisation.

nist-r5-si-07-02

Utilisez des outils automatisés qui envoient une notification au personnel ou aux rôles définis par l'organisation en cas d'anomalies détectées lors de la vérification de l'intégrité.

nist-r5-si-12

Gérer et conserver les informations dans le système et les informations générées par le système conformément aux lois, décrets, directives, réglementations, règles, normes, consignes et exigences opérationnelles applicables.

NIST AI 600-1 Privacy Controls

Fournisseur de services cloud compatible : Google Cloud

Contrôles de confidentialité basés sur la norme NIST AI 600-1 pour l'adoption de l'IA générative

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

nist-600-1-gv-6.1-001

Catégoriser différents types de contenus d'IA générative (IAG) avec les droits tiers associés. Par exemple, les droits d'auteur, la propriété intellectuelle et la confidentialité des données.

nist-600-1-mg-2.2-002

Documentez les sources de données d'entraînement pour retracer l'origine et la provenance du contenu généré par l'IA.

nist-600-1-mg-2.2-007

Utilisez des outils d'audit en temps réel lorsqu'ils peuvent être utilisés pour suivre et valider la provenance et l'authenticité des données générées par l'IA.

nist-600-1-mg-2.2-009

Envisagez d'utiliser de manière responsable des données synthétiques et d'autres techniques améliorant la confidentialité dans le développement de l'IA générative, lorsque cela est approprié et applicable, en faisant correspondre les propriétés statistiques des données réelles sans divulguer d'informations permettant d'identifier personnellement les utilisateurs ni contribuer à l'homogénéisation.

nist-600-1-mg-3.2-003

Sources de documents et types de données d'entraînement, ainsi que leurs origines, les biais potentiels présents dans les données liées à l'application d'IA générative et à la provenance de son contenu, l'architecture, le processus d'entraînement du modèle pré-entraîné, y compris des informations sur les hyperparamètres, la durée de l'entraînement et les processus d'affinage appliqués.

nist-600-1-mp-2.1-002

Mettre en place des tests et des évaluations pour les flux de données et de contenus au sein du système d'IA générative, y compris, mais sans s'y limiter, les sources de données d'origine, les transformations de données et les critères de prise de décision.

nist-600-1-mp-4.1-001

Surveillez régulièrement le contenu généré par IA pour détecter les risques liés à la confidentialité. Corrigez toute exposition possible d'informations permettant d'identifier personnellement l'utilisateur ou de données sensibles.

nist-600-1-mp-4.1-004

Documentez les règles de curation des données d'entraînement, dans la mesure du possible et conformément aux lois et règles applicables.

nist-600-1-mp-4.1-005

Établissez des règles pour la collecte, la conservation et la qualité minimale des données, en tenant compte des risques suivants : divulgation d'informations inappropriées sur les risques CBRN ; utilisation de contenu illégal ou dangereux ; capacités cyberoffensives ; déséquilibres des données d'entraînement pouvant entraîner des biais nuisibles ; fuite d'informations permettant d'identifier personnellement les utilisateurs, y compris les traits du visage.

nist-600-1-mp-4.1-009

Exploitez des approches pour détecter la présence d'informations permettant d'identifier personnellement l'utilisateur ou de données sensibles dans le texte, l'image, la vidéo ou l'audio générés.

nist-600-1-mp-4.1-010

Faites preuve de diligence raisonnable concernant l'utilisation des données d'entraînement pour évaluer les risques liés à la propriété intellectuelle et à la confidentialité, y compris pour déterminer si l'utilisation de données d'entraînement propriétaires ou sensibles est conforme aux lois applicables.

nist-600-1-ms-1.1-002

Intégrez des outils conçus pour analyser la provenance du contenu et détecter les anomalies de données, vérifier l'authenticité des signatures numériques et identifier les schémas associés à la désinformation ou à la manipulation.

nist-600-1-ms-2.2-004

Utilisez des techniques telles que l'anonymisation, la confidentialité différentielle ou d'autres technologies améliorant la confidentialité pour minimiser les risques associés à l'association de contenus générés par IA à des personnes physiques.

nist-600-1-ms-2.5-005

Vérifiez que la provenance des données d'entraînement et des données de test, d'évaluation, de vérification et de validation (TEVV) du système d'intelligence artificielle générative (IAG), ainsi que des données de génération augmentée par récupération ou d'affinage, est ancrée.

nist-600-1-ms-2.6-002

Évaluez l'existence ou les niveaux de biais préjudiciables, d'atteinte à la propriété intellectuelle, de non-respect de la confidentialité des données, d'obscénité, d'extrémisme, de violence ou d'informations CBRN dans les données d'entraînement du système.

nist-600-1-ms-2.9-002

Documenter les détails du modèle d'IA générative, y compris l'utilisation proposée et la valeur organisationnelle, les hypothèses et les limites, les méthodologies de collecte de données, la provenance des données, la qualité des données, l'architecture du modèle (par exemple, réseau neuronal convolutif et transformateurs), les objectifs d'optimisation, les algorithmes d'entraînement, les approches RLHF, les approches de génération augmentée par récupération ou de réglage fin, les données d'évaluation, les considérations éthiques, les exigences légales et réglementaires.

