Accueil>Référentiel de mesures
Référentiel de mesures
| Identifiant | Mesure | Description | Catégorie | Référentiel |
|---|---|---|---|---|
| #0001 | Etablir la liste de l'ensemble des services et données à protéger | Lister l'ensemble des activités, services et données du système d'information à protéger, et mettre à jour cette liste a minima annuellement ou en cas de changement. Cette mesure permet d'identifier les éléments métier à protéger au sein du système d'information. | Gouvernance | ANSSI |
| #0002 | Etablir et tenir à jour la liste des équipements et des applicatifs contribuant au fonctionnement du système d'information | Lister les équipements et les applicatifs qui sont utilisés au sein du système d'information, et tenir à jour cette liste. Cette mesure permet d'identifier les éléments techniques à protéger au sein du système d'information. | Gouvernance | ANSSI |
| #0003 | Minimiser les données stockées aux seules données nécessaires aux traitements | S'assurer que seules les données nécessaires au système d'information sont stockées. Cette mesure permet la conformité à certaines réglementations, peut potentiellement réduire les coûts liés au stockage des données ainsi que l'impact d'une fuite de données. | Gouvernance | ANSSI |
| #0014 | Réaliser une analyse de la conformité aux exigences réglementaires et normatives applicables | Réaliser et maintenir à jour une analyse de la conformité du système d'information vis-à-vis des exigences réglementaires et normatives applicables afin d'identifier les écarts avec les mesures mises en œuvre au sein du système d'information. Cette mesure permet de s'assurer de la conformité du système d'information aux réglementations et normes devant être appliquées. | Gouvernance | ANSSI |
| #0163 | Définir et mettre en œuvre en continu un plan d'action de renforcement de la cybersécurité | Formaliser et mettre en œuvre un plan d'action de renforcement de la cybersécurité se basant sur les analyses de la conformité du système d'information vis-à-vis des exigences réglementaires et normatives applicables, les audits et autres analyses réalisés sur le système. Les actions doivent être caractérisés par un porteur et une échéance réalisable. Cette mesure permet une amélioration continue de la sécurité du système d'information. | Gouvernance | ANSSI |
| #0013 | Vérifier a minima annuellement les politiques et procédures de sécurité et les mettre à jour si nécessaire | Vérifier tous les ans ou en cas d'évolutions majeures de la menace, du contexte métier, technique ou organisationnel que les politiques et procédures liées au système d'information sont à jour et pertinentes. Cette mesure permet de s'assurer que les règles de sécurité stratégiques et opérationnelles sont toujours applicables au système d'information et aux activités liées. | Gouvernance | ANSSI |
| #0022 | Identifier ou fixer les engagements des prestataires en matière de sécurité | En cas de recours à des prestataires, fixer, si possible dès les clauses contractuelles, les exigences de sécurité à respecter. Dans le cas où ces exigences ne peuvent pas être fixées a priori, identifier l'ensemble des exigences de sécurité que s'engagent à respecter les prestataires. Cette mesure permet d'éclairer la sélection des prestataires en fonction des garanties de sécurité que ces derniers s'engagent à respecter, et, dans la mesure du possible, de contrôler ces garanties. | Gouvernance | ANSSI |
| #0023 | Contrôler la conformité des prestataires aux exigences de sécurité | Auditer périodiquement les prestataires afin de s'assurer du respect des exigences de sécurité identifiées ou fixées au sein des clauses contractuelles, et sanctionner les prestataires de façon adaptée lorsque cela est possible. Ces audits doivent présenter, une synthèse des conformités, les constats et les recommandations en cas de non conformité ainsi que permettre la construction d'un plan d'action. Cette mesure permet de s'assurer du niveau de sécurité des prestations réalisées, afin de réduire la vraisemblance d'une attaque par rebond via les prestataires. | Protection | ANSSI |
| #0024 | Mettre en œuvre des bonnes pratiques de développement sécurisé | Imposer aux développeurs des bonnes pratiques de développement sécurisé. Cette mesure permet de réduire les risques de compromission du code due à la compromission des accès des développeurs ou à une altération du code (intentionnelle ou non). | Gouvernance | ANSSI |
| #0016 | Lister les prestataires et fournisseurs avec leurs coordonnées | Lister les prestataires et fournisseurs contribuant à la réalisation des activités du système d'information avec lesquels il existe une relation contractuelle et formaliser leur coordonnées de contact. Mettre cette liste à jour a minima annuellement. Cette mesure permet le suivi des prestations permettant les communications en cas d'incident ainsi que, dans la mesure du possible, le suivi opérationnel de la prestation. | Gouvernance | ANSSI |
| #0017 | Lister les interconnexions avec le système d'information et leur point de contact | Lister les interconnexions du système d'information à d'autres systèmes (externes et/ou internes) et renseigner un point de contact pour chacune de ces interconnexions. Mettre cette liste à jour a minima annuellement. Cette mesure permet le suivi des communications ouvertes et autorisées entre le système d'information et son écosystème, permettant ainsi la mise en place de mesures de filtrage et de cloisonnement ainsi que la réaction efficace en cas de compromission d'un système interconnecté. | Gouvernance | ANSSI |
| #0018 | Héberger le système d'information et les données au sein de l'Union européenne | Privilégier le recours à un hébergeur proposant la localisation au sein de l'Union européenne du service numérique et des données. Cette mesure permet de renforcer la protection des données grâce aux garanties offertes par la réglementation européenne et à faciliter les actions de remédiation et d'investigation en cas d'incident de sécurité. | Gouvernance | ANSSI |
| #0019 | Héberger le système d'information et les données auprès d'un prestataire d'informatique en nuage qualifié SecNumCloud | Privilégier le recours à un prestataire de service en nuage (Cloud) qualifié SecNumCloud par l'ANSSI. Cette mesure permet d'apporter des garanties élevées en matière de confiance et de sécurité de l'hébergement du service et de ses données. | Gouvernance | ANSSI |
| #0020 | Privilégier l'achat d'un nom de domaine en .fr, .eu ou un autre nom de domaine de confiance | Lors de l'achat du nom de domaine du service, acheter de préférence un nom de domaine en .fr ou .eu. Cette mesure permet de renforcer la confiance des utilisateurs dans le service et la protection du service au titre des règlementations européennes associées à la localisation européenne du nom de domaine. | Gouvernance | ANSSI |
| #0021 | Acheter un ou plusieurs noms de domaine proches du nom de domaine du site web | Lors du choix du nom de domaine du service numérique, procédez à l'achat d'un ou plusieurs noms de domaines proches du nom de domaine du service numérique, par exemple en changeant des lettres ou en achetant des noms de domaine avec d'autres extensions (ex. .com ou .net). Cette mesure permet de limiter le risque de typosquatting (ex. utilisation de noms de domaines proches contenant des modifications typographiques discrètes), permettant de rediriger les utilisateurs vers un site malveillant. | Gouvernance | ANSSI |
| #0026 | Mettre en œuvre un programme de sensibilisation à la sécurité pour l'ensemble des acteurs intervenant sur le système d'information | Sensibiliser à la sécurité numérique les utilisateurs, administrateurs et prestataires ayant accès aux équipements et/ou applicatifs du système d'information. Cette mesure permet de réduire la vraisemblance de compromission des utilisateurs, administration et prestataires ou de leurs ressources par un attaquant externe et permet d'accélérer le signalement d'incident. | Gouvernance | ANSSI |
| #0028 | Formaliser et mettre en œuvre un processus de gestion des arrivées, départs et changements de fonction | Définir et mettre en œuvre un processus de gestion des arrivées, des départs et des changements de fonction des personnels et des tiers accédant au système d'information. Ce processus prévoit : - La prise connaissance des règles de sécurité lors de l'arrivée, - L'attribution des accès appropriés lors de l'arrivée, - La mise à jour des accès lors d'un changement de fonction, - La désactivation de l'ensemble des accès logiques et physiques lors du départ. Cette mesure permet de réduire la vraisemblance d'utilisation d'un compte obsolète par un attaquant externe ou l'utilisation des accès obsolètes par un attaquant interne. | Gouvernance | ANSSI |
| #0032 | Formaliser et tenir à jour le dossier d'architecture du système d'information | Formaliser et tenir à jour un dossier d'architecture technique du système d'information. Cette mesure permet d'assurer le maintien en condition opérationnel et de sécurité du système (ex. être en capacité d'identifier les équipements ou applicatifs vulnérables suite à la publication d'un bulletin d'alerte) ainsi que de pouvoir réagir sans retard injustifié à un incident de sécurité affectant ce système (ex. être capable d'identifier les équipements ou applicatifs affectés par un incident afin d'en limiter les conséquences). | Gouvernance | ANSSI |
