BillionPhotos.com - Fotolia

L’Anssi met à jour son guide d’hygiène informatique

L’agence propose une version actualisée de son guide de bonnes pratiques pour la sécurisation des systèmes d’information. Une nouvelle mouture bienvenue.

Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), ne s’en cache pas : il n’est pas très friand du terme « d’hygiène » hérité de son prédécesseur, Patrick Pailloux, qui n’hésitait pas à enjoindre les RSSI à en finir avec la sécurité « cache-sexe ». Mais le guide des bases de la sécurité informatique restera, dans sa nouvelle version, un guide « d’hygiène », plus de quatre ans après sa première mouture.

Dans un communiqué, l’Anssi explique que « cette nouvelle version a fait l’objet d’une mise à jour portant à la fois sur les technologies et pratiques – nouvelles ou croissantes – avec lesquelles il s’agit de composer en matière de sécurité ». Le temps où il s’agissait d’encourager les RSSI à s’opposer au BYOD apparaît bien loin. Mais cette fois-ci, ce ne sont plus 40 mais 42 règles de sécurité qui sont proposées.

Et force est de constater que les auteurs se sont adaptés à l’évolution de la menace et des enjeux. On ne pourra ainsi que saluer le fait que la question de la formation et de la sensibilisation soit remontée en tête des recommandations… alors qu’elle n’arrivait qu’en douzième place début 2013. Et cette année, il n’est pas question que des utilisateurs : les équipes opérationnelles sont également concernées et les risques liés à l’infogérance sont évoqués.

La question de la connaissance du système d’information est donc repoussée à la seconde place. Mais là encore, l’approche s’avère plus pragmatique et moins technique qu’il y a quatre ans. La première règle en la matière concerne non seulement la mise en place et le maintien à jour d’une cartographie de l’infrastructure, mais aussi l’identification des informations et des services les plus sensibles. De quoi souligner, si besoin était, une approche pragmatique, orientée risques.

Mais il ne s’agit pas pour autant de tout casser et de renier le travail effectué pour la première édition du guide. De nombreux fondamentaux restent à leur place, comme par exemple la gestion des comptes à privilèges ou encore celle des entrées/sorties des utilisateurs.  

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)