P.I.L.O.T.E

9 min de lecture

Annexe A.8 – Mesures technologiques

Introduction

Le bloc A.8 – Mesures technologiques regroupe les 34 contrôles de sécurité de l’information relatifs aux systèmes, applications, réseaux et données.
Ces mesures constituent la partie la plus visible et souvent la plus coûteuse du SMSI : pare-feu, chiffrement, sauvegardes, supervision, patch management, etc.

Elles visent à protéger la confidentialité, intégrité et disponibilité des informations en s’appuyant sur des contrôles techniques robustes.
Un audit ISO/IEC 27001 vérifie non seulement la présence de ces mesures, mais surtout leur efficacité et leur suivi dans le temps.

A.8.1 Politique d’utilisation des équipements

  • Explication : Définir et appliquer une politique claire d’usage des équipements informatiques (PC, mobiles, tablettes).
  • Exemple : Une entreprise interdit l’installation de logiciels non approuvés sur les postes de travail.

Warning

Erreur fréquente : absence de MDM (Mobile Device Management) pour les smartphones.

  • Preuves d’audit : politique IT, logs MDM, procédures de conformité poste.

A.8.2 Sécurité des logiciels installés

  • Explication : Seuls des logiciels validés et maintenus doivent être installés.
  • Exemple : Une collectivité utilise une liste blanche d’applications approuvées.

Warning

Erreur fréquente : utilisateurs administrateurs installant librement des logiciels.

  • Preuves d’audit : registre des logiciels, outils de gestion de parc.

A.8.3 Gestion des configurations

  • Explication : Définir des configurations sécurisées (durcissement, CIS Benchmarks).
  • Exemple : Une banque applique les CIS Benchmarks Windows Server sur son parc.

Warning

Erreur fréquente : configurations par défaut laissées actives.

  • Preuves d’audit : scripts de durcissement, rapports d’audit de configuration.

A.8.4 Sécurité des réseaux

  • Explication : Protéger les communications par segmentation, filtrage et chiffrement.
  • Exemple : Une société sépare ses réseaux bureautiques, serveurs et IoT.

Warning

Erreur fréquente : réseau à plat → propagation rapide d’un malware.

  • Preuves d’audit : schémas réseau, configurations pare-feu.

A.8.5 Sécurité des services réseau

  • Explication : Contrôler et sécuriser les services exposés (DNS, DHCP, mail).
  • Exemple : Une organisation externalise son DNS chez un fournisseur certifié.

Warning

Erreur fréquente : services réseau non patchés exposés sur Internet.

  • Preuves d’audit : scans de vulnérabilités, configurations.

A.8.6 Sécurité des applications

  • Explication : Les applications doivent être testées contre les vulnérabilités OWASP.
  • Exemple : Une fintech intègre des tests DAST automatisés à son pipeline CI/CD.

Warning

Erreur fréquente : absence de tests applicatifs avant mise en production.

  • Preuves d’audit : rapports de tests OWASP, audits applicatifs.

A.8.7 Chiffrement des données

  • Explication : Les données sensibles doivent être chiffrées au repos et en transit (AES-256, TLS 1.2+).
  • Exemple : Une entreprise chiffre toutes ses bases clients avec TDE (Transparent Data Encryption).

Warning

Erreur fréquente : stockage de mots de passe en clair.

  • Preuves d’audit : preuves de chiffrement, configurations TLS.

A.8.8 Sauvegarde des informations

  • Explication : Sauvegardes régulières, hors site, chiffrées, avec tests de restauration.
  • Exemple : Un hôpital effectue une sauvegarde quotidienne et teste mensuellement la restauration.

Warning

Erreur fréquente : absence de test de restauration → sauvegardes inutilisables en crise.

  • Preuves d’audit : registres de sauvegarde, PV de tests.

A.8.9 Journalisation et surveillance

  • Explication : Collecter et analyser les journaux pour détecter les incidents.
  • Exemple : Une entreprise centralise ses logs dans un SIEM avec alertes corrélées.

Warning

Erreur fréquente : logs collectés mais jamais analysés.

  • Preuves d’audit : configuration SIEM, rapports d’alerte.

A.8.10 Protection contre les malwares

  • Explication : Déployer des solutions antivirus/EDR supervisées.
  • Exemple : Une société installe SentinelOne sur tout son parc avec supervision SOC.

Warning

Erreur fréquente : solution installée mais alertes non suivies.

  • Preuves d’audit : rapports antivirus, incidents traités.

A.8.11 Gestion des vulnérabilités techniques

  • Explication : Identifier, prioriser et corriger les vulnérabilités techniques.
  • Exemple : Patch critique appliqué sous 30 jours max, scans mensuels.