| #0049 | Chiffrer les données stockées au repos | Chiffrer les données stockées au repos via des algorithmes à l'état de l'art et s'assurer du cycle de vie sécurisé des clés de chiffrement. Cette mesure permet de réduire la vraisemblance de récupération de données non chiffrées par un attaquant. | Protection | ANSSI |
| #0050 | Anonymiser les données collectées concernant l’utilisation du système d'information par les utilisateurs | Configurer le service en vue d'anonymiser autant que possible les données à caractère personnel des utilisateurs conservées pour le bon fonctionnement ou la sécurité du service (ex. log de tentatives d'accès au service) ou à des fins d'analyse (ex. statistiques). Cette mesure permet de protéger les utilisateurs contre la traçabilité nominative de leurs actions dans le cadre de l'utilisation du service tout en permettant d'assurer la sécurité de ce dernier au travers du suivi et de l'imputabilité des actions. | Protection | ANSSI |
| #0033 | Formaliser et mettre en œuvre une procédure de maintien en conditions opérationnelles et de sécurité des équipements et applicatifs | Formaliser et mettre en œuvre une procédure de maintien en condition opérationnelle et de sécurité des ressources matérielles et logicielles du système d'information. Cette mesure permet de minimiser les temps d'arrêt des systèmes d'information, de garantir que celui-ci fonctionne à un niveau de performance voulu et adapté, et corriger les vulnérabilités du système d’information avant qu’elles ne soient exploitées. | Protection | ANSSI |
| #0042 | Informer l’utilisateur du canal officiel à utiliser pour le téléchargement de l’application mobile | Informer l’utilisateur du canal officiel à utiliser pour le téléchargement de l’application mobile (par exemple, via le store de l'entreprise configuré via la solution de management de la flotte). Cette mesure permet de faciliter les mises à jour de l'application par les utilisateurs et réduit le risque que des acteurs malveillants proposent au téléchargement une version de l'application susceptible de contenir un applicatif malveillant. | Gouvernance | ANSSI |
| #0043 | Effacer les données des équipements avant toute réattribution | Avant toute réutilisation d’un équipement (serveur, poste de travail, terminal mobile ou périphérique de stockage), toutes les données qu’il contient doivent être intégralement effacées. Par exemple, cela peut être réalisé via un effacement comprenant plusieurs passes de réécriture, puis via un chiffrement du support avant la réinitialisation aux paramètres d'usine. Cette mesure permet de réduire la vraisemblance de fuite des informations suite à la réutilisation d'un équipement. | Protection | ANSSI |
| #0174 | Effacer les données des équipements avant toute mise au rebut | Avant toute mise au rebut d’un équipement informatique (serveur, poste de travail, terminal mobile ou périphérique de stockage), toutes les données qu’il contient doivent être intégralement effacées. Par exemple, cela peut être réalisé : - Pour un équipement n’ayant pas hébergé d’informations sensibles selon la classification interne : via un effacement sécurisé comprenant plusieurs passes de réécriture puis via le chiffrement du disque, - Pour un équipement ayant hébergé des informations sensibles selon la classification interne : via un effacement sécurisé comprenant plusieurs passes de réécriture, un chiffrement du disque puis une destruction physique irréversible. Cette mesure permet réduire la vraisemblance de fuite des informations suite à la mise au rebut d'un équipement. | Protection | ANSSI |
| #0046 | Mettre à jour systématiquement les postes de travail | S'assurer des mises à jour sans délai injustifié des OS des postes de travail et des applicatifs sur ces postes de travail. Cette mesure permet de réduire la vraisemblance de compromission des postes de travail suite à l'exploitation d'une vulnérabilité. | Protection | ANSSI |
| #0047 | Mettre à jour systématiquement les serveurs et services | S'assurer de la mise à jour sans délai injustifié des OS et applicatifs installés des serveurs. Cette mesure permet de réduire la vraisemblance de compromission des serveurs suite à l'exploitation d'une vulnérabilité. | Protection | ANSSI |
| #0048 | Déployer et tenir à jour un pare-feu permettant de filtrer les communications avec le système d'information | S'assurer de la mise à jour sans délai injustifié des pare-feux utilisés au sein du système d'information. Cette mesure permet de s'assurer que les pare-feux restent fiables et continuent d'apporter le niveau de sécurité attendu. | Protection | ANSSI |
| #0166 | Garantir l'installation sans délai injustifié des correctifs de sécurité sur l'ensemble des équipements et applicatifs | Planifier et installer sans retard injustifié au regarde de la nature de la vulnérabilité les correctifs de sécurité sur l'ensemble des équipements et applicatifs du système d'information. Si des raisons techniques ou opérationnelles ne permettent pas l’installation des correctifs de sécurité, mettre en œuvre des mesures d’atténuation pour réduire les risques liés. Cette mesure permet de réduire la vraisemblance d'exploitation d'une vulnérabilité connue sur le système d'information. | Protection | ANSSI |
| #0035 | Réaliser une veille régulière des vulnérabilités, des campagnes de compromission, des correctifs et des mesures d'atténuation | Mettre en œuvre une veille sur les vulnérabilités, les correctifs de sécurité et les mesures d'atténuation préconisées susceptibles de concerner les applicatifs et équipements du système d'information. Ces alertes peuvent notamment être diffusées par les fournisseurs ou fabricants des applicatifs et équipements, par des prestataires contractualisés pour réaliser cette veille ou par des centres de prévention et d'alerte en matière de cyber sécurité. Cette mesure permet d'identifier de potentielles vulnérabilités sur les applicatifs et équipements du système d'information pour les corriger avant exploitation par un attaquant. | Protection | ANSSI |
| #0036 | Garantir l'installation sans délai injustifié des correctifs de sécurité sur les ressources exposées, les annuaires et les postes de travail | Mettre en œuvre sans retard injustifié au regarde de la nature de la vulnérabilité les actions visant à l'installation des correctifs de sécurité sur les équipements et applicatifs exposés à des systèmes d'information tiers, les annuaires gérant les utilisateurs ou les ressources et les postes de travail des utilisateurs. Si des raisons techniques ou opérationnelles ne permettent pas l’installation des correctifs de sécurité, mettre en œuvre des mesures d’atténuation pour réduire les risques liés. Cette mesure permet de réduire la vraisemblance d’exploitation d’une vulnérabilité en s’assurant que les vulnérabilités connues sont corrigés de façon adaptée et efficace. | Protection | ANSSI |
| #0037 | Installer uniquement des applicatifs récents et maintenus à jour par les éditeurs | Installer et maintenir à jour les ressources logicielles du système d'information (dont les systèmes embarqués) dans des versions supportées par les fournisseurs ou fabricants et comportant les mises à jour de sécurité. Si des raisons techniques ou opérationnelles ne permettent pas l'installation d'une version supportée par les fournisseurs ou fabricants, mettre en œuvre des mesures pour réduire les risques liés à l'utilisation d'une version obsolète (cloisonnement, gestion des accès, traçabilité). Cette mesure permet de s'assurer que les applicatifs installés sont maintenus par les fournisseurs ou fabriquants et qu'ils continuent à bénéficier de correctifs de sécurité. | Protection | ANSSI |
| #0038 | Garantir l'installation régulière des mises à jour fonctionnelles et de sécurité | S'assurer de l'installation régulière des mises à jour fonctionnelles et de sécurité. Si des raisons techniques ou opérationnelles ne permettent pas l'installation des nouvelles versions, mettre en œuvre des mesures pour réduire les risques liés à l'utilisation d'une version obsolète (cloisonnement, gestion des accès, traçabilité). Cette mesure permet de s'assurer que les mises à jour fournies par les fournisseurs ou fabricants sont installées afin de réduire la vraisemblance d'exploitation d'une vulnérabilité sur une version obsolète d'un applicatif. | Protection | ANSSI |
| #0039 | Télécharger uniquement les mises à jour officielles mises à disposition par les fournisseurs | S'assurer que toute nouvelle version est téléchargée depuis les ressources officielles mises à disposition par les éditeurs ou les fournisseurs. Cette mesure permet de s'assurer de l'installation de versions officielles, et donc de réduire la vraisemblance d'installation d'une version compromise. | Protection | ANSSI |
| #0051 | Remplir le registre des traitements et le tenir à jour | Rapprochez-vous de votre DPD ou de l’équipe juridique pour compléter le registre avec les 6 informations suivantes : les parties prenantes (responsable de traitement, sous-traitants, catégories de destinataires) qui interviennent dans le traitement des données, les catégories de données traitées et de personnes concernées, le but poursuivi (ce que vous faites des données), qui a accès aux données et à qui elles sont communiquées, combien de temps vous les conservez, comment elles sont sécurisées. Plus d’information ici. Cette mesure permet de se rapprocher de la conformité à l'article 30 du RGPD ainsi que d'identifier l'ensemble des traitements de données à caractère personnel afin de les protéger. | Gouvernance | CNIL |
