This is some text inside of a div block.
This is some text inside of a div block.
This is some text inside of a div block.
This is some text inside of a div block.
This is some text inside of a div block.

Cette politique décrit les procédures formelles de gestion des vulnérabilités et des correctifs au sein de Cenareo.

Elle garantit l'identification, la priorisation et le déploiement en temps voulu des correctifs de sécurité pour toutes les applications et tous les systèmes traitant des données.

Cette politique fait l'objet d'une révision et d'une mise à jour périodiques afin de refléter les changements technologiques, les meilleures pratiques du secteur et les exigences réglementaires.

Responsabilités

  • Équipe chargée de la sécurité de l'information : Responsable de la gestion de l'analyse de vulnérabilité, du processus d'évaluation des risques, des rapports et de l'efficacité globale du programme.
  • Équipe chargée des opérations informatiques : Responsable du déploiement des correctifs selon le calendrier établi, du test des correctifs critiques et de haute sévérité (si nécessaire) et de la communication avec les propriétaires de systèmes.
  • Propriétaires de systèmes : Ils sont chargés de veiller à ce que les correctifs soient appliqués en temps voulu à leurs systèmes respectifs et de collaborer avec l'équipe chargée des opérations informatiques lors des déploiements de correctifs d'urgence.

Gestion de la vulnérabilité

Analyse de vulnérabilité

Nous procédons régulièrement à des analyses de vulnérabilité de nos systèmes d'information traitant les données des clients, tant en interne qu'en externe. Cela comprend une combinaison d'outils automatisés d'analyse de la vulnérabilité et de tests de pénétration manuels.

Fréquence

  • Analyse de la vulnérabilité au niveau du réseau : Nous effectuons des analyses de vulnérabilité du réseau au moins une fois par trimestre et des analyses supplémentaires sont effectuées si des vulnérabilités critiques sont identifiées ou si des changements importants sont apportés à l'infrastructure du réseau.
  • Analyse de la vulnérabilité au niveau du système d'exploitation : Les analyses de vulnérabilité des systèmes d'exploitation sont effectuées au moins une fois par mois.
  • Analyse de la vulnérabilité au niveau des applications : Les analyses de vulnérabilité des applications sont effectuées régulièrement, la fréquence dépendant de la criticité de l'application et de la fréquence des mises à jour ou des changements. Les applications à haut risque peuvent être analysées chaque semaine, voire plus fréquemment.

Test de pénétration

Nous effectuons des tests de pénétration internes et externes de l'infrastructure de nos services desservant les données des clients.

Test de pénétration interne

Les exercices de l'équipe rouge (red team) sont des attaques simulées menées par une équipe de sécurité spécialisée afin d'identifier les vulnérabilités de nos systèmes et processus. Ces exercices sont réalisés au moins une fois par an.

Test de pénétration de réseau externe

Nous faisons appel à des sociétés de sécurité indépendantes pour effectuer des tests de pénétration externes de l'infrastructure de nos services au moins une fois par an.

Informations complémentaires

La fréquence spécifique des analyses de vulnérabilité et des tests de pénétration peut être ajustée en fonction des évaluations des risques et des meilleures pratiques du secteur. Nous donnons la priorité à la correction des vulnérabilités en fonction de leur gravité, de leur exploitabilité et de leur impact potentiel sur nos systèmes et nos données. Nous maintenons un programme de gestion des vulnérabilités afin de suivre les vulnérabilités identifiées, l'état des mesures correctives et les efforts de retest.

Gestion des correctifs

Procédures de gestion des correctifs

Inventaire et classification

Nous tenons un inventaire complet de toutes les applications logicielles et de tous les systèmes d'exploitation utilisés au sein de l'entreprise. Chaque application et système sera classé en fonction de sa criticité et du type de données qu'il traite.

Gestion de la vulnérabilité

Nous utilisons un outil d'analyse des vulnérabilités pour identifier les failles de sécurité connues dans nos logiciels et nos systèmes. Nous mettrons régulièrement à jour l'outil d'analyse des vulnérabilités avec les informations les plus récentes sur les vulnérabilités.

Processus d'évaluation des risques

Les vulnérabilités identifiées feront l'objet d'une évaluation des risques en fonction de leur gravité (critique, élevée, moyenne, faible), de leur exploitabilité et de leur impact potentiel sur nos systèmes et nos données.

Calendrier de déploiement des correctifs

  • Vulnérabilités critiques : Les correctifs pour les vulnérabilités critiques seront déployés dans les 24 heures suivant la confirmation.
  • Vulnérabilités de gravité élevée : Les correctifs pour les vulnérabilités de gravité élevée seront déployés dans les 72 heures suivant la confirmation.
  • Vulnérabilités de gravité moyenne et faible : Les correctifs pour les vulnérabilités de gravité moyenne et faible seront traités selon un calendrier basé sur les risques, la priorité étant donnée aux vulnérabilités affectant les systèmes critiques ou à celles dont le taux d'exploitabilité est élevé.

Tests et approbation

Avant d'être déployés sur les systèmes de production, les correctifs critiques et de haute gravité peuvent faire l'objet de tests internes limités afin de garantir une perturbation minimale des opérations.

Déploiement et vérification

Les correctifs seront déployés sur tous les systèmes concernés selon le calendrier établi.

Le succès du déploiement et de l'application des correctifs sera vérifié.

Processus de mise en œuvre des correctifs d'urgence

En cas d'attaque de type « zero-day » ou de vulnérabilité critique avec un taux d'exploitabilité élevé, un processus de déploiement de correctifs d'urgence sera lancé.

