Mise en oeuvre des mesures de sécurité
🔐 Encourager les administrateurs à utiliser un coffre-fort de mots de passe
Des informations sur les services de coffre-fort de mots de passePopulaire📖 Définir une politique de gestion des incidents de sécurité
Les arguments pour définir une politique de gestion des incidents de sécurité et les réflexes à adopter pour que celle ci soit efficientePopulaire🔐 Fixer des contraintes de longueur et de complexité des mots de passe
Tout savoir sur la création de mots de passe robustes et complexes ainsi que des outils qui peuvent aider pour atteindre cet objectifPopulaire👁️ Activer l'authentification multifacteur pour l'accès des administrateurs au service
Des informations concernant l'authentification multifacteur et les bénéfices de son usage pour la sécurisation des servicesQuelques lectures🏠 Héberger le service et les données auprès d’un prestataire SecNumCloud
Découvrez l'importance d'héberger les services et données auprès de prestataires cloud qualifiés SecNumCloud, conformément aux directives de l'ANSSI. SecNumCloud garantit un haut niveau de sécurité technique, opérationnelle et juridique pour l'informatique en nuage, respectant les normes européennes. Les prestataires doivent maintenir une bonne hygiène informatique et assurer la protection des données. Pour plus d'informations, consultez la liste des prestataires qualifiés sur le site de l'ANSSI.Quelques lectures📝 Réaliser un audit de la sécurité du service
Apprenez comment réaliser un audit de la sécurité pour vos services numériques et systèmes d’information. Découvrez les différents niveaux d’audit nécessaires en fonction des besoins de sécurité, de l’audit partiel pour des risques modérés à l’audit complet pour des risques élevés. L’article détaille les types d’audits : architecture, configuration, code source, test d’intrusion, et organisation de la sécurité. Sécurisez efficacement votre système d’information avec des recommandations pratiques et des exemples concrets. Consultez les prestataires qualifiés (PASSI) pour un accompagnement professionnel certifié par l’ANSSIQuelques lectures📚 Organiser un exercice de gestion de crise
Découvrez comment organiser un exercice de gestion de crise cyber pour renforcer la résilience de votre organisation. Apprenez les spécificités d’une crise d’origine cyber, de la rapidité des impacts à la technicité des attaques, et l’importance de la préparation pour les RSSI, dirigeants et gestionnaires de projets. L’article explique comment intégrer l’écosystème de l’organisation dans la gestion de crise et propose des ressources essentielles, dont le guide de l’ANSSI pour une gestion opérationnelle et stratégique des crises. Téléchargez les guides pratiques et consultez les ressources complémentaires pour une préparation optimale.Peu de lectures🔐 Protéger les mots de passe stockés sur le service
Des informations pour mieux protéger les mots de passe stockés sur un servicePeu de lectures📝 Réaliser une analyse de risques de la sécurité du service
Découvrez comment réaliser une analyse de risques de la sécurité pour vos services numériques et systèmes d’information. Identifiez, priorisez et proportionnez les efforts de sécurisation face aux risques cyber grâce à des outils comme l’outil “risques” de MonServiceSécurisé et les ateliers inspirés de la méthode EBIOS Risk Manager. Appuyez-vous sur les ressources de BetaGouv ou sollicitez un accompagnement par des prestataires qualifiés par l’ANSSI. Téléchargez les documents utiles et suivez des démarches éprouvées pour une sécurité numérique optimale.Peu de lectures✍️ Installer un certificat de signature électronique conforme à la réglementation
Apprenez comment obtenir un certificat de signature électronique pour réaliser une signature électronique avancée conforme au règlement eIDAS n°910/2014. Découvrez la liste des prestataires de services de certification électronique qualifiés par l’ANSSI. L’ANSSI ne délivre pas de certificats, mais référence des prestataires comme CertEurope, Certigna, Certinomis, ChamberSignFrance, DocusignFrance, Universign, VIALINK, Yousign, et LexPersona. Consultez la liste des produits et services qualifiés pour assurer la conformité et la sécurité de vos signatures électroniques.Peu de lectures🔏 Chiffrer le trafic des données avec un certificat de sécurité conforme à la réglementation
Découvrez l’obligation pour les autorités administratives et leurs agents d’utiliser des certificats électroniques validés par l’État pour le chiffrement des données, conformément à l’ordonnance du 8 décembre 2005 et au référentiel général de sécurité (RGS). Apprenez comment acheter des certificats conformes à la réglementation, délivrés par des fournisseurs de services de confiance qualifiés par l’ANSSI. Consultez la liste des fournisseurs de “certificats RGS” pour garantir la conformité et la sécurité de vos communications électroniques.Peu de lectures⏱️ Doctrine - Quand homologuer et pour quelle durée ?
Quand commencer à se préoccuper de l'homologation d'un système ?
Il est recommandé de prendre en compte l’enjeu de la sécurisation d’un système d’information et de sa future homologation, dès la phase de réflexion de conception du projet.
A quel moment prendre une décision d'homologation ?
La première décision d’homologation doit être prise avant la mise en service d’un systèmePeu de lectures
Sécurisation et homologation
🛟 Quelles aides sont disponibles pour la réalisation d'une homologation de sécurité ?
