L'ANSSI propose 42 mesures minimales d'hygiène informatique

Les points 18 et 31 plairont à l'Intérieur 65
En bref
image dediée
Securité
Par
le mercredi 25 janvier 2017 à 17:00
Guénaël Pépin

L'Agence de sécurité informatique de l'État liste tout ce qu'une entreprise ou un organisme doit contrôler en matière de numérique. Un travail de fond qui doit notamment s'appuyer sur des produits qualifiés par l'agence et le chiffrement, quand disponibles.

Alors que le Forum international de la cybersécurité (FIC) bat son plein à Lille, l'Agence nationale de sécurité des systèmes d'information (ANSSI) a mis à jour son guide d'hygiène informatique. D'abord publié en 2013, il a été renouvelé pour être plus complet et mieux prendre en compte de nouveaux usages. Attention, il ne s'agit pas de conseils pour les particuliers, mais pour les organisations et entreprises, avec leurs problèmatiques spécifiques.

Revisiter son informatique de fonds en combles

Le guide « est né du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée » indique l'ANSSI dans son communiqué. Il est donc primoridal que le document soit compréhensible, avec 42 mesures à mettre en place.

Concrètement, le guide s'attarde sur chaque aspect de l'entreprise, de la gestion des accès et des permissions des employés, au schéma et à la sécurité du réseau de l'entreprise, en passant par la prise en compte des terminaux mobiles et l'analyse des risques. Autant dire que chaque point n'est pas une simple case à cocher, mais un travail continu, qui peut demander des ressources importantes, même à de petites entreprises. Le principal étant de formaliser et noter ce qui peut l'être, ainsi que de réduire le risque humain, en imposant par exemple une authentification forte et des mots de passe sûrs quand c'est possible.

 Privilégier les produits qualifiés par l'ANSSI

Comme l'indique l'agence, cette mise à jour concerne notamment les technologies, les pratiques et la séparation des usages. Comme semble le suggérer le guide, l'usage de terminaux personnels ou l'accès aux données professionnelles en dehors de son réseau sont encore des défis.

Le dernier point est de privilégier les produits qualifiés par l'ANSSI, qui sont entre autres inspectés selon les besoins de l'administration et sur leur sécurité technique. Il reste que ce n'est pas une solution miracle, les qualifications étant en retard dans des domaines comme le cloud, et que la normalisation européenne est encore balbutiante. Dans l'ensemble, ces mesures sont un socle minimum « non exhaustif » pour garantir cette fameuse hygiène informatique. Une notion qu'Axelle Lemaire, secrétaire d'État au numérique, a d'ailleurs dit ne pas apprécier.


chargement
Chargement des commentaires...