| #0052 | Minimiser la collecte des données à caractère personnel au strict nécessaire | Evaluer le but de chaque collecte de données. Ne collecter que les données strictement nécessaires pour atteindre votre objectif. Il ne faut pas collecter des données inutiles pour votre traitement en se disant qu’elles pourraient servir plus tard. Lorsque trop de données sont collectées, il faut immédiatement supprimer les données non-nécessaires. Cette mesure permet de limiter la collecte des données personnelles uniquement aux informations essentielles pour réaliser un objectif spécifique. Cela réduit les risques liés à la gestion des données et renforce la protection de la vie privée des personnes. | Gouvernance | CNIL |
| #0053 | Limiter la durée de traitement et de conservation des données à caractère personnel au strict nécessaire | Ne conserver les données en « base active » (ou environnement de production) que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Il faut ensuite détruire ou anonymiser les données ou les archiver dans le respect des obligations légales applicables en matière de conservation des archives publiques. Vous pouvez consulter le guide pratique prévu à cet effet. Cette mesure permet de limiter le temps pendant lequel les données personnelles sont conservées et traitées, réduisant ainsi les risques de mauvaise utilisation, d'accès non autorisé, de fuite de données ou de réutilisation non-anticipée. | Gouvernance | CNIL |
| #0054 | Fournir des informations aux personnes concernées sur l'utilisation de leurs données à caractère personnel. | Informer clairement les personnes lors de la collecte de leurs données de manière à ce qu’elles puissent : - connaître la raison de la collecte des différentes données les concernant ; - comprendre le traitement qui sera fait de leurs données ; - être assurées de la maîtrise de leurs données, notamment via l’exercice de leurs droits. La liste complète des informations à fournir est disponible ici. Cette mesure permet aux personnes concernées de conserver la maîtrise de leurs données. Cela suppose qu’elles soient clairement informées de l’utilisation qui sera faite de leurs données. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits. Plus d’information ici. | Gouvernance | CNIL |
| #0055 | Fournir des informations aux personnes concernées sur les modalités d'exercice des droits. | Permettre aux personnes d’exercer leurs droits d’accès aux données qui les concernent, de rectification ou de suppression, voire d’opposition (sauf si le traitement répond à une obligation légale). Une réponse à une demande de droit d’accès doit contenir une copie des données ainsi que : l’objectif du traitement des données, si possible sa durée, l'identité des destinataires, dans le cas d’un traitement automatisé sa logique et ses conséquences. Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée. Plus d’informations sont disponibles ici. Cette mesure permet d'informer les personnes concernées sur les modalités d'exercice de leurs droits. | Gouvernance | CNIL |
| #0056 | Vérifier si une analyse sur la protection des données à caractère personnel doit être réalisée. | Consulter la liste des exemptions. Si votre traitement n’y figure pas, regarder s’il fait partie des traitements pour lesquels une AIPD est obligatoire. Si une AIPD est nécessaire, vous pouvez la réaliser à l’aide du logiciel PIA. Cette mesure permet d'identifier et dans le cas échant de réaliser une AIPD, c'est-à-dire une Analyse d'Impact sur la Protection des Données (AIPD). Cette analyse vise à évaluer et à atténuer les risques liés au traitement des données personnelles, surtout dans le cas de traitements susceptibles de présenter des risques élevés pour les droits et libertés des individus. | Gouvernance | CNIL |
| #0057 | Restreindre l'accès aux locaux aux seules personnes autorisées. | Restreindre l'accès aux locaux (bureaux, salles serveurs, locaux techniques, etc.) via des mesures de sécurité (ex. tenue d'un registre des visiteurs, badge d'accès) et s'assurer que les personnes externes accédant aux locaux techniques et salles serveurs sont accompagnées ou dûment autorisées. Cette mesure permet de réduire la vraisemblance de l'intrusion physique d'un attaquant pouvant porter atteinte au système d'information. | Protection | ANSSI |
| #0058 | Mettre en place des mécanismes de protection physique et de contrôle d'accès aux locaux, salles serveur et locaux techniques | S'assurer de la protection physique des locaux, salles serveurs et locaux techniques afin de prévenir, surveiller et réagir aux accès non autorisés (ex. vidéosurveillance, gardiennage, alarmes). Cela doit notamment être mis en place via un contrôle d'accès à ces locaux en s'assurant que les droits d'accès physiques sont attribués au regard du besoin strictement nécessaire à l'exécution des missions des personnes. Cette mesure permet de réduire la vraisemblance de l'intrusion physique d'un attaquant pouvant porter atteinte au système d'information. | Protection | ANSSI |
| #0059 | Cloisonner le système d'information des systèmes non maîtrisés | Cloisonner physiquement ou logiquement le système d'information des systèmes d'informations non maîtrisés, c'est-à-dire des systèmes d'information tiers ou des systèmes d'information sur lesquels les travaux de sécurisation selon le besoin de sécurité n'ont pas été réalisés. Ce cloisonnement peut par exemple être réalisé par VLAN (réseau), par VM (calcul) ou par volume (stockage). Cette mesure permet de réduire la vraisemblance de compromission du système d'information par rebond sur un système d'information non maîtrisé. | Protection | ANSSI |
| #0060 | Cloisonner le système d'information des autres systèmes | Cloisonner physiquement ou logiquement le système d'information de l'ensemble des autres systèmes d'informations. Ce cloisonnement peut par exemple être réalisé par VLAN (réseau, par VM (calcul) ou par volume (stockage). Cette mesure permet de réduire la vraisemblance de compromission du système d'information par rebond sur un autre système d'information. | Protection | ANSSI |
| #0061 | Identifier les éventuels sous-systèmes du système d'information et les cloisonner entre eux | Définir, lorsque cela est pertinent, des sous-systèmes au sein du système d'information et cloisonner physiquement ou logiquement ces sous-systèmes entre eux. Un sous-système regroupe des ressources assurant des fonctionnalités similaires et ayant des niveaux de sensibilité, d'exposition et de sécurité homogènes. Si aucun sous-système n'est identifié, en apporter la justification dans le dossier d'homologation. Cette mesure permet de réduire la vraisemblance de compromission des sous-systèmes les plus sensibles par rebond depuis un autre sous-système et de réduire le périmètre impacté en cas de compromission. Par exemple, cette mesure permet de cloisonner les sous-systèmes "Présentation", "Application" et "Données". | Protection | ANSSI |
| #0062 | Mettre en œuvre des passerelles entrante et sortante entre le système d'information et les systèmes tiers | Mettre en œuvre au moins deux sous-systèmes passerelles : - Sortante: permettant aux ressources du système d'information d'accéder aux systèmes tiers tout en authentifiant, filtrant et traçant ces communications (ex. pour permettre la navigation web), - Entrante : permettant d'exposer les ressources du système d'information aux systèmes tiers tout en filtrant et traçant ces communications (ex. serveur de réception SMTP, serveur web). Ces passerelles sont constituées d’une ou plusieurs « DMZ » qui doivent être des zones neutres, perdables, protégées par des pare-feux périmétriques et servant, en leur sein et autant que possible, à la rupture protocolaire et à l’analyse du trafic échangé entre un réseau public et le système d'information. Cette mesure permet de réduire la vraisemblance de compromission du système d'information par rebond sur un système d'information non maîtrisé. | Protection | ANSSI |
| #0063 | Ouvrir uniquement les interconnexions nécessaires entre le système d'information et les systèmes non maîtrisés | Définir et mettre en œuvre uniquement les interconnexions nécessaires à la réalisation des activités et services (ou au maintien en condition opérationnelle ou de sécurité) du système d'information avec les systèmes d'informations non maîtrisés, c'est-à-dire des systèmes d'information tiers ou des systèmes d'information sur lesquels les travaux de sécurisation selon le besoin de sécurité n'ont pas été réalisés. Cette mesure permet de réduire la surface d'exposition du système d'information et ainsi de réduire sa vraisemblance de compromission par rebond depuis un système d'information non maîtrisé. | Protection | ANSSI |
| #0064 | Ouvrir uniquement les interconnexions nécessaires entre le système d'information et les autres systèmes | Définir et mettre en œuvre uniquement les interconnexions nécessaires à la réalisation des activités et services (ou au maintien en condition opérationnelle ou de sécurité) du système d'information avec l'ensemble des autres systèmes d'information, et mettre en œuvre un filtrage des communications entre ces systèmes. Cette mesure permet de réduire la surface d'exposition du système d'information et ainsi de réduire sa vraisemblance de compromission par rebond depuis un autre système d'information. | Protection | ANSSI |