Les aides disponibles pour réaliser une homologation de sécuritéPopulaire🤩 Tout savoir sur l'homologation de sécurité
Tout ce qu'il faut savoir sur l'homologation de sécurité : ce que c'est, les obligations associées, les entités concernéesPeu de lectures🤨 Je ne sais pas comment constituer un dossier d'homologation
Les astuces pour constituer un dossier d'homologation pertinent et completPeu de lectures❓ Mais qui doit être l'autorité d'homologation au juste ?
Des informations concernant l'autorité d'homologation : son rôle, qui peut l'endosser et des exemples concretsPeu de lectures😔 Je n'arrive à homologuer que 3 services par an
Des conseils d'utilisation de MonServiceSécurisé pour augmenter le nombre de services homologués par chaque entitéPeu de lectures🚀 Mais à quoi ça sert d'homologuer ?
Les 4 raisons en faveur d'une politique de sécurisation et d'homologation des services numériques.Peu de lectures🙈 J'ai déjà oublié de renouveler une homologation
L'utilisation de MonServiceSécurisé pour ne plus oublier de renouveler l'homologation des services numériques quand celles ci arrivent à expirationPeu de lectures😭 La sécurité n'est pas valorisée
Des astuces pour valoriser les efforts de sécurité : l'indice cyber et l'encart d'homologationPeu de lectures🤷🏽♀️ Mon fournisseur de service me dit que c'est sécurisé
Choisissez et pilotez vos prestataires en toute confiance avec MonServiceSécurisé notamment grâce à la liste des mesures de sécurité exportable et la possibilité d'inviter des contributeurs avec une gestion fine des droitsPeu de lectures👣 Doctrine - Les grandes étapes vers l'homologation
Préalable à la sécurisation et l’homologation d’un système, une phase de cadrage est nécessaire afin de définir les objectifs du projet, son périmètre, les parties prenantes concernées.
Étape 1 - Évaluer
L’évaluation des besoins de sécurité d’un système consistant à évaluer sa criticité et son exposition aux sources de risques. Cette étape est indispensable en vue de proportionnePeu de lectures🥳 Doctrine - Les facteurs clés de succès
Les erreurs à ne pas commettre
Plusieurs idées peuvent nuire au succès de la démarche de sécurisation et d’homologation et son passage à l’échelle au sein d’une organisation :
Considérer que seuls les spécialistes cyber peuvent s’approprier les enjeux de sécurité et en sont responsables. « D’un côté les spécialistes de l’autre les métiers ».
Considérer la sécurité comme une « étape » souvent postérieure à la construction d’un système ou d’un service. « Avant on construit ou on achète,Peu de lectures👁️ Doctrine - Identifier la démarche adaptée
L’effort de sécurisation et la démarche d’homologation doivent être proportionnés aux besoins de sécurité d’un système d’information. Plus la criticité et l’exposition au risque d’un système sont élevés, plus l’effort de sécurisation sera important et la démarche d’homologation exigeante.
Évaluer les besoins de sécurité d’un système
Afin d’identifier l’effort de sécurisation nécessaire et la démarche d’homologation adaptée, les besoins de sécurité d’un système doivent être évalués en mettantPeu de lectures🪪 Doctrine - Qu'est-ce qu'une homologation de sécurité ?
Une décision
L’homologation de sécurité prend la forme d’une décision. Celle-ci permet de s’assurer que les risques liés à l’emploi d’un sstème d’information sont clairement identifiés, traités et acceptés au plus haut niveau d’une organisation par une autorité (« l’autorité d’homologation »).
Cette décision permet la mise et le maintien en service d’un système d’information.
La décision d’homologation atteste que les mesures de sécurité mises en œuvre pour protéger un système, ainsi que lPeu de lectures⛳️ Doctrine - Périmètre et stratégies d'homologation possibles
Le périmètre d’homologation doit être défini
Le périmètre du système d’information à homologuer est l’ensemble des composants du système d’information dans lequel l’information est traitée et pour lequel son responsable en a la maîtrise.
Le périmètre est défini librement
Le périmètre d’une homologation est défini au cas par cas par l’organisation. Néanmoins, pour des raisons de simplification, il peut sembler opportun de r grouper plusieurs systèmes d’information ayant une mission communePeu de lectures📚 Doctrine - Pourquoi homologuer ?
Le risque de cyberattaques
Les systèmes d’information des entités publiques et des entreprises font face à un risque de cyberattaques pouvant entraîner des conséquences parfois graves sur le fonctionnement de ces organisations, sur le plan juridique, financier ou réputationnel ainsi que pour les usagers, les clients et les partenaires.
L’ensemble des systèmes d’information dans leur diversité est exposé à des risques d’origine cyber quelle que soit :
Leur nature : ex. système d’informatioPeu de lectures👫 Doctrine - Quels sont les acteurs de l'homologation de sécurité ?
Les rôles concourant à la préparation de la décision d’homologation
On distingue généralement 3 rôles dans un projet de sécurisation et d’homologation d’un système d’information.
Le succès de la démarche d’homologation dépend de la qualité et de la régularité des échanges entre les niveaux opérationnel, fonctionnel et de contrôle afin de faire progresser ensemble la sécurité duPeu de lectures