Professional Documents
Culture Documents
securiteinfo.com/conseils/manuel-des-procedures-de-securite-du-materiel-informatique.shtml
October 1, 2014
Introduction
Cet article fait suite à l'article "La sécurité du matériel informatique", du même auteur.
Il présente un manuel dont les DSI, et RSI peuvent s'inspirer pour écrire leurs propres
procédures.
Ces différentes procédures permettent aux agents de n'importe quelle entreprise d'avoir une
vision complète sur toutes les décisions et actes qu'ils auront à prendre pour garantir la
sécurité et le contrôle aussi bien internes qu'externes du matériel informatique.
Pour notre manuel de procédures, les principaux opérateurs qui doivent intervenir sont les
cinq suivants :
Responsable de la sécurité : a pour rôle la gestion et la sécurité du système
d'information, éviter les pannes fonctionnelles qui pourraient perturber les activités
administratives de l'entreprise, administration système, etc.
1/32
Technicien de maintenance : a pour mission d'éviter une panne ou un
dysfonctionnement grâce à un entretien régulier et planifié, la vérification du bon état
du matériel informatique. Il planifie ses interventions et rédige des comptes rendus.
Technicien réseau : a pour mission d'intervenir sur les équipements ou le câblage du
réseau afin d'assurer une qualité de service optimale aux utilisateurs.
Employé : tout personnel qui a des fonctions dans le processus de l'administration ou
de l'exécution des opérations de gestion.
Gardien : assure le contrôle l'accès au terrain et aux bâtiments et dirige les visiteurs
vers les endroits appropriés.
Objectif
L'inventaire est un document sur lequel se trouve une description détaillée des biens
informatiques. Évaluation annuelle obligatoire des biens d'une entreprise afin de clairement
identifier tous les biens :
des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de
travail, des matériels non IT) ;
des informations (bases de données, fichiers, archives) ;
des logiciels (applications ou systèmes) ;
des services de la documentation (politiques, procédures, plans).
Logigramme
2/32
Procédure
inventaire
des biens
Règle
Objectif
Il convient de protéger les zones sécurisées par des contrôles à l'entrée adéquats pour
s'assurer que seule la personne habilitée soit admise.
Logigramme
Procédure
contrôle
physique
des accès
Règles
4/32
R1 : Définition des zones sécurisées
Définition de périmètre de sécurité.
Le périmètre peut avoir trois types : temporel, géographique ou fonctionnel.
R4 : Réexamen et mise à jour réguliers des droits d'accès aux zones sécurisées
Une révision régulière des privilèges et droits d'accès devrait être effectuée par le
responsable de sécurité dont le but de s'assurer que les privilèges donnés correspondent
toujours aux besoins réels des tâches à effectuer.
5/32
Procédure politique
de maintenance
Objectif
La maintenance informatique préventive permet d'assurer un contrôle du PC, afin de prévoir
toute dégradation, éviter une panne inattendue et assurer le bon fonctionnement du
matériel informatique.
Logigramme
6/32
Procédure
Règles
R1 : Contrôle du câblage
Branchements, état physique, etc.
R5 : Contrôle antivirus
Éliminer toute présence de virus, malwares, spywares se trouvant sur l'ordinateur.
Objectif
La maintenance proactive assure la bonne conformité des systèmes, elle garantie la sécurité
et améliore les performances et la fiabilité des équipements, afin de travailler de façon plus
rapide et plus sécurisée.
Logigramme
8/32
Procédure
Règles
10/32
5. Cliquez sur l'onglet Outils ;
6. Sous Défragmentation, cliquez sur Défragmenter maintenant ;
7. Sélectionnez le volume à défragmenter ;
8. Cliquez sur Défragmenter.
Objectif
Des contrôles ponctuels doivent être effectués pour détecter une sortie de bien.
Logigramme
11/32
Procédure
Sortie d'un
bien
Règles
R1 : Autorisation préalable
Il convient de ne pas sortir un matériel, des informations ou des logiciels des locaux de
l'organisme sans autorisation préalable.
R2 : Identifier les personnels qui ont autorité pour permettre la sortie de biens
hors du site
Il convient d'identifier clairement les salariés, contractants et utilisateurs tiers qui ont autorité
pour permettre la sortie de biens hors du site.
R3 : Contrôles ponctuels
Des contrôles ponctuels, destinés à détecter une sortie de bien non autorisée.
12/32
Procédure sécurité du câblage
Objectif
Les câbles électriques ou de télécommunications transportant des données doivent être
protégé contre toute interception ou dommage.
Logigramme
Procédure
Sécurité
du câblage
Règles
R4 : Utiliser un blindage
Le blindage permet de réduire le champ électromagnétique au voisinage d'un objet en
interposant une barrière entre la source du champ et l'objet à protéger.
Le blindage empêche que le signal ne s'échappe du conducteur et empêche aussi
qu'un signal parasite ne s'ajoute au signal transporté par le conducteur.