| #0066 | Documenter et autoriser uniquement les communications nécessaires via des règles de filtrage entre le système d'information et les systèmes non maîtrisés | Définir les communications nécessaires à la réalisation des activités et services (ou au maintien en condition opérationnelle de sécurité) du système d'information avec des systèmes d'information non maîtrisés, c'est-à-dire des systèmes d'information tiers ou des systèmes d'information sur lesquels les travaux de sécurisation selon le besoin de sécurité n'ont pas été réalisés. Mettre en œuvre, au niveau de ces interconnexions, des règles de filtrage pour n'autoriser que les communications identifiées avec les systèmes d'information non maîtrisés via un ou des pares-feux dédiés. Cette mesure permet de réduire la vraisemblance de compromission du système d'information par rebond sur un système d'information non maîtrisé. | Protection | ANSSI |
| #0067 | Documenter et autoriser uniquement les communications nécessaires via des règles de filtrage entre le système d'information et les autres systèmes | Définir les communications nécessaires à la réalisation des activités et services (ou au maintien en condition opérationnelle de sécurité) du système d'information avec l'ensemble des autres systèmes d'information. Mettre en œuvre, au niveau de ces interconnexions, des règles de filtrage pour n'autoriser que les communications identifiés avec l'ensemble des systèmes d'information via un ou des pares-feux dédiés. Cette mesure permet de réduire la vraisemblance de compromission du système d'information par rebond sur un autre système d'information. | Protection | ANSSI |
| #0068 | Effectuer a minima annuellement une revue de la mise en œuvre technique des règles de filtrage | Réaliser a minima annuellement une revue de la mise en œuvre technique des règles de filtrage en place pour les communications entrantes et sortantes sur le système d'information. Cette mesure permet de s'assurer de l'efficacité des règles de filtrages mises en œuvre et ainsi de réduire la vraisemblance de compromission du système d'information par rebond sur un autre système d'information. | Protection | ANSSI |
| #0069 | Recourir à un service de protection contre les attaques par déni de service | Recourir à un service permettant de protéger le service contre les attaques de type «déni de service» (ex. attaques par déni de service distribué dites « DDoS »). Cette mesure permet de réduire le risque d'indisponibilité partielle ou totale du service. | Protection | ANSSI |
| #0070 | Installer un parefeu applicatif web (WAF) | S'assurer d'installer un pare-feu applicatif ("WAF") pour filtrer les flux applicatifs entrant du système d'information. Cette mesure permet de filtrer les communications entre les utilisateurs et le système afin de protéger le système des attaques courantes (ex. Injection SQL, cross-site scripting). | Protection | ANSSI |
| #0071 | Filtrer les flux sur les postes de travail | Mettre en œuvre un filtrage des flux sur le poste de travail, par exemple via un pare-feu local. Cette mesure permet de réduire l'exposition aux sources de risque et de contrôler les communications autorisées afin de réduire la vraisemblance de compromission des postes de travail par un attaquant . | Protection | ANSSI |
| #0072 | Mettre en place un mécanisme de rate-limit | Mettre en œuvre un mécanisme de rate-limit sur les services exposés. Cette mesure permet de réduire la vraisemblance de diverses attaques telles que les déni de service, les attaques par force brute et la sur-utilisation d'API. | Protection | ANSSI |
| #0073 | Mettre en œuvre une solution d'anti-spam et d'anti-hameçonnage | Mettre en œuvre une solution d'anti-spam et d'anti-hameçonnage. Les systèmes de messagerie sont un des principaux vecteurs d’attaques puisque très largement utilisés et exposés sur internet. Qu’il s’agisse de la compromission d’un poste au travers de l’ouverture de pièces jointes contenant un code malveillant, d’un clic malencontreux sur un lien redirigeant vers un site lui-même malveillant (phishing ou hameçonnage) ou de l’exploitation d’une vulnérabilité et d’un défaut de paramétrage du service de messagerie. Cette mesure permet donc de réduire le risque qu’un utilisateur se fasse piéger par un message malveillant. | Protection | ANSSI |
| #0172 | Mettre en œuvre des mécanismes permettant de contrôler l'authenticité des messages électroniques envoyés au nom du domaine du système d'information | Mettre en œuvre des mécanismes permettant de contrôler l'authenticité des messages électroniques envoyés au nom du domaine du système d'information, via la mise en œuvre conjointe de politiques d’identification des serveurs d’envoi (SPF), de signature des messages (DKIM) et de validation des résultats d’authentification (DMARC). Cette mesure permet de vérifier que les messages envoyés au nom du domaine du système d'information proviennent effectivement de serveurs autorisés et ainsi de réduire les risques d’usurpation d’adresse. | Protection | ANSSI |
| #0074 | Mettre en œuvre un mécanisme de chiffrement pour les accès à distance au système d'information | Protéger les accès distants au système d’information à l’aide de protocoles de chiffrement éprouvés (VPN utilisant TLS ou IPSec, ou protocoles applicatifs sécurisés comme TLS/SSL ou SSH), s’appuyant sur les recommandations de l'ANSSI. Cette mesure permet de réduire la vraisemblance de perte de confidentialité des échanges entre les utilisateurs et le système d'information lors des accès à distance. | Protection | ANSSI |
| #0075 | Mettre en place une authentification multifacteur reposant sur au moins un facteur de connaissance pour les accès à distance | Mettre en œuvre un mécanisme d'authentification mutlifacteur pour les accès à distance. Ce mécanisme doit reposer sur au moins un facteur de connaissance ("ce que je sais", comme par exemple l'authentification via une carte à puce associé un code PIN). Lorsque des raisons techniques ou opérationnelles ne permettent pas la mise en œuvre d'un tel mécanisme, mettre en œuvre des mesures permettant de réduire le risque associé. Cette mesure permet de réduire la vraisemblance de compromission des comptes utilisés pour les accès à distance. | Protection | ANSSI |
| #0076 | Chiffrer les disques des équipements autorisés à accéder au système d'information à distance | Chiffrer la mémoire des équipements (postes de travail et équipements mobiles) permettant d'accéder à distance aux systèmes d'information. Par exemple, chiffrer les disques des postes de travail avec un code PIN exigé pour le déchiffrement au démarrage. Cette mesure permet de réduire la vraisemblance de fuite d'information suite à la récupération d'un poste de travail ou d'un équipement mobile par un attaquant. | Protection | ANSSI |
| #0167 | Mettre en œuvre une authentification pour les accès à distance au système d'information par l'entité ou ses prestataires. | S'assurer que les accès à distance au système d'information par l'entité ou ses prestataires sont protégés par un mécanisme d'authentification. Cette mesure permet de s'assurer de l'identité de l'utilisateur se connectant à distance au système d'information, permettant ainsi de réduire la vraisemblance d'un accès non autorisé aux ressources du système d'information. | Protection | ANSSI |
| #0079 | Analyser l'ensemble des données reçues de sources externes afin d'identifier la présence de codes malveillants | Analyser les données reçues de sources externes afin d'identifier la présence de codes malveillants (ex. passerelle mail analysant les pièces jointes avant distribution ou SAS de décontamination antivirale pour les clefs USB). Cette mesure permet de réduire la vraisemblance d'infection des équipements par un malware suite à la réception de code malveillant. | Protection | ANSSI |
| #0034 | Déployer, mettre en œuvre et tenir à jour des moyens de protection des équipements contre les codes malveillants | Installer sur les postes de travail, serveurs et équipements mobiles maîtrisés traitant des données provenant de sources externes des mécanismes de protection contre les risques d'exécution de codes malveillants (ex. antivirus ou Endpoint Detection and Response), maintenir à jour les bases de connaissances de ces outils (base antivirale, signatures, etc.), et traiter les alertes issues de ces mécanismes. Cette mesure permet de réduire la vraisemblance de compromission par des malware (ex. ransomware) des équipements exposés aux sources de risque externes. | Protection | ANSSI |
| #0044 | Installer et tenir à jour un antivirus et/ou un EDR sur tous les postes de travail | Installer sur les postes de travail maîtrisés traitant des données provenant de sources externes des mécanismes de protection contre les risques d'exécution de codes malveillants (ex. antivirus ou EDR), maintenir à jour les bases de connaissances de ces outils (base antivirale, signatures, etc.). Cette mesure permet de réduire la vraisemblance de compromission par des malware (ex. ransomware) des postes de travail aux sources de risque externes. | Protection | ANSSI |