NIST Cybersecurity Framework 1.1

Fournisseur de services cloud compatible : Google Cloud

Un cadre stratégique pour aider les organisations à gérer les risques liés à la cybersécurité. Il organise les activités en cinq fonctions de base : identifier, protéger, détecter, répondre et récupérer. Il offre ainsi une vue d'ensemble de votre stratégie de sécurité.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

nist-csf-de-ae

Anomalies et événements (DE.AE) : une activité anormale est détectée et l'impact potentiel des événements est compris.

nist-csf-de-ae-1

Une référence des opérations réseau et des flux de données attendus pour les utilisateurs et les systèmes est établie et gérée.

nist-csf-de-ae-2

Les événements détectés sont analysés pour comprendre les cibles et les méthodes d'attaque.

nist-csf-de-ae-3

Les données d'événements sont collectées et mises en corrélation à partir de plusieurs sources et capteurs.

nist-csf-de-ae-4

L'impact des événements est déterminé.

nist-csf-de-ae-5

Les seuils d'alerte d'incident sont établis.

nist-csf-de-cm

Surveillance continue de la sécurité (DE.CM) : le système d'information et les ressources sont surveillés pour identifier les événements de cybersécurité et vérifier l'efficacité des mesures de protection.

nist-csf-de-cm-1

Le réseau est surveillé pour détecter les éventuels événements de cybersécurité.

nist-csf-de-cm-2

L'environnement physique est surveillé pour détecter les éventuels événements de cybersécurité.

nist-csf-de-cm-3

L'activité du personnel est surveillée pour détecter les éventuels événements de cybersécurité.

nist-csf-de-cm-4

Un code malveillant a été détecté.

nist-csf-de-cm-5

Un code mobile non autorisé a été détecté.

nist-csf-de-cm-6

L'activité des fournisseurs de services externes est surveillée pour détecter les éventuels événements de cybersécurité.

nist-csf-de-cm-7

Nous surveillons le personnel, les connexions, les appareils et les logiciels non autorisés.

nist-csf-de-cm-8

Des analyses des failles sont effectuées.

nist-csf-de-dp-1

Les rôles et responsabilités en matière de détection sont bien définis pour garantir la responsabilité.

nist-csf-de-dp-4

Les informations de détection d'événements sont communiquées.

nist-csf-id-am

Gestion des actifs : les données, le personnel, les appareils, les systèmes et les installations qui permettent à l'organisation d'atteindre ses objectifs commerciaux sont identifiés et gérés en fonction de leur importance relative pour les objectifs de l'organisation et de la stratégie de gestion des risques de l'organisation.

nist-csf-id-am-1

Les appareils et systèmes physiques de l'organisation sont inventoriés.

nist-csf-id-am-4

Les systèmes d'information externes sont catalogués.

nist-csf-id-am-6

Les rôles et responsabilités en matière de cybersécurité sont définis pour l'ensemble du personnel et des parties prenantes tierces (par exemple, les fournisseurs, les clients et les partenaires).

nist-csf-id-gv-1

Une règle de cybersécurité organisationnelle est établie et communiquée.

nist-csf-id-gv-3

Les exigences légales et réglementaires concernant la cybersécurité, y compris les obligations en matière de confidentialité et de libertés civiles, sont comprises et gérées.

nist-csf-id-gv-4

Les processus de gouvernance et de gestion des risques permettent de faire face aux risques de cybersécurité.

nist-csf-id-ra-1

Les failles des composants sont identifiées et documentées.

nist-csf-id-ra-2

Les renseignements sur les cybermenaces proviennent de forums et de sources de partage d'informations.

nist-csf-id-ra-3

Les menaces, internes et externes, sont identifiées et documentées.

nist-csf-id-sc-3

Des contrats avec des fournisseurs et des partenaires tiers sont utilisés pour mettre en œuvre des mesures appropriées conçues pour atteindre les objectifs du programme de cybersécurité et du plan de gestion des risques de la chaîne d'approvisionnement cybernétique d'une organisation.

nist-csf-pr-ac

Gestion des identités, authentification et contrôle des accès (PR.AC) : l'accès aux ressources physiques et logiques, ainsi qu'aux installations associées, est limité aux utilisateurs, processus et appareils autorisés, et est géré conformément au risque évalué d'accès non autorisé aux activités et transactions autorisées.

nist-csf-pr-ac-1

Les identités et les identifiants sont émis, gérés, vérifiés, révoqués et audités pour les appareils, utilisateurs et processus autorisés.

nist-csf-pr-ac-2

L'accès physique aux ressources est géré et protégé.

nist-csf-pr-ac-3

L'accès à distance est géré.

nist-csf-pr-ac-4

Les autorisations et les droits d'accès sont gérés en appliquant les principes du moindre privilège et de la séparation des tâches.

nist-csf-pr-ac-5

L'intégrité du réseau est protégée (par exemple, ségrégation et segmentation du réseau).

nist-csf-pr-ac-6

Les identités sont validées et liées à des identifiants, et sont affirmées lors des interactions.

nist-csf-pr-ac-7

Les utilisateurs, les appareils et les autres ressources sont authentifiés (par exemple, à un ou plusieurs facteurs) en fonction du risque de la transaction (par exemple, les risques liés à la sécurité et à la confidentialité des personnes, ainsi que les autres risques organisationnels).

nist-csf-pr-ds-1

Les données au repos sont protégées.

nist-csf-pr-ds-2

Les données en transit sont protégées.

nist-csf-pr-ds-3

Les composants sont gérés de manière formelle tout au long de la suppression, du transfert et de l'élimination.

nist-csf-pr-ds-4

Une capacité suffisante est maintenue pour assurer la disponibilité.

nist-csf-pr-ds-5

Des mesures de protection contre les fuites de données sont mises en place.

nist-csf-pr-ip

Processus et procédures de protection des informations (PR.IP) : les règles de sécurité (qui traitent de l'objectif, du champ d'application, des rôles, des responsabilités, de l'engagement de la direction et de la coordination entre les entités organisationnelles), les processus et les procédures sont maintenus et utilisés pour gérer la protection des systèmes et des ressources informationnels.

nist-csf-pr-ip-1

Une configuration de référence des systèmes informatiques ou de contrôle industriel est créée et gérée en intégrant des principes de sécurité (par exemple, le concept de fonctionnalité minimale).

nist-csf-pr-ip-10

Les plans de réponse et de reprise sont testés.

nist-csf-pr-ip-12

Un plan de gestion des failles est élaboré et mis en œuvre.

nist-csf-pr-ip-2

Un cycle de vie de développement système est mis en œuvre pour gérer les systèmes.

nist-csf-pr-ip-3

Des processus de contrôle des modifications de configuration sont en place.

nist-csf-pr-ip-4

Des sauvegardes des informations sont effectuées, conservées et testées.

nist-csf-pr-ip-6

Les données sont détruites conformément aux règles.