Objectif
Tout matériel équipé des supports de stockage doit être contrôlé en cas de mise au rebut
afin que toutes les données à caractère personnel soient supprimées de manière sécurisée.
Si ce matériel contient des données à caractère personnel sensibles, des mesures spécifiques
doivent être prises pour détruire physiquement ce matériel ou supprimer les informations au
moyen de techniques qui rendent impossible toute récupération.
14/32
Logigramme
Procédure
de mise au
rebut du
matériel
Règles
R3 : Destruction physique
Détruire physiquement les appareils contenant des informations sensibles.
Noter tous les numéros de séries des équipements à détruire de façon sécurisée pour
permettre une traçabilité du processus de destruction.
15/32
Protection contre les codes malveillants
Des précautions sont requises pour prévenir et détecter l'introduction de codes malveillants
non autorisé qui pourraient affecter le matériel, les systèmes d'exploitation, les programmes
et les données.
Nous cherchons dans ce cadre quatre procédures :
Procédure atténuation des menaces ;
Procédure atténuation des vulnérabilités ;
Procédure atténuation des incidents ;
Procédure réaction en cas d'infection.
Objectif
Une menace pour un système informatique est une circonstance qui a le potentiel de causer
des dommages ou des pertes. Le but de cette procédure est de se protéger contre toute
menace.
Logigramme
16/32
Procédure
Règles
Objectif
Une vulnérabilité est une faiblesse du système informatique qui peut être utilisée pour
causer des dommages. Les faiblesses peuvent apparaitre dans n'importe quel élément d'un
ordinateur, à la fois dans le matériel, le système d'exploitation et le logiciel. Le but de cette
procédure est de détecter les vulnérabilités.
Logigramme
18/32
Procédure
Règles
19/32
Installer un firewall ;
Mettre en place un système de détection d'intrusion.
Objectif
Un incident ou plusieurs évènements indésirables ou inattendus présentant une probabilité
forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la
sécurité de l'information. Le but de cette procédure est de se protéger contre tout incident.
Logigramme
20/32
Procédure
Objectif
Le but de cette procédure est de former l'utilisateur par des étapes qu'il doit faire afin
d'atténuer la propagation d'une infection dans le réseau.
21/32
Classification des infections informatique
Logigramme
22/32
Procédure
réaction en
cas
d'infection
Règles
R4 : Réinstaller le système
Formater le disque pour être sûr qu'aucun logiciel malveillant ne survive à la réinstallation.
Procédure de sauvegarde
Objectif
La sauvegarde est l'opération qui consiste à dupliquer et à mettre en sécurité les données
contenues dans un système informatique.
Il convient de réaliser des copies de sauvegarde des informations et logiciels et de les
soumettre régulièrement à essai conformément à la politique de sauvegarde convenue.
Logigramme
24/32
Procédure
politique de
sauvegarde
Règles
Logigramme
Procédure
réalisation
de
sauvegarde
Logigramme
Procédure
contrôle
d'accès
réseau
Règles
27/32
R2 : Authentification des utilisateurs pour les connexions externes
Le premier niveau de sécurité à prendre en compte dans un LAN est l'utilisateur. Pour
accéder aux ressources locales et réseau, il devra s'identifier grâce à un nom d'utilisateur et à
un mot de passe.
Objectif
Il convient d'attribuer à chaque utilisateur un identifiant unique et exclusif.
Le mot de passe est une méthode parmi d'autres pour effectuer une authentification, c'est-à-
dire vérifier qu'une personne correspond bien à l'identité déclarée. Le mot de passe doit être
tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service.
Logigramme
28/32
Procédure
d'authentification et identification
Règles
Objectif
Il convient de contrôler et de protéger physiquement les supports afin d'empêcher la
divulgation, la modification, le retrait ou la destruction non autorisé des biens et
l'interruption des activités de l'organisme.
Logigramme
30/32
Procédure
Règles
31/32
R2 : Identifier les supports
Chaque support doit être identifié de manière unique et indépendante des
informations qu'il contient.
Attribuer un code à chaque support : l'attribution d'un code entraine la création d'une
étiquette qui est fixée sur les supports. Cette référence est reportée dans le registre
des supports.
Conclusion
Le manuel des procédures adapté à la sécurité du matériel informatique permettra à
l'entreprise de mieux protéger l'intégrité des biens et des ressources informatiques.
Nous avons procédé à l'inventaire puis à l'évaluation des procédures les plus importantes
concernant la sécurité et le contrôle du matériel informatique.
Il faut noter que le manuel de procédures n'est pas figé. Il doit être régulièrement mis à jour
par des notes qui les complètent ou en modifiant quelques aspects à partir de l'évolution de
la structure et des activités de l'entreprise.
Sawsen Zaafouri
Octobre 2014
SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons
différentes solutions matérielles et prestations de services permettant de sécuriser les
données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre
d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique,
réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux
et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
32/32