| #0045 | Traiter les alertes générées par les antivirus et/ou les EDR | S'assurer du traitement et réaction dans le cas échéant des alertes des moyens de protection contre les risques d'exécution de codes malveillants (antivirus ou malware). Cette mesure permet de réduire la vraisemblance de compromission par des malware (ex. ransomware) des postes de travail aux sources de risque externes. | Défense | ANSSI |
| #0083 | Modifier les mots de passe ou autres éléments secrets configurés par défaut dans les équipements et applicatifs | Modifier les éléments secrets configurés par défaut, avant la mise en service d'un équipement. Cela demande notamment de s'assurer, avant sélection de l'équipement ou applicatif concerné, qu'il est possible de disposer des moyens et des droits permettant d'effectuer ce changement. Lorsque des raisons techniques ou opérationnelles ne permettent pas de modifier l'élément secret, mettre en œuvre un contrôle d'accès approprié à l'équipement ou au à l'applicatif, la traçabilité de ces accès ainsi que des mesures de réduction du risque lié. Cette mesure permet de réduire la vraisemblance d'utilisation malveillante d'utilisation de compte utilisant le secret par défaut. | Protection | ANSSI |
| #0092 | S'assurer que tous les accès au système d'information sont authentifiés via a minima un secret | Protéger les accès des utilisateurs et processus automatiques aux équipements et applicatifs des systèmes d'information via un mécanisme d'authentification impliquant au moins un secret (ex. mot de passe ou authentification multifacteur tel qu'une carte à puce avec un code PIN). Cette mesure permet de réduire la vraisemblance d'utilisation illégitime des droits suite à une absence d'authentification. | Protection | ANSSI |
| #0162 | Protéger les mots de passe stockés | Dans le cadre de la configuration du service au niveau du serveur d'hébergement, veiller à ne pas stocker les mots de passe « en clair ». Seule une « empreinte » des mots de passe doit être stockée. Cette mesure permet de limiter la capacité d'un attaquant à accéder aux mots de passe en cas de compromission de la base de données des mots de passe. | Protection | ANSSI |
| #0173 | Sauvegarder les mots de passe des acteurs internes travaillant sur le système d'information dans un gestionnaire de mots de passe | Fournir aux acteurs internes travaillant sur le système d'information un gestionnaire de mot de passe et les former à son utilisation. Cette mesure permet de réduire la vraisemblance de stockage non sécurisé des mots de passe par les acteurs internes (ex. sur un bloc note) et ainsi de réduire la vraisemblance de compromission d'un compte. | Protection | ANSSI |
| #0084 | Renouveler les secrets des comptes partagés au départ ou mobilité interne de chaque utilisateur ayant un accès au compte | En cas de compte partagé, renouveler les secrets de ces comptes à chaque retrait d'un utilisateur de ce compte. Lorsque des raisons techniques ou opérationnelles ne permettent pas de modifier l'élément secret, mettre en œuvre un contrôle d'accès approprié à l'équipement ou à l'applicatif ainsi que des mesures de réduction du risque lié. Cette mesure permet de réduire la vraisemblance d'utilisation d'un compte générique par un attaquant externe suite au retrait d'un utilisateur et à la divulgation des secrets liés. | Protection | ANSSI |
| #0085 | Garantir que les secrets des comptes partagés ne sont connus que des utilisateurs autorisés | S'assurer que l'élément secret d'un compte n'est connu que de l'utilisateur autorisé à utiliser le compte (ou des utilisateurs en cas de compte partagé). Cette mesure permet de s'assurer que l'authentification permet d'identifier le ou les utilisateurs ayant réalisé les actions. | Protection | ANSSI |
| #0086 | S'assurer que les facteurs d'authentification utilisés sont conformes aux recommandations de l'ANSSI | S'assurer que les facteurs d'authentification (ex. mot de passe) sont conformes aux recommandations de l'ANSSI en matière de complexité, en tenant compte du niveau de complexité maximal permis par la ressource concernée, et en matière de fréquence de renouvellement. Cette mesure permet de diminuer la vraisemblance de compromission d'un compte par des acteurs malveillants, par exemple en testant plusieurs mots de passe sur la base de mots du dictionnaire. | Protection | ANSSI |
| #0087 | Fixer des contraintes de complexité des mots de passe ou autres secrets aux comptes administrateurs techniques | Fixer des règles de longueur et de complexité des mots de passe lors de la création d'un mot de passe ou de son renouvellement par un administrateurs technique. Lorsque cela est possible, configurer le mécanisme de création de mots de passe pour interdire les mots de passe faibles. Cette mesure permet de diminuer la vraisemblance de compromission d'un compte d'administrateur technique par des acteurs malveillants, par exemple en testant plusieurs mots de passe sur la base de mots du dictionnaire. | Protection | ANSSI |
| #0088 | Fixer des contraintes de complexité des mots de passe ou autres secrets aux comptes des processus | Fixer des règles de longueur et de complexité des mots de passe lors de la création d'un mot de passe de processus automatisé (compte de service) ou de son renouvellement. Lorsque cela est possible, configurer le système d'information pour interdire les mots de passe faibles. Cette mesure permet de diminuer la vraisemblance de compromission d'un compte de processus automatisé par des acteurs malveillants, par exemple en testant plusieurs mots de passe sur la base de mots du dictionnaire. | Protection | ANSSI |
| #0089 | Fixer des contraintes de complexité des mots de passe ou autres secrets aux comptes utilisateurs | Fixer des règles de longueur et de complexité des mots de passe lors de la création d'un mot de passe ou de son renouvellement par un utilisateur. Lorsque cela est possible, configurer le système d'information pour interdire les mots de passe faibles. Cette mesure permet de diminuer la vraisemblance de compromission d'un compte utilisateur par des acteurs malveillants, par exemple en testant plusieurs mots de passe sur la base de mots du dictionnaire. | Protection | ANSSI |
| #0090 | Mettre en place la déconnexion automatique des sessions après une durée déterminée | Configurer le service afin d'activer la déconnexion automatique des sessions des administrateurs et des utilisateurs inactifs après une durée déterminée. Cette mesure permet de limiter le risque d'utilisation, par une personne malveillante, du compte d'un utilisateur, qui aurait laissé son équipement non verrouillé sans surveillance et ne se serait pas déconnecté du service. | Protection | ANSSI |
| #0091 | Mettre en œuvre des protections contre les tentatives de connexion répétées | Mettre en œuvre des protections contre les tentatives de connexion répétées. Ces protections doivent être mises en œuvre sur le serveur. Cette mesure permet de réduire la vraisemblance de récupération de compte via une attaque de type brute force. | Protection | ANSSI |
| #0093 | Restreindre les droits d'accès de chaque utilisateur authentifié aux seules ressources nécessaires | Pour chaque utilisateur, n'attribuer les droits d'accès qu'aux seuls équipements nécessaires à la réalisation des activités et services du système d'information (ou au maintien en condition opérationnelle ou de sécurité). De plus, n'attribuer des droits d'accès qu'aux utilisateurs authentifiés justifiant d'un besoin au regard de leurs missions. Cette mesure permet de limiter le risque d'utilisation par une personne malveillante de droits trop permissifs accordés. | Protection | ANSSI |
| #0094 | Restreindre les droits d'accès de chaque processus authentifié aux seules ressources nécessaires | Pour chaque processus automatisé, n'attribuer les droits d'accès qu'aux seuls équipements nécessaires à la réalisation des activités et services du système d'information (ou au maintien en condition opérationnelle ou de sécurité). De plus, n'attribuer des droits d'accès qu'aux processus authentifiés justifiant d'un besoin au regard de leurs missions. Cette mesure permet de limiter le risque d'utilisation par une personne malveillante de droits trop permissifs accordés. | Protection | ANSSI |
| #0095 | Effectuer une revue des droits d'accès a minima annuellement | Effectuer, au moins annuellement, une revue des droits d'accès devant notamment vérifier le respect de l'attribution des droits selon le besoin au regard des missions et permettre de corriger les anomalies. Cette mesure permet de s'assurer que les droits d'accès octroyés correspondent strictement aux besoins des utilisateurs et processus automatisés au regard de leurs missions. | Protection | ANSSI |
| #0080 | Autoriser uniquement la création de comptes d’accès individuels utilisables uniquement par l'utilisateur ou processus automatique associé | Autoriser uniquement la création de comptes d'accès individuels réservés à l'utilisateur ou au processus automatique auquel chaque compte est attribué. Lorsque des raisons techniques ou opérationnelles ne permettent pas de créer de comptes individuels, mettre en place des mesures permettant de réduire le risque lié à l'utilisation de comptes partagés et d'assurer la traçabilité de l'utilisation de ces comptes (ex. carnet de quart dans une salle de supervision, badgeuse à l'entrée de la salle). Cette mesure permet de s'assurer de la traçabilité des actions au sein du système d'information. | Protection | ANSSI |