nist-csf-pr-ip-9

Des plans de réponse (réponse aux incidents et continuité de l'activité) et des plans de reprise (reprise après incident et reprise après sinistre) sont en place et gérés.

nist-csf-pr-ma-1

La maintenance et la réparation des ressources de l'organisation sont effectuées et consignées à l'aide d'outils approuvés et contrôlés.

nist-csf-pr-pt

Technologies de protection (PR.PT) : les solutions de sécurité techniques sont gérées pour assurer la sécurité et la résilience des systèmes et des ressources, conformément aux règles, procédures et accords associés.

nist-csf-pr-pt-1

Les journaux d'audit et d'enregistrement sont déterminés, documentés, implémentés et examinés conformément aux règles.

nist-csf-pr-pt-3

Le principe de la fonctionnalité minimale est intégré en configurant les systèmes pour qu'ils ne fournissent que les capacités essentielles.

nist-csf-pr-pt-4

Les réseaux de communication et de contrôle sont protégés.

nist-csf-pr-pt-5

Des mécanismes (par exemple, sécurité intégrée, équilibrage de charge, remplacement à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables.

nist-csf-rc-im

Améliorations (RC.IM) : les plans et processus de reprise sont améliorés en intégrant les enseignements tirés dans les activités futures.

nist-csf-rc-rp-1

Le plan de reprise est exécuté pendant ou après un incident de cybersécurité.

nist-csf-rs-an

Analyse (RS.AN) : l'analyse est effectuée pour assurer une réponse efficace et soutenir les activités de reprise.

nist-csf-rs-an-1

Les notifications des systèmes de détection font l'objet d'une enquête.

nist-csf-rs-an-5

Des processus sont établis pour recevoir, analyser et traiter les failles divulguées à l'organisation à partir de sources internes et externes (par exemple, tests internes, bulletins de sécurité ou chercheurs en sécurité).

nist-csf-rs-co-1

Le personnel connaît son rôle et l'ordre des opérations lorsqu'une réponse est nécessaire.

nist-csf-rs-co-4

La coordination avec les parties prenantes a lieu conformément aux plans de réponse.

nist-csf-rs-im-2

Les stratégies de réponse sont mises à jour.

nist-csf-rs-mi-2

Les incidents sont atténués.

nist-csf-rs-rp-1

Le plan d'intervention est exécuté pendant ou après un incident.

PCI DSS v4.0.1

Fournisseur de services cloud compatible : Google Cloud

Cadre réglementaire qui définit la norme PCI DSS (Payment Card Industry Data Security Standard) obligatoire pour les entreprises qui traitent, stockent ou transmettent les données des titulaires de cartes. La norme PCI DSS définit des exigences techniques et opérationnelles spécifiques pour protéger les données des titulaires de cartes, où qu'elles soient traitées, stockées ou transmises. La norme PCI DSS fournit un ensemble d'exigences techniques et opérationnelles prescriptives pour aider à prévenir la fraude. Ce framework est conforme à la norme PCI DSS v4.0.1.

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

pci-dss-v4-1-2-1

Les normes de configuration des ensembles de règles NSC doivent être définies, implémentées et gérées.

pci-dss-v4-1-2-6

Des fonctionnalités de sécurité doivent être définies et implémentées pour tous les services, protocoles et ports utilisés et considérés comme non sécurisés, afin d'atténuer les risques.

pci-dss-v4-1-3-1

Le trafic entrant vers le CDE doit être limité au trafic nécessaire uniquement, et tout autre trafic doit être spécifiquement refusé.

pci-dss-v4-1-3-2

Le trafic sortant du CDE doit être limité au trafic nécessaire, et tout autre trafic doit être spécifiquement refusé.

pci-dss-v4-1-4-1

Les NSC sont implémentées entre les réseaux approuvés et non approuvés.

pci-dss-v4-1-4-2

Le trafic entrant provenant de réseaux non fiables vers des réseaux fiables doit être limité aux éléments suivants : communications avec les composants système autorisés à fournir des services, protocoles et ports accessibles au public ; réponses avec état aux communications initiées par les composants système d'un réseau fiable ; tout autre trafic doit être refusé.

pci-dss-v4-1-4-3

Des mesures anti-spoofing doivent être mises en œuvre pour détecter les adresses IP sources falsifiées et les empêcher d'entrer dans le réseau de confiance.

pci-dss-v4-1-4-4

Les composants système qui stockent les données des titulaires de carte ne doivent pas être directement accessibles à partir de réseaux non fiables.

pci-dss-v4-10-1-1

Toutes les règles de sécurité et procédures opérationnelles identifiées dans l'exigence 10 sont documentées, à jour, utilisées et connues de toutes les parties concernées.

pci-dss-v4-10-2-1

Les journaux d'audit sont activés et actifs pour tous les composants système et les données des titulaires de cartes.

pci-dss-v4-10-2-1-1

Les journaux d'audit enregistrent tous les accès individuels des utilisateurs aux données des titulaires de cartes.

pci-dss-v4-10-2-1-2

Les journaux d'audit enregistrent toutes les actions effectuées par toute personne disposant d'un accès administrateur, y compris toute utilisation interactive des comptes d'application ou système.

pci-dss-v4-10-2-1-4

Les journaux d'audit enregistrent toutes les tentatives d'accès logique non valides.

pci-dss-v4-10-3-3

Les fichiers journaux d'audit, y compris ceux des technologies externes, sont rapidement sauvegardés sur des serveurs de journaux internes sécurisés et centralisés, ou sur d'autres supports difficiles à modifier.

pci-dss-v4-10-4-1-1

Des mécanismes automatisés sont utilisés pour examiner les journaux d'audit.

pci-dss-v4-10-5-1

Conserver l'historique des journaux d'audit pendant au moins 12 mois, avec au moins les trois derniers mois immédiatement disponibles pour l'analyse.

pci-dss-v4-11-5-1

Les techniques de détection et de prévention des intrusions sont utilisées pour détecter et/ou prévenir les intrusions dans le réseau comme suit : tout le trafic est surveillé au niveau du périmètre du CDE et aux points critiques du CDE ; le personnel est informé des compromissions suspectées ; tous les moteurs, références et signatures de détection et de prévention des intrusions sont tenus à jour.