Warning

Erreur fréquente : patchs reportés indéfiniment.

  • Preuves d’audit : rapports de scan, tickets correctifs.

A.8.12 Gestion des identités et des accès (IAM)

  • Explication : Contrôler la création, modification et suppression des identités. MFA obligatoire pour accès sensibles.
  • Exemple : Une banque déploie un IAM avec recertification trimestrielle.

Warning

Erreur fréquente : comptes orphelins.

  • Preuves d’audit : registre IAM, rapports de recertification.

A.8.13 Authentification forte

  • Explication : Mise en œuvre MFA pour tous les comptes critiques.
  • Exemple : Une organisation impose MFA sur VPN et messagerie.

Warning

Erreur fréquente : MFA activé seulement pour les admins.

  • Preuves d’audit : configuration MFA, logs d’authentification.

A.8.14 Contrôles d’accès aux applications et systèmes

  • Explication : Appliquer le principe du moindre privilège et la séparation des tâches.
  • Exemple : Un ERP limite les accès par rôle (achats, finances).

Warning

Erreur fréquente : comptes « admin » partagés.

  • Preuves d’audit : matrices d’accès, logs d’utilisation.

A.8.15 Sécurité du cycle de vie logiciel

  • Explication : Intégrer la sécurité dans tout le cycle de développement (DevSecOps).
  • Exemple : Pipelines CI/CD avec scans SAST/DAST.

Warning

Erreur fréquente : sécurité testée uniquement en fin de projet.

  • Preuves d’audit : pipelines CI/CD, rapports de tests.

A.8.16 Protection des données en transit

  • Explication : Toutes les communications doivent être chiffrées (TLS, VPN).
  • Exemple : Une société impose TLS 1.3 pour ses API.

Warning

Erreur fréquente : services web en HTTP non sécurisé.

  • Preuves d’audit : scans réseau, configurations TLS.

A.8.17 Protection des données au repos

  • Explication : Les données stockées doivent être chiffrées et protégées contre l’accès non autorisé.
  • Exemple : Un hôpital chiffre ses disques avec BitLocker et ses bases avec AES-256.

Warning

Erreur fréquente : disques externes non chiffrés.

  • Preuves d’audit : preuves de chiffrement, captures de configuration.

A.8.18 Effacement sécurisé des données

  • Explication : Garantir que les données supprimées sont effacées de manière sécurisée.
  • Exemple : Utilisation d’outils type DBAN ou broyeurs certifiés.

Warning

Erreur fréquente : simple suppression logique (corbeille).

  • Preuves d’audit : certificats d’effacement, logs d’outils.

A.8.19 Gestion des clés cryptographiques

  • Explication : Gérer tout le cycle de vie des clés (création, stockage, rotation, révocation).
  • Exemple : Une banque stocke ses clés dans un HSM certifié FIPS 140-2.

Warning

Erreur fréquente : clés stockées en clair sur serveurs.

  • Preuves d’audit : registres de clés, configuration HSM.

A.8.20 Sécurité du Cloud

  • Explication : Contrôler la sécurité des environnements Cloud (IaaS, PaaS, SaaS).
  • Exemple : Une entreprise applique le CIS Benchmark Azure et audite son fournisseur annuellement.

Warning

Erreur fréquente : utiliser le Cloud sans gouvernance SSI.

  • Preuves d’audit : rapports CSPM, contrats Cloud.

A.8.21 Protection des API

  • Explication : Sécuriser les API exposées (authentification, contrôle d’accès, chiffrement).
  • Exemple : Une société protège ses API REST avec OAuth2 et rate limiting.

Warning

Erreur fréquente : API exposées sans authentification.

  • Preuves d’audit : documentation API, tests de sécurité.

A.8.22 Surveillance de la sécurité

  • Explication : Mettre en place une supervision continue (SOC, SIEM, NDR).
  • Exemple : Une entreprise confie sa surveillance à un SOC 24/7.

Warning

Erreur fréquente : absence de corrélation entre les alertes.

  • Preuves d’audit : rapports SOC, tableaux de bord.

A.8.23 Tests d’intrusion et revues techniques

  • Explication : Réaliser des tests d’intrusion et audits techniques périodiques.
  • Exemple : Une banque réalise un pentest annuel par un prestataire qualifié PASSI.

Warning

Erreur fréquente : pentests limités aux applications web, négligeant l’infra interne.

  • Preuves d’audit : rapports pentest, plans de remédiation.

A.8.24 Gestion des vulnérabilités applicatives