| #0081 | Désactiver les comptes non nécessaires dans un délai formalisé | Formaliser et mettre en œuvre une procédure de suppression des comptes inactifs ou non nécessaires, prenant notamment en compte les délais de désactivation des comptes prévus dans la politique de gestion des comptes (ex. sous 7 jours). Cette mesure permet de réduire la vraisemblance d'utilisation d'un compte inactif ou non nécessaire par un attaquant. | Protection | ANSSI |
| #0082 | Supprimer à intervalle régulier les comptes des administrateurs techniques inactifs et non nécessaires | Supprimer à intervalle régulier les comptes des administrateurs techniques, c'est-à-dire les comptes disposant de hauts privilèges sur les infrastructures, inactifs et non nécessaires. Cette mesure permet de réduire la vraisemblance d'utilisation d'un compte inactif ou non nécessaire par un attaquant. | Protection | ANSSI |
| #0169 | Effectuer une revue des comptes a minima annuellement | Effectuer une revue des comptes a minima annuellement permettant de vérifier les éléments suivants : - Les utilisateurs et processus accédant aux ressources des systèmes d'information de l'entité disposent de comptes individuels, - L'emploi d'un compte individuel est réservé à l'utilisateur ou processus auquel ce compte est attribué, - Les comptes qui ne sont plus nécessaires sont désactivés. Cette mesure permet de réduire la vraisemblance d'utilisation d'un compte inactif ou non nécessaire par un attaquant. | Protection | ANSSI |
| #0105 | Identifier et formaliser la liste des ressources du cœur de confiance | Lister et tenir à jour l'ensemble des ressources composant le cœur de confiance du système d'information, c'est-à-dire les annuaires gérant les comptes et ressources, les équipements et applicatifs hébergeant ces annuaires, et les équipements ou comptes permettant de prendre le contrôle de ces annuaires (ex. comptes, hyperviseurs, postes de travail d'administration). Cette mesure permet d'identifier le cœur de confiance afin de pouvoir le protéger. | Gouvernance | ANSSI |
| #0106 | Proscrire les connexions à distance aux ressources d'administration du cœur de confiance via un mécanisme de filtrage sur ces ressources | Interdire via du filtrage les connexions externes à destination des ressources d'administration du cœur de confiance, c'est-à-dire les annuaires gérant les comptes et ressources, les équipements et applicatifs hébergeant ces annuaires, et les équipements ou comptes permettant de prendre le contrôle de ces annuaires (ex. comptes, hyperviseurs, postes de travail d'administration). Cette mesure permet de filtrer les connexions au cœur de confiance, réduisant ainsi la vraisemblance de compromission. | Protection | ANSSI |
| #0107 | Effectuer a minima annuellement une revue de la configuration des annuaires | Réaliser a minima annuellement une revue de la configuration des annuaires gérant les utilisateurs ou les ressources du système d'information afin d'identifier tout élément inutile ou anormal. Il est recommandé pour cela de s'appuyer sur un outil automatisé. Cette mesure permet de s'assurer de la configuration adéquates des annuaires, et ainsi de s'assurer que ces configurations correspondent aux attentes fonctionnelles et de sécurité. | Protection | ANSSI |
| #0161 | Dédier les ressources et comptes d'administration du cœur de confiance à cet usage | Réaliser les actions d'administration du cœur de confiance via des ressources (équipements et applicatifs) et des comptes d'administrations dédiés à cet usage. Cette mesure permet de restreindre les accès avec privilèges au cœur de confiance. | Protection | ANSSI |
| #0096 | N'autoriser les actions d'administration qu'avec des comptes d'administration | N'autoriser les actions d'administration qu'avec des comptes d'administration, et limiter ces comptes à ces seules actions. Cette mesure permet de réduire la vraisemblance de compromission et d'utilisation d'un compte non dédié à l'administration pour réaliser une action nécessitant de hauts privilèges. | Protection | ANSSI |
| #0097 | Restreindre les comptes d'administration aux seules personnes autorisées à administrer | Restreindre l'utilisation des comptes d'administration aux seuls administrateurs ou personnes autorisées à administrer. Cette mesure permet de réduire la vraisemblance d'utilisation d'un compte à haut privilège entrainant une erreur critique non-intentionnelle ainsi que la vraisemblance de compromission d'une compte administrateur d'un utilisateur non sensibilisé et formé aux bonnes pratiques liées à cet usage. | Protection | ANSSI |
| #0098 | Restreindre le périmètre des comptes d'administration | Créer des comptes d'accès d'administration différents dotés de privilèges distincts selon les périmètres. Par exemple, le compte permettant l'administration des postes utilisateurs n'est pas le même que le compte permettant l'administration des serveurs applicatif. La granularité de cette distinction des privilèges dépend de l'entité et de ses pratiques d'administration. Cette mesure permet de limiter la capacité d'action d'acteurs malveillants qui parviendraient à usurper un compte d'administration. | Protection | ANSSI |
| #0099 | Formaliser et tenir à jour en continu une liste des comptes d'administration | Etablir et tenir à jour une liste des comptes d'administration du système d'information. Cette mesure permet de suivre et donc de limiter le nombre de comptes d'administration pouvant être compromis puis utilisés sur le système d'information. | Protection | ANSSI |
| #0100 | Garantir une revue des droits d'accès à chaque modification d'un compte d'administration | Lors de toute modification d'un compte d'administration (ajout, suppression, suspension ou modification des droits associés), vérifier que les droits d'accès sont attribués en cohérence avec les besoins d'utilisation du compte. Pour cela, il est recommandé d'octroyer les droits d'administration au travers de groupes dont les comptes d'administration sont membres. Cette mesure permet de limiter les droits attribués aux comptes des administrateurs afin de réduire l'impact potentiel d'une compromission d'un tel compte. | Protection | ANSSI |
| #0101 | Limiter les droits de chaque administrateur du système d'information au strict nécessaire | Attribuer les droits individuels à chaque compte d'administration en les restreignant autant que possible au périmètre fonctionnel et technique. Pour cela, il est recommandé d'octroyer les droits d'administration au travers de groupes dont les comptes d'administration sont membres. Cette mesure permet de vérifier les droits attribués aux comptes des administrateurs afin de réduire l'impact potentiel d'une compromission d'un tel compte. | Protection | ANSSI |
| #0102 | Limiter drastiquement le nombre d'utilisateurs pouvant administrer localement leur poste de travail | S'assurer de ne créer aux utilisateurs que des comptes utilisateurs ne disposant pas de privilège d’administration sur les postes de travail. Seuls les administrateurs chargés de l’administration des postes doivent disposer de ces droits lors de leurs interventions. Cette mesure permet de réduire les droits des utilisateurs et ainsi réduire la vraisemblance de l’installation non autorisée de logiciels, la modification de paramètres sensibles du système et la propagation de logiciels malveillants avec des droits élevés. | Protection | ANSSI |
| #0104 | Limiter au strict nécessaire le nombre de personnes disposant d’un accès administrateur | N'attribuer des droits d'administration qu'aux comptes nécessaires à la réalisation des activités et services ou au maintien en condition opérationnelle ou de sécurité du système d'information. Cette mesure permet de réduire le nombre de comptes disposant de droits d'administration et pouvant être compromis. | Protection | ANSSI |
| #0109 | Formaliser et mettre en œuvre une procédure de traitement des incidents de sécurité | Formaliser et mettre en œuvre une procédure de traitement des incidents de sécurité affectant les systèmes d'information. Cette mesure permet de s'assurer du traitement efficace des incidents de sécurité afin d'en limiter les impacts. | Défense | ANSSI |
| #0110 | Mettre en œuvre des outils permettant la collecte de signalements d'évènements de sécurité, notamment par les utilisateurs et les prestataires ou fournisseurs | S'assurer de la mise en œuvre des outils permettant de collecter les signalements d'évènements de sécurité par les utilisateurs, prestataires ou fournisseurs. Cette mesure permet de renforcer l'activité de collecte des événements de sécurité | Défense | ANSSI |
| #0111 | Mettre en œuvre des mécanismes permettant d’analyser et de qualifier les événements de sécurité ainsi que d'identifier d'éventuels incidents | Définir et mettre en œuvre des mécanismes permettant d'analyser et de qualifier les évènements de sécurité remontés et d'identifier les incidents potentiels ou avérés. Cette mesure permet de s'assurer de la mise en place des mécanismes permettant l'identification d'incidents de sécurité. | Défense | ANSSI |