pci-dss-v4-12-10-5

Le plan de réponse aux incidents de sécurité inclut la surveillance et la réponse aux alertes des systèmes de surveillance de la sécurité, y compris, mais sans s'y limiter : les systèmes de détection et de prévention des intrusions ; les contrôles de sécurité du réseau ; les mécanismes de détection des modifications pour les fichiers critiques ; le mécanisme de détection des modifications et des falsifications pour les pages de paiement ; la détection des points d'accès sans fil non autorisés.

pci-dss-v4-12-5-1

Un inventaire des composants système couverts par la norme PCI DSS, y compris une description de leur fonction et de leur utilisation, est tenu à jour.

pci-dss-v4-2-2-1

Des normes de configuration doivent être développées, mises en œuvre et maintenues pour s'assurer qu'elles couvrent tous les composants du système, qu'elles traitent toutes les failles de sécurité connues, qu'elles sont cohérentes avec les normes de renforcement du système acceptées par l'industrie ou les recommandations de renforcement des fournisseurs, qu'elles sont mises à jour lorsque de nouveaux problèmes de failles sont identifiés, comme défini dans l'exigence 6.3.1, et qu'elles sont appliquées lorsque de nouveaux systèmes sont configurés et vérifiés comme étant en place avant ou immédiatement après qu'un composant du système est connecté à un environnement de production.

pci-dss-v4-2-2-3

Les fonctions principales nécessitant différents niveaux de sécurité doivent être gérées pour garantir les points suivants : une seule fonction principale existe sur un composant système, ou les fonctions principales avec différents niveaux de sécurité qui existent sur le même composant système sont isolées les unes des autres, ou les fonctions principales avec différents niveaux de sécurité sur le même composant système sont toutes sécurisées au niveau requis par la fonction ayant le besoin de sécurité le plus élevé.

pci-dss-v4-2-2-4

Seuls les services, les protocoles, les daemons et les fonctions nécessaires doivent être activés, et toutes les fonctionnalités inutiles doivent être supprimées ou désactivées.

pci-dss-v4-2-2-5

Si des services, des protocoles ou des daemons non sécurisés sont présents, assurez-vous que la justification commerciale est documentée et que des fonctionnalités de sécurité supplémentaires sont documentées et mises en œuvre, ce qui réduit le risque d'utilisation de services, de protocoles ou de daemons non sécurisés.

pci-dss-v4-2-2-6

Les paramètres de sécurité du système doivent être configurés pour éviter tout usage abusif.

pci-dss-v4-2-2-7

Tout accès administratif autre que par la console doit être chiffré à l'aide d'une cryptographie forte.

pci-dss-v4-3-2-1

Le stockage des données de compte doit être réduit au minimum grâce à la mise en œuvre de règles, de procédures et de processus de conservation et d'élimination des données qui doivent inclure au moins les éléments suivants : couverture de tous les emplacements de stockage des données de compte ; couverture de toutes les données d'authentification sensibles (SAD) stockées avant la fin de l'autorisation ; limitation de la quantité de données stockées et de la durée de conservation à ce qui est requis pour les exigences légales, réglementaires et commerciales ; exigences spécifiques de conservation des données de compte stockées qui définissent la durée de conservation et incluent une justification commerciale documentée ; processus de suppression sécurisée ou de rendu irrécupérable des données de compte lorsqu'elles ne sont plus nécessaires conformément à la règle de conservation ; et processus de vérification, au moins une fois tous les trois mois, que les données de compte stockées dépassant la durée de conservation définie ont été supprimées de manière sécurisée ou rendues irrécupérables.

pci-dss-v4-3-3-2

Les données sensibles du compte stockées électroniquement avant l'autorisation doivent être chiffrées à l'aide d'une cryptographie robuste.

pci-dss-v4-3-3-3

Les émetteurs et les entreprises qui proposent des services d'émission et stockent des données d'authentification sensibles doivent s'assurer que le stockage de ces données est limité à ce qui est nécessaire pour un besoin légitime d'émission, et qu'il est sécurisé et chiffré à l'aide d'une cryptographie forte.

pci-dss-v4-3-5-1

Le PAN est rendu illisible partout où il est stocké à l'aide de l'une des approches suivantes : hachages unidirectionnels basés sur un chiffrement fort de l'ensemble du PAN ; troncature (le hachage ne peut pas servir à remplacer le segment tronqué du PAN) ; si des versions hachées et tronquées du même PAN, ou différents formats de troncature du même PAN, sont présents dans un environnement, des contrôles supplémentaires sont en place pour que les différentes versions ne puissent pas être corrélées pour reconstruire le PAN d'origine ; jetons d'index ; et chiffrement fort avec les processus et procédures de gestion des clés associés.

pci-dss-v4-3-5-1-3

Si le chiffrement au niveau du disque ou de la partition est utilisé (plutôt que le chiffrement de base de données au niveau du fichier, de la colonne ou du champ) pour rendre le numéro de compte principal illisible, assurez-vous que l'accès logique est géré séparément et indépendamment des mécanismes d'authentification et de contrôle des accès du système d'exploitation natif, que les clés de déchiffrement ne sont pas associées à des comptes utilisateur et que les facteurs d'authentification (tels que les mots de passe, les expressions secrètes ou les clés cryptographiques) permettant d'accéder aux données non chiffrées sont stockés de manière sécurisée.

pci-dss-v4-3-6-1

Des procédures doivent être définies et mises en œuvre pour protéger les clés cryptographiques utilisées pour protéger les données de compte stockées contre la divulgation et l'usage abusif. L'accès aux clés doit être limité au plus petit nombre de responsables nécessaire.