Ce processus comprendra :

  • Évaluation rapide des risques : L'équipe chargée de la sécurité de l'information procède à une évaluation rapide des risques liés à la vulnérabilité.
  • Acquisition et test de correctifs d'urgence : Les opérations informatiques donneront la priorité à l'obtention et, si nécessaire, à la réalisation de tests limités du correctif d'urgence.
  • Autorisation de déploiement : L'équipe de sécurité de l'information, en consultation avec les parties prenantes concernées, autorisera le déploiement du correctif d'urgence.
  • Déploiement et communication : L'équipe des opérations informatiques déploiera le correctif d'urgence sur les systèmes concernés. Tout le personnel concerné sera informé du déploiement du correctif d'urgence et de tout impact potentiel.

Reporting and Suivi

L'équipe chargée de la sécurité de l'information tient un registre de toutes les vulnérabilités identifiées, des évaluations des risques, des déploiements de correctifs et des procédures d'intervention en cas d'urgence.

Des rapports réguliers seront produits pour contrôler l'efficacité du programme de gestion des correctifs et identifier les domaines à améliorer.

Norme de sécurité des serveurs

Cette section décrit les normes de renforcement de la sécurité des serveurs pour tous les serveurs de l'organisation Cenareo.

Ces normes sont conçues pour minimiser la surface d'attaque et réduire le risque d'accès non autorisé, de violation des données et d'interruption du système.

Cette norme souligne spécifiquement l'importance de la gestion des correctifs en tant qu'aspect critique de la sécurité des serveurs.

Principes de durcissement des serveurs

Minimiser les logiciels installés

N'installez que les applications logicielles et les services nécessaires au fonctionnement du serveur. Supprimez les composants logiciels inutilisés ou superflus afin de réduire la surface d'attaque potentielle.

Maintenir les logiciels à jour

Appliquer les correctifs de sécurité dès leur publication par le fournisseur. Donner la priorité à l'application des correctifs pour les vulnérabilités critiques. Utiliser une solution centralisée de gestion des correctifs pour automatiser et rationaliser le processus d'application des correctifs dans la mesure du possible.

Sécuriser les comptes par défaut

Désactiver les comptes par défaut inutilisés fournis par le système d'exploitation ou les applications logicielles. Renommez ou désactivez les comptes d'administrateur avec des noms génériques tels que « admin » ou « root ».

Renforcer les mots de passe

Mettez en œuvre des politiques de mots de passe forts qui exigent des mots de passe complexes d'une longueur minimale et qui imposent des changements réguliers de mots de passe. Envisager l'authentification multifactorielle (MFA) pour une sécurité accrue.

Restreindre l'accès administratif

Limiter l'accès administratif aux serveurs en appliquant le principe du moindre privilège. N'accorder aux utilisateurs que les autorisations minimales nécessaires à l'exécution des tâches qui leur sont confiées.

Configurer les pare-feu

Configurer les pare-feu pour limiter le trafic entrant et sortant aux seuls ports et protocoles autorisés.

Désactiver les services superflus

Désactiver tous les services qui ne sont pas essentiels au fonctionnement du serveur. Cela réduit la surface d'attaque et les vulnérabilités potentielles.

Audit et journal des Logs

Activez la journalisation du système et examinez régulièrement les journaux pour détecter toute activité suspecte.

Évaluation régulières de la sécurité

Procéder à des évaluations périodiques de la sécurité des serveurs afin d'identifier et de corriger les éventuelles faiblesses en matière de sécurité.

Procédures de gestion des correctifs

Gestion centralisée des correctifs

Dans la mesure du possible, utilisez une solution de gestion centralisée des correctifs pour automatiser le déploiement des correctifs sur tous les serveurs. Cela garantit une application efficace et cohérente des correctifs dans l'ensemble de l'environnement.

Évaluation de la vulnérabilité et établissement de priorités

Rechercher régulièrement les vulnérabilités des serveurs à l'aide d'outils d'analyse des vulnérabilités. Donner la priorité à la correction des vulnérabilités critiques en fonction de leur gravité et du risque potentiel.

Tests

Avant de déployer les correctifs sur les serveurs de production, il convient de procéder à des tests approfondis dans un environnement d'essai afin de minimiser le risque d'introduire des problèmes de compatibilité ou des perturbations du système.

Calendrier de déploiement des correctifs

Établir un calendrier régulier de déploiement des correctifs. Envisagez de déployer immédiatement les correctifs de sécurité critiques, tout en équilibrant les fenêtres de maintenance planifiées pour les mises à jour moins critiques.

Vérification post-correctif

Vérifier le déploiement et la fonctionnalité des correctifs après leur installation. Surveillez les systèmes pour détecter tout comportement ou problème inattendu.

Documentation

Maintenir une documentation détaillée de tous les logiciels installés, des versions des correctifs et des dates de déploiement pour chaque serveur.

Considérations complémentaires

  • Applications tierces : Les applications tierces installées sur les serveurs sont maintenues à jour avec les correctifs de sécurité de leurs fournisseurs respectifs.
  • Logiciel de fin de vie (EOL) : Pas de logiciel obsolète qui ne reçoit plus de mises à jour de sécurité de la part du fournisseur, avec des plans anticipés de migration du logiciel EOL vers des versions supportées ou des solutions alternatives.
  • Sécurité physique : Le matériel du serveur de contrôle d'accès et la prévention des accès non autorisés.

Besoin de nous joindre ?

Contactez nos équipes pour toute question sur ce sujet.

Contactez nous
Cenareo

Politique de gestion des vulnérabilités et des correctifs

Text Link