| #0112 | Garantir que les causes de chaque incident majeur sont analysées et donnent lieu à un plan d'action | S'assurer qu'après chaque incident majeur, une analyse des causes de l'incident a été réalisée. Cette analyse de cause vise à définir et mettre en œuvre les mesures de sécurité permettant de limiter la vraisemblance d'un nouvel incident ou d'en réduire l'impact. Les preuves de l'analyse doivent être conservées. Cette mesure permet de limiter le risque de récurrence du même incident. | Défense | ANSSI |
| #0114 | Rendre publics un point de contact et des modalités de communication de tout problème de sécurité | Publier sur le système d'information un point de contact et les modalités de communication de tout problème de sécurité. Cette mesure permet aux utilisateurs de signaler des problèmes de sécurité. | Défense | ANSSI |
| #0115 | Lister les personnes à contacter en cas d'incident de sécurité informatique | Lister l'ensembles des personnes (directions, prestataires, équipes techniques, autorités, etc.) devant être contactées en cas d'incident de sécurité informatique. Cette mesure permet d'améliorer l'efficacité de la réponse aux incidents de sécurité informatique. | Défense | ANSSI |
| #0165 | Mettre en œuvre des mécanismes permettant de réagir aux incidents et d'en limiter les conséquences | Définir et mettre en œuvre des mécanismes organisationnels et techniques permettant de réagir en cas d'incident et d'en limiter les conséquences sur les services et activités. Cette mesure permet d'améliorer la maîtrise des conséquences d'un incident de sécurité sur le système d'information. | Résilience | ANSSI |
| #0116 | Formaliser et mettre en œuvre des procédures de sauvegarde et de restauration, et les tester a minima annuellement. | Formaliser et mettre en œuvre des procédures de sauvegarde et de restauration du système d'information et de ses données dont les dimensionnements sont adaptés pour répondre au besoin de disponibilité du système. Tester ces procédures afin de vérifier notamment la bonne réalisation des sauvegardes et leur bonne restauration. Cette mesure permet de s'assurer que le processus de sauvegarde et de restauration est en place et qu'il correspond aux besoins du système. | Résilience | ANSSI |
| #0117 | Protéger les sauvegardes d'un évènement les rendant inexploitables | Protéger les sauvegardes d'un incident les rendant inexploitables (ex. stockage hors-ligne pour répondre à un incident de type rançongiciel). Cela peut notamment être réalisé via la mise en œuvre d'une politique de sauvegarde "3-2-1", c'est-à-dire 3 sauvegardes, sur 2 supports différents, dont 1 hors ligne. Cette mesure permet de protéger les sauvegardes d'un incident les rendant inexploitables (par exemple pour répondre à un incident de type rançongiciel). | Résilience | ANSSI |
| #0118 | Formaliser la durée d'interruption et la perte de données maximales admissibles du système d'information | Formaliser la durée maximale d'interruption admissible (DMIA) et la perte de données maximale admissible (PDMA) pour le système d'information. Cette mesure permet d'établir les besoins de résilience du système. | Résilience | ANSSI |
| #0120 | Formaliser et mettre en œuvre le plan de reprise de l'activité | Définir et mettre en œuvre un plan de reprise d'activité (PRA) cohérent avec la durée maximale d'interruption admissible et la perte de données maximale admissible. La définition de ce plan doit notamment s'appuyer sur la cartographie de l'écosystème, la procédure de gestion des incidents et la procédure de gestion des crises d'origine cyber. Cette mesure permet de préparer la reprise des activités du système selon ses besoins de résilience. | Résilience | ANSSI |
| #0121 | Recourir à une ou plusieurs solutions garantissant un haut niveau de disponibilité du système d'information | Recourir à une ou plusieurs solutions garantissant un haut niveau de disponibilité, en particulier dans le cadre de l'hébergement du service (ex. obligation de redondance de la machine virtuelle et des données). Cette mesure permet d'éviter une interruption du service dépassant quelques minutes. | Défense | ANSSI |
| #0131 | Réaliser une analyse de risque approfondie de la sécurité du système d'information et la mettre à jour au minimum tous les trois ans | Réaliser une analyse de risque approfondie du système d'information et la mettre à jour tous les trois ans et en cas d'incident de sécurité ou d'évolution majeure (métier, technique ou organisationnelle). Cette analyse de risque doit s'appuyer sur les éléments issus du socle normatif et/ou réglementaire applicable (ex. PSSI et réglementation applicable), des spécificités sectorielles, de la maîtrise de l'écosystème, de la maîtrise du système et des audits. Cette analyse doit être validée par l'entité, les risques résiduels acceptés et un plan d'action présentant des échéances raisonnables et les responsables pour chaque action doit être mis en œuvre. La méthode EBIOS RM peut être utilisée pour cette analyse de risque. Cette mesure permet d'identifier et de maîtrises les risques liés au système d'information. | Gouvernance | ANSSI |
| #0132 | Réaliser une analyse de risque rapide de la sécurité du système d'information | Réaliser une analyse de risque rapide du système d'information et la mettre à jour tous les trois ans et en cas d'incident de sécurité ou d'évolution majeure (métier, technique ou organisationnel. Cette analyse doit être validée par l'entité, les risques résiduels acceptés et un plan d'action présentant des échéances raisonnables et les responsables pour chaque action doit être mis en œuvre. Cette mesure permet d'identifier et de maîtrises les risques liés au système d'information. | Gouvernance | ANSSI |
| #0134 | Formaliser et mettre en œuvre un programme d'audit du système d'information | Définir et mettre en œuvre un programme d'audit permettant l'audit du système d'information. Les audits associés à ce programme ainsi que leur profondeur et leur fréquence doivent tenir compte de tout ou partie de l'analyse de risque réalisée, de la criticité du système d'information au regard de l'entité et de l'exposition du système aux risques numériques. Un audit doit permettre de vérifier la conformité aux mesures issues du socle normatif et/ou réglementaire (ex. PSSI et réglementations applicables) et d'évaluer le niveau de sécurité du système au regard des menaces et des vulnérabilités connues. Chaque audit doit donner lieu à la formalisation d'un rapport présentant les résultats (synthèse de la conformité, constats et recommandations) et à la mise en œuvre d'un plan d'action visant à corriger les non-conformités et les vulnérabilités identifiées. Ce plan d'action doit présenter des échéances raisonnables et responsables pour chaque action. Cette mesure permet de s'assurer de l'efficacité des mesures de sécurité mises en place ainsi que d'identifier et de maîtriser les vulnérabilités liés au système d'information. | Gouvernance | ANSSI |
| #0135 | Intégrer, si nécessaire, au programme d'audit un audit de code | Réaliser, lorsque cela est pertinent, un audit de code. Cette mesure permet d'identifier et de maîtriser les vulnérabilités liées au code du système d'information. | Gouvernance | ANSSI |
| #0136 | Intégrer au programme d'audit un test d’intrusion | Réaliser une test d'intrusion couvrant a minima les interface exposées à des systèmes non maîtrisés, c'est-à-dire à des systèmes d'information tiers ou des systèmes d'information sur lesquels les travaux de sécurisation selon le besoin de sécurité n'ont pas été réalisés. Cette mesure permet d'identifier et de maîtriser les vulnérabilités liées au système d'information. | Gouvernance | ANSSI |
| #0137 | Intégrer au programme d'audit un audit de configuration | Réaliser un audit de configuration. Cette mesure permet de s'assurer du durcissement du système d'information. | Gouvernance | ANSSI |
| #0138 | Intégrer au programme d'audit un audit d'architecture | Réaliser un audit d'architecture. Cette mesure permet d'identifier les vulnérabilités issues des choix d'architecture de la solution. | Gouvernance | ANSSI |
| #0168 | Mettre en œuvre des mécanismes d'audit automatique du code | Mettre en place des mécanismes d’audit automatique du code (analyse statique, détection de vulnérabilités, vérification de conformité aux standards de développement, etc.), afin de contrôler sa qualité et sa sécurité avant toute intégration en production. Cette mesure permet de réduire la vraisemblance d'exploitation d'une vulnérabilité liée au code. | Protection | ANSSI |
| #0171 | Réaliser un audit de sécurité sur le système d'information | Réaliser, sans préjudice d’autres obligations légales et réglementaires, un audit de sécurité sur le système d'information en prenant en compte pour la sélection de l'audit, sa profondeur et sa fréquence tout ou partie de l'analyse de risque réalisée, de la criticité du système d'information au regard de l'entité et de l'exposition du système aux risques numériques. L'audit de sécurité doit comprendre a minima une des activités suivants : - un test d’intrusion (couvrant au minimum les interfaces exposées à des systèmes sous la responsabilité de l’entité pour lesquels elle a décidé de ne pas appliquer les objectifs de sécurité ainsi qu’à des systèmes d’information tiers), - un audit de configuration, - un audit d’architecture, - un audit organisationnel et physique, - un audit de code (si pertinent). Cette mesure permet de réduire la vraisemblance d'exploitation d'une vulnérabilité. | Protection | ANSSI |