pci-dss-v4-3-6-1-2

Les clés secrètes et privées utilisées pour protéger les données de compte stockées doivent être stockées sous l'une (ou plusieurs) des formes suivantes à tout moment : chiffrées avec une clé de chiffrement de clé au moins aussi puissante que la clé de chiffrement des données, et stockées séparément de la clé de chiffrement des données ; dans un dispositif cryptographique sécurisé (SCD, Secure Cryptographic Device), par exemple un module de sécurité matériel (HSM, Hardware Security Module) ou un terminal de point d'interaction approuvé par PTS ; et sous la forme d'au moins deux composants ou partages de clé de longueur complète, conformément à une méthode acceptée par le secteur.

pci-dss-v4-3-7-1

Des règles et procédures de gestion des clés doivent être mises en œuvre pour inclure la génération de clés cryptographiques robustes utilisées pour protéger les données de compte stockées.

pci-dss-v4-3-7-2

Des règles et procédures de gestion des clés doivent être mises en œuvre pour inclure la distribution sécurisée des clés cryptographiques utilisées pour protéger les données de compte stockées.

pci-dss-v4-3-7-3

Des règles et procédures de gestion des clés doivent être mises en œuvre pour inclure le stockage sécurisé des clés cryptographiques utilisées pour protéger les données de compte stockées.

pci-dss-v4-3-7-5

Des règles et procédures de gestion des clés doivent être mises en œuvre pour inclure la mise hors service, le remplacement ou la destruction des clés utilisées pour protéger les données de compte stockées, si nécessaire lorsque : la clé a atteint la fin de sa cryptopériode définie ; l'intégrité de la clé a été affaiblie (y compris lorsque du personnel connaissant un composant de clé en texte clair quitte l'entreprise ou le rôle pour lequel le composant de clé était connu) ; la clé est suspectée ou connue pour être compromise ; et les clés mises hors service ou remplacées ne sont pas utilisées pour les opérations de chiffrement.

pci-dss-v4-4-2-1

Des protocoles de sécurité et de chiffrement renforcés doivent être mis en œuvre pour protéger le numéro de compte principal lors de sa transmission sur des réseaux publics ouverts. Ils doivent garantir que seules les clés et les certificats fiables sont acceptés, que les certificats utilisés pour protéger le numéro de compte principal lors de sa transmission sur des réseaux publics ouverts sont valides et ne sont pas expirés ni révoqués, que le protocole utilisé n'est compatible qu'avec les versions ou configurations sécurisées et n'est pas compatible avec le retour à des versions, algorithmes, tailles de clé ou implémentations non sécurisés, ni avec leur utilisation, et que le niveau de chiffrement est adapté à la méthode de chiffrement utilisée.

pci-dss-v4-5-2-1

Une ou plusieurs solutions anti-logiciels malveillants doivent être déployées sur tous les composants système, à l'exception de ceux identifiés dans les évaluations périodiques conformément à l'exigence 5.2.3 et qui ne sont pas menacés par des logiciels malveillants.

pci-dss-v4-5-2-2

La ou les solutions anti-logiciels malveillants déployées doivent détecter tous les types connus de logiciels malveillants, et les supprimer, les bloquer ou les contenir.

pci-dss-v4-6-2-3

Les logiciels sur mesure et personnalisés doivent être examinés avant d'être mis en production ou à la disposition des clients, afin d'identifier et de corriger les éventuelles failles de programmation. Les examens du code permettent de s'assurer que le code est développé conformément aux consignes de programmation sécurisée, de rechercher les failles logicielles existantes et émergentes, et d'implémenter les corrections appropriées avant la mise en production.

pci-dss-v4-6-3-1

Les failles de sécurité doivent être identifiées et gérées pour garantir les points suivants : les nouvelles failles de sécurité sont identifiées à l'aide de sources d'information sur les failles de sécurité reconnues par le secteur, y compris les alertes des équipes d'intervention d'urgence informatique (CERT) nationales et internationales ; une évaluation du risque est attribuée aux failles en fonction des bonnes pratiques du secteur et de l'impact potentiel ; les évaluations du risque identifient, au minimum, toutes les failles considérées comme présentant un risque élevé ou critique pour l'environnement ; les failles des logiciels sur mesure, personnalisés et tiers (par exemple, les systèmes d'exploitation et les bases de données) sont couvertes.

pci-dss-v4-6-3-3

Tous les composants du système doivent être protégés contre les failles connues en installant les correctifs ou mises à jour de sécurité applicables pour s'assurer que les correctifs ou mises à jour pour les failles critiques (identifiées selon le processus de classement des risques de l'exigence 6.3.1) sont installés dans le mois suivant leur publication, et que tous les autres correctifs ou mises à jour de sécurité applicables sont installés dans un délai approprié, tel que déterminé par l'évaluation de l'entité concernant la criticité du risque pour l'environnement, identifiée selon le processus de classement des risques de l'exigence 6.3.1.

pci-dss-v4-6-4-1

Pour les applications Web destinées au public, les nouvelles menaces et failles doivent être traitées en continu, et ces applications doivent être protégées contre les attaques connues à l'aide de l'une des deux méthodes suivantes : Examiner les applications Web destinées au public à l'aide d'outils ou de méthodes d'évaluation de la sécurité des failles des applications manuelles ou automatisées, comme suit : au moins une fois tous les 12 mois et après des modifications importantes ; par une entité spécialisée dans la sécurité des applications ; en incluant, au minimum, toutes les attaques logicielles courantes dans l'exigence 6.2.4 ; toutes les failles sont classées conformément à l'exigence 6.3.1 ; toutes les failles sont corrigées ; et l'application est réévaluée après les corrections. Ou installer une ou plusieurs solutions techniques automatisées qui détectent et empêchent en permanence les attaques Web, comme suit : installées devant les applications Web destinées au public pour détecter et empêcher les attaques Web ; en cours d'exécution et à jour, le cas échéant ; générant des journaux d'audit ; et configurées pour bloquer les attaques Web ou générer une alerte qui est immédiatement examinée.

pci-dss-v4-6-4-2

Pour les applications Web destinées au public, une solution technique automatisée doit être déployée pour détecter et prévenir en continu les attaques Web, avec les vérifications minimales suivantes : elle est installée devant les applications Web destinées au public et est configurée pour détecter et prévenir les attaques Web ; elle est active et à jour, le cas échéant ; elle génère des journaux d'audit ; elle est configurée pour bloquer les attaques Web ou générer une alerte qui est immédiatement examinée.

pci-dss-v4-7-2-1

Un modèle de contrôle des accès doit être défini et inclure l'octroi d'accès comme suit : accès approprié en fonction des besoins de l'entreprise et des besoins d'accès de l'entité ; accès aux composants du système et aux ressources de données basé sur la classification et les fonctions des utilisateurs ; et les moindres privilèges requis (par exemple, utilisateur, administrateur) pour effectuer une fonction de travail.

pci-dss-v4-7-2-2

L'accès doit être attribué aux utilisateurs (y compris aux utilisateurs privilégiés) en fonction de la classification et de la fonction du poste, ainsi que des moindres privilèges nécessaires à l'exécution des responsabilités liées aux tâches.

pci-dss-v4-7-2-5

Tous les comptes d'application et de système, ainsi que les droits d'accès associés, doivent être attribués et gérés en fonction des privilèges minimaux nécessaires au fonctionnement du système ou de l'application. Ils doivent également garantir que l'accès est limité aux systèmes, applications ou processus qui nécessitent spécifiquement leur utilisation.

pci-dss-v4-7-3-1

Un ou plusieurs systèmes de contrôle des accès doivent être en place pour restreindre l'accès en fonction du besoin d'en connaître d'un utilisateur et couvrir tous les composants du système.

pci-dss-v4-7-3-2

Le ou les systèmes de contrôle des accès doivent être configurés pour appliquer les autorisations attribuées aux personnes, aux applications et aux systèmes en fonction de la classification et de la fonction du poste.

pci-dss-v4-7-3-3

Le ou les systèmes de contrôle des accès doivent être configurés pour refuser tout accès par défaut.

pci-dss-v4-8-2-1

Tous les utilisateurs doivent se voir attribuer un identifiant unique avant de pouvoir accéder aux composants système ou aux données des titulaires de cartes.

pci-dss-v4-8-2-3

Les fournisseurs de services ayant un accès à distance aux locaux des clients doivent utiliser des facteurs d'authentification uniques pour chaque client.

pci-dss-v4-8-2-5

L'accès des utilisateurs dont le compte est clôturé doit être immédiatement révoqué.

pci-dss-v4-8-2-8

Si une session utilisateur est inactive depuis plus de 15 minutes, l'utilisateur doit se réauthentifier pour réactiver le terminal ou la session.

pci-dss-v4-8-3-1

Tous les accès utilisateur aux composants système pour les utilisateurs et les administrateurs doivent être authentifiés à l'aide d'au moins l'un des facteurs d'authentification suivants : une information que vous connaissez (par exemple, un mot de passe ou une phrase secrète), un élément que vous possédez (par exemple, un dispositif de jeton ou une carte à puce) et une caractéristique propre à votre personne (par exemple, un élément biométrique).

pci-dss-v4-8-3-2

Une cryptographie forte doit être utilisée pour rendre illisibles tous les facteurs d'authentification lors de la transmission et du stockage sur tous les composants du système.

pci-dss-v4-8-3-9

Si des mots de passe ou des expressions secrètes sont utilisés comme seul facteur d'authentification pour l'accès des utilisateurs (dans toute implémentation d'authentification à un seul facteur), ils doivent être modifiés au moins une fois tous les 90 jours. Il est également possible d'analyser dynamiquement la posture de sécurité des comptes et de déterminer automatiquement l'accès en temps réel aux ressources en conséquence.

pci-dss-v4-8-6-2

Les mots de passe ou expressions secrètes de tous les comptes d'application et système pouvant être utilisés pour la connexion interactive ne doivent pas être codés en dur dans les scripts, les fichiers de configuration ou de propriétés, ni dans le code source sur mesure et personnalisé.

pci-dss-v4-8-6-3

Les mots de passe ou expressions secrètes de tous les comptes d'application et de système doivent être protégés contre toute utilisation abusive en veillant à ce que les mots de passe ou expressions secrètes soient modifiés périodiquement (à la fréquence définie dans l'analyse des risques ciblés de l'entité, qui est effectuée conformément à tous les éléments spécifiés dans l'exigence 12.3.1) et en cas de suspicion ou de confirmation de compromission. Les mots de passe ou expressions secrètes doivent être suffisamment complexes en fonction de la fréquence à laquelle l'entité les modifie.

Security Essentials

Fournisseur de services cloud compatible : Google Cloud

Google Cloud Security Essentials fournit une base de référence pour la sécurité et la conformité aux clients Google Cloud. Ce framework s'appuie sur les bonnes pratiques et les renseignements complets de Google sur les menaces. Il vous permet de mieux comprendre votre stratégie de sécurité et de répondre aux exigences de conformité courantes dès le départ.

Ce framework inclut les contrôles cloud suivants :

SOC2 2017

Fournisseur de services cloud compatible : Google Cloud

Cadre réglementaire qu'un auditeur indépendant peut utiliser pour évaluer les contrôles de votre organisation qui sont pertinents pour les critères de services de confiance de l'AICPA, tels que la sécurité et la disponibilité, et pour établir un rapport à leur sujet. Le rapport d'audit qui en résulte vous fournit une évaluation des systèmes de votre organisation et des données qu'ils traitent.Le framework est conforme à la norme SOC 2 2017 (avec les points d'intérêt révisés de 2022).

Ce framework inclut les groupes de contrôle et les contrôles cloud dans les sections suivantes.

soc2-2017-a-1-2-11

La direction identifie les menaces pesant sur la récupérabilité des données (par exemple, les attaques par rançongiciel) qui pourraient nuire à la disponibilité du système et des données associées, et met en œuvre des procédures d'atténuation.

soc2-2017-a-1-2-8

Des procédures sont en place pour sauvegarder les données, surveiller les échecs de sauvegarde et prendre des mesures correctives en cas d'échec.

soc2-2017-c-1-1-2

Les informations confidentielles ne sont pas conservées plus longtemps que nécessaire pour atteindre l'objectif identifié, sauf si une loi ou un règlement en disposent autrement.

soc2-2017-c-1-1-3

Des règles et procédures sont en place pour protéger les informations confidentielles contre l'effacement ou la destruction pendant la période de conservation spécifiée.

soc2-2017-c-1-2-2

Des règles et procédures sont en place pour effacer ou détruire automatiquement ou manuellement les informations confidentielles qui ont été identifiées pour être détruites.

soc2-2017-cc-1-3-3

La direction et le conseil d'administration délèguent l'autorité, définissent les responsabilités et utilisent les processus et technologies appropriés pour attribuer les responsabilités et séparer les tâches si nécessaire aux différents niveaux de l'organisation.

soc2-2017-cc-2-1-2

Les systèmes d'information capturent des sources de données internes et externes.

soc2-2017-cc-2-1-6

L'entité identifie, documente et conserve les enregistrements des composants du système tels que l'infrastructure, les logiciels et autres ressources d'information. Les ressources informationnelles incluent les systèmes et appareils physiques, les systèmes virtuels, les données et les flux de données, les systèmes d'information externes et les rôles organisationnels.

soc2-2017-cc-2-2-1

Un processus est en place pour communiquer les informations requises afin de permettre à l'ensemble du personnel de comprendre et d'assumer ses responsabilités en matière de contrôle interne.

soc2-2017-cc-3-2-5

L'évaluation des risques consiste à déterminer comment les gérer et s'il convient de les accepter, de les éviter, de les réduire ou de les partager.

soc2-2017-cc-3-2-7

L'entité identifie les failles des composants du système, y compris les processus, l'infrastructure, les logiciels,

soc2-2017-cc-4-1-1

La gestion inclut un équilibre entre les évaluations continues et distinctes.

soc2-2017-cc-4-1-5

Les évaluations continues sont intégrées aux processus métier et s'adaptent aux conditions changeantes.

soc2-2017-cc-4-1-8

La direction utilise diverses évaluations continues et distinctes des risques et des contrôles pour déterminer si des contrôles internes sont en place et fonctionnent. En fonction des objectifs de l'entité, ces évaluations des risques et des contrôles peuvent inclure des tests de surveillance et de contrôle de première et deuxième ligne, des évaluations d'audit interne, des évaluations de conformité, des évaluations de résilience, des analyses de vulnérabilité, des évaluations de sécurité, des tests d'intrusion et des évaluations tierces.

soc2-2017-cc-4-2-2

Les carences sont communiquées aux parties responsables des mesures correctives, ainsi qu'à la direction et au conseil d'administration, le cas échéant.

soc2-2017-cc-5-2-2

La direction sélectionne et développe des activités de contrôle sur l'infrastructure technologique, qui sont conçues et mises en œuvre pour garantir l'exhaustivité, l'exactitude et la disponibilité du traitement technologique.

soc2-2017-cc-5-2-3

La direction sélectionne et développe des activités de contrôle conçues et mises en œuvre pour limiter les droits d'accès à la technologie aux utilisateurs autorisés en fonction de leurs responsabilités professionnelles et pour protéger les actifs de l'entité contre les menaces externes.

soc2-2017-cc-5-3-1

La direction établit des activités de contrôle intégrées aux processus métier et aux activités quotidiennes des employés par le biais de règles définissant les attentes et de procédures pertinentes spécifiant les actions.

soc2-2017-cc-6-1-10

L'entité utilise le chiffrement pour protéger les données au repos, en cours de traitement ou en transit, lorsque ces protections sont jugées appropriées en fonction de sa stratégie d'atténuation des risques.

soc2-2017-cc-6-1-11

L'entité protège les clés cryptographiques lors de leur génération, de leur stockage, de leur utilisation et de leur destruction. Les modules, algorithmes, longueurs de clé et architectures cryptographiques sont appropriés en fonction de la stratégie d'atténuation des risques de l'entité.

soc2-2017-cc-6-1-12

L'accès logique aux informations confidentielles et leur utilisation sont limités à des fins identifiées.

soc2-2017-cc-6-1-3

L'entité limite l'accès logique aux ressources d'information, y compris à l'infrastructure (par exemple, les serveurs, les éléments de stockage et de réseau, les API et les appareils de point de terminaison), aux logiciels et aux données au repos, en cours de traitement ou en transit, en utilisant des logiciels de contrôle des accès, des ensembles de règles et des processus de renforcement de la configuration standard.

soc2-2017-cc-6-1-4

L'entité identifie et authentifie les personnes, l'infrastructure et les logiciels avant d'accéder aux ressources d'information, que ce soit localement ou à distance. L'entité utilise des techniques d'authentification utilisateur plus complexes ou avancées, telles que l'authentification multifacteur, lorsque de telles protections sont jugées appropriées en fonction de sa stratégie d'atténuation des risques.

soc2-2017-cc-6-1-5

L'entité utilise la segmentation du réseau, des architectures zéro confiance et d'autres techniques pour isoler les parties non liées de son système informatique les unes des autres en fonction de sa stratégie d'atténuation des risques.

soc2-2017-cc-6-1-7

Des combinaisons de classification des données, de structures de données distinctes, de restrictions de ports, de restrictions de protocoles d'accès, d'identification des utilisateurs et de certificats numériques sont utilisées pour établir des règles de contrôle des accès et des normes de configuration pour les ressources informationnelles.

soc2-2017-cc-6-1-9

Les nouvelles infrastructures et logiciels internes et externes sont enregistrés, autorisés et documentés avant que des identifiants d'accès ne leur soient accordés et qu'ils ne soient implémentés sur le réseau ou le point d'accès. Les identifiants sont supprimés et l'accès est désactivé lorsqu'il n'est plus nécessaire ou que l'infrastructure et le logiciel ne sont plus utilisés.

soc2-2017-cc-6-2-3

Des processus sont en place pour désactiver, détruire ou empêcher l'utilisation des identifiants d'accès lorsqu'ils ne sont plus valides.

soc2-2017-cc-6-3-2

Des processus sont en place pour supprimer l'accès aux composants d'information protégés lorsque cela n'est plus nécessaire.