| #0139 | Installer et conserver uniquement les applicatifs et fonctionnalités nécessaires | Installer sur les équipements uniquement les applicatifs et fonctionnalités strictement nécessaires à la réalisation des activités et services ou au maintien en condition opérationnelles ou de sécurité du système d'information. Lorsque des raison techniques ou opérationnelles ne permettent pas de désactiver ou de désinstaller les applicatifs et fonctionnalités, mettre en œuvre des mesures permettant de réduire le risque associé (ex. compartimentalisation, gestion des accès, traçabilité). Cette mesure permet de réduire la vraisemblance d'exploitation de vulnérabilité sur un applicatif ou un fonctionnalité non nécessaire. | Protection | ANSSI |
| #0140 | Configurer les équipements et applicatifs en s'appuyant sur les recommandations disponibles | Configurer les équipements et applicatifs en s'appuyant sur les recommandations des éditeurs, fabricants ou de l'ANSSI. Cette mesure permet de s'assurer du durcissement du système d'information. | Protection | ANSSI |
| #0141 | Procéder a minima annuellement à une revue de configuration des équipements et applicatifs | Mettre en œuvre des vérifications techniques de la configuration des équipements et des applicatifs. Il est recommandé que cette revue s'appuie sur un ou des outils automatisés (ex. scan de port et de vulnérabilité, revue des configurations des pares-feux par rapport aux matrices de flux). Cette mesure permet de s'assurer du durcissement du système d'information. | Protection | ANSSI |
| #0142 | Installer un certificat de sécurité conforme au référentiel général de sécurité | Dans le cadre de la configuration du système d'information, installer un certificat de sécurité serveur conforme au référentiel général de sécurité (RGS) défini par l'ANSSI, délivré par un prestataire de service de confiance qualifié. Cette mesure permet d’authentifier le serveur et de prouver l’identité de l'entité détentrice du certificat, garantissant ainsi la confiance dans les échanges chiffrés. | Protection | ANSSI |
| #0143 | Désactiver tout flux de données non chiffré | Configurer le service en vue de désactiver tout flux de données qui n'est pas chiffré. Cette mesure permet de protéger la confidentialité des données, dans le cas où des flux de données seraient interceptés. | Protection | ANSSI |
| #0144 | Fermer tous les ports non strictement nécessaires | Configurer le service en vue de fermer tous les ports réseau non strictement nécessaires à l'administration et au fonctionnement du service et fermer tous les autres ports. Cette mesure permet de réduire le risque d'accès illégitime au service de la part d'acteurs malveillants. | Protection | ANSSI |
| #0145 | Installer un certificat de signature électronique conforme à la réglementation | Dans le cadre de la configuration du service, installer un certificat de signature électronique qualifié au sens du règlement n° 910/2014 eIDAS, délivré par un prestataire qualifié, ou recourir à un service conforme. Cette mesure permet la réalisation d'une signature électronique robuste sur le plan de la sécurité, conforme à la réglementation française et européenne. | Protection | ANSSI |
| #0146 | Désactiver, sauf dérogation tracée, les ports usb des serveurs | Configurer les serveurs afin de désactiver les ports usb des serveurs, sauf en cas de dérogation tracée et limitée dans le temps. Cette mesure permet de réduire la vraisemblance d'exfiltration ou de contamination par malware des serveurs via les ports usb. | Protection | ANSSI |
| #0147 | Réaliser les actions d'administration technique depuis un réseau dédié | Réaliser les actions d'administration au moyen d'un réseau d'administration dédié. Cette mesure permet de réduire l'exposition des interfaces d'administration. | Protection | ANSSI |
| #0148 | S'assurer que les ressources des réseaux d'administration technique sont gérés et configurés par les personnes désignées | S'assurer que seules les personnes désignées (interne ou externes) peuvent gérer et configurer les ressources des réseaux d'administration. Cette mesure permet de réduire le nombre de personnes pouvant être compromises par un attaquant pour attaquer les réseaux d'administration. | Protection | ANSSI |
| #0149 | Dédier les ressources matérielles des réseaux d'administration technique aux actions d'administration | Dédier les ressources matérielles des réseaux d'administration exclusivement aux actions d'administration technique. Cette mesure permet de réduire la vraisemblance de compromission d'une ressource des réseaux d'administration. | Protection | ANSSI |
| #0150 | Utiliser des postes physiques dédiés pour la connexion et actions d'administration | Utiliser pour l'administration des postes de travail physique dédiés uniquement à cet usage. Lorsque des raisons techniques ou opérationnelles ne le permettent pas, mettre en œuvre des mesures de durcissement du système d'exploitation utilisé pour réaliser les actions d'administration, et cloisonner ce système d'exploitation du système d'exploitation utilisé pour les autres actions. Cette mesure permet de réduire la vraisemblance d'attaque par rebond sur un poste de travail utilisé pour l'administration. | Protection | ANSSI |
| #0151 | Administrer les ressources du système d'information au travers d'une liaison réseau et d'une interface physiques dédiées | Utiliser une liaison réseau physique dédiées pour la connexion des réseaux d'administration aux équipements du système d'information. Administrer ces équipements au travers de leur interface d'administration physique. Lorsque des raisons techniques ou opérationnelles ne le permettent pas, mettre en œuvre des mesures de réduction du risque telles que des mesures de sécurité logique. Cette mesure permet de cloisonner les accès aux ressources pour les actions d'administration technique. | Protection | ANSSI |
| #0152 | Cloisonner et filtrer les accès d'administration technique | Cloisonner et filtrer le réseau d'administration et les accès d'administration technique afin de respecter les modalités de cloisonnement et de filtrage mises en œuvre au sein des systèmes d'information. Par exemple, deux machines ne pouvant pas communiquer au travers des systèmes d'information ne peuvent pas communiquer au travers du réseau d'administration. Cette mesure permet de cloisonner et de filtrer les flux d'administration technique pour réduire les risques d'attaque via ces flux. | Protection | ANSSI |
| #0153 | Chiffrer et authentifier les communications associées aux actions d'administration technique | Mettre en œuvre des mécanismes de chiffrement et d'authentification à l'état de l'art pour les communications associées à des actions d'administration (ex. protocoles sécurisés garantissant authentification, intégrité et confidentialité). Si ces communications transitent sur des réseaux non dédiés à ces communications, les cloisonner au moyen de mécanismes de chiffrement et d'authentification conformes à l'état de l'art (ex. tunnel VPN). Lorsque des raisons techniques ou opérationnelles ne permettent pas de chiffrer ou d'authentifier ces communications, mettre en œuvre des mesures permettant de protéger la confidentialité et l'intégrité de ces flux et de renforce le contrôle et la traçabilité des actions d'administration. Cette mesure permet de protéger les communications associées à des actions d'administration de perte de confidentialité ou d'intégrité. | Protection | ANSSI |
| #0157 | Conserver et centraliser les journaux et évènements de sécurité utiles à la détection des principaux scénarios de menaces | Conserver et centraliser les journaux et évènements de sécurité utiles à la détection des principaux scénarios de menace. Ces journaux et évènement reflètent la variété des activités du système d'information (ex. réseau, système, applicatif, utilisateur). Cette mesure permet de s'assurer de la collecte des journaux et évènement nécessaires à la détection et à la réaction des scénarios de menace liés au système d'information. | Défense | ANSSI |
| #0158 | Stocker les journaux et évènements de sécurité pour une durée minimum de trois mois | Stocker les journaux et évènements de sécurité pour une durée minimum de trois mois, sans préjudice d'autres obligations légales et réglementaires (ex. RGPD). Cette mesure permet de s'assurer que la durée de stockage des journaux et évènements de sécurité est suffisante pour la détection et la réaction des scénarios de menace. | Défense | ANSSI |
| #0159 | Conserver et centraliser le journal des accès des administrateurs technique | Activer la journalisation et la centralisation des accès des administrateurs techniques concourant au fonctionnement du service. Cette mesure permet de faciliter la détection d'actions inhabituelles susceptibles d'être malveillantes et d'investiguer a posteriori les causes d'un incident de sécurité, en vue de faciliter sa remédiation. | Défense | ANSSI |
| #0160 | Conserver et centraliser le journal des évènements de sécurité intervenus sur le système d'information | Activer la journalisation et la centralisation des événements de sécurité. A défaut, créer et maintenir à jour un document recensant l'ensemble des événements de sécurité ayant affecté le service et des mesures mises en œuvre pour y remédier. Cette mesure permet de faciliter la détection d'évènements de sécurité connus et la résolution des incidents qui en découleraient. | Défense | ANSSI |