soc2-2017-cc-6-3-3

L'entité utilise des structures de contrôle des accès, telles que des contrôles des accès basés sur les rôles, pour restreindre l'accès aux ressources d'information protégées, limiter les privilèges et permettre la séparation des fonctions incompatibles.

soc2-2017-cc-6-5-1

Des procédures sont en place pour supprimer, effacer ou rendre autrement inaccessibles les données et logiciels des actifs physiques et autres appareils appartenant à l'entité, à ses fournisseurs et à ses employés lorsque les données et logiciels ne sont plus nécessaires sur l'actif ou que l'actif ne sera plus sous le contrôle de l'entité.

soc2-2017-cc-6-6

L'entité met en œuvre des mesures de sécurité d'accès logique pour se protéger contre les menaces provenant de sources extérieures aux limites de son système.

soc2-2017-cc-6-6-1

Les types d'activités pouvant avoir lieu via un canal de communication (par exemple, un site FTP ou un port de routeur) sont limités.

soc2-2017-cc-6-6-4

Les systèmes de protection des limites (pare-feu, zones démilitarisées, systèmes de détection ou de prévention des intrusions, systèmes de détection et de réponse au niveau des points de terminaison, par exemple) sont configurés, implémentés et gérés pour protéger les points d'accès externes.

soc2-2017-cc-6-7-1

Les processus et technologies de protection contre la perte de données sont utilisés pour limiter la possibilité d'autoriser et d'exécuter la transmission, le déplacement et la suppression d'informations.

soc2-2017-cc-6-7-2

Des technologies de chiffrement ou des canaux de communication sécurisés sont utilisés pour protéger la transmission des données et d'autres communications au-delà des points d'accès à la connectivité.

soc2-2017-cc-6-8-1

Seules les personnes autorisées peuvent installer et modifier des applications et des logiciels. L'utilisation des logiciels utilitaires capables de contourner les procédures normales de fonctionnement ou de sécurité est limitée aux personnes autorisées et fait l'objet d'une surveillance régulière.

soc2-2017-cc-6-8-2

Des processus sont en place pour détecter les modifications apportées aux paramètres logiciels et de configuration qui peuvent indiquer la présence de logiciels non autorisés ou malveillants.

soc2-2017-cc-7-1-1

L'entité a défini des normes de configuration à utiliser pour renforcer les systèmes.

soc2-2017-cc-7-1-3

Le système informatique inclut un mécanisme de détection des modifications, par exemple des outils de surveillance de l'intégrité des fichiers, pour alerter le personnel en cas de modifications non autorisées des fichiers système critiques, des fichiers de configuration ou des fichiers de contenu.

soc2-2017-cc-7-1-5

L'entité effectue des analyses des failles d'infrastructure et logicielles conçues pour identifier les failles ou erreurs de configuration potentielles de manière périodique et après toute modification importante apportée à l'environnement. Des mesures sont prises pour remédier aux carences identifiées dans les meilleurs délais afin de favoriser la réalisation des objectifs de l'entité.

soc2-2017-cc-7-2-1

Des règles, procédures et outils de détection sont définis et mis en œuvre sur l'infrastructure et les logiciels pour identifier les intrusions potentielles, les accès inappropriés et les anomalies dans le fonctionnement des systèmes ou les activités inhabituelles sur ceux-ci. Les procédures peuvent inclure un processus de gouvernance défini pour la détection et la gestion des événements de sécurité, l'utilisation de sources de renseignements pour identifier les nouvelles menaces et vulnérabilités, et la journalisation des activités système inhabituelles.

soc2-2017-cc-7-2-2

Les mesures de détection sont conçues pour identifier les anomalies qui pourraient résulter d'une compromission réelle ou tentée des barrières physiques, d'actions non autorisées du personnel autorisé, de l'utilisation d'identifiants et d'informations d'authentification compromis, d'un accès non autorisé depuis l'extérieur des limites du système, de la compromission de tiers externes autorisés, et de l'implémentation ou de la connexion de matériel et de logiciels non autorisés.

soc2-2017-cc-7-3-2

Les événements de sécurité détectés sont communiqués aux personnes responsables de la gestion du programme de sécurité, qui les examinent et prennent des mesures si nécessaire.

soc2-2017-cc-8-1-1

Un processus de gestion des modifications du système tout au long de son cycle de vie et de celui de ses composants (infrastructure, données, logiciels, procédures manuelles et automatisées) est utilisé pour atteindre les objectifs de l'entité.

soc2-2017-cc-8-1-14

Un processus est en place pour identifier, évaluer, tester, approuver et implémenter les correctifs en temps opportun sur l'infrastructure et les logiciels.

soc2-2017-cc-8-1-5

Un processus est en place pour suivre les modifications apportées au système avant leur implémentation.

soc2-2017-p-4-2-1

Les informations personnelles ne sont pas conservées plus longtemps que nécessaire pour atteindre les objectifs énoncés, sauf si une loi ou un règlement en disposent autrement.

soc2-2017-p-4-2-2

Des règles et procédures ont été mises en place pour protéger les informations personnelles contre l'effacement ou la destruction pendant la période de conservation spécifiée.

soc2-2017-pi-1-2-3

Les enregistrements des activités d'entrée système sont créés et tenus à jour de manière complète et précise, et dans les délais impartis.

soc2-2017-pi-1-3-4

Les activités de traitement du système sont enregistrées de manière complète et précise dans les délais impartis.

soc2-2017-pi-1-5

L'entité met en œuvre des règles et des procédures pour stocker les entrées, les éléments en cours de traitement et les sorties de manière complète, précise et rapide, conformément aux spécifications du système, afin d'atteindre ses objectifs.

soc2-2017-pi-1-5-1

Les éléments stockés sont protégés contre le vol, la corruption, la destruction ou la détérioration qui pourraient empêcher la sortie de répondre aux spécifications.

soc2-2017-pi-1-5-2

Les enregistrements système sont archivés, et les archives sont protégées contre le vol, la corruption, la destruction ou la détérioration qui pourraient les rendre inutilisables.

Étapes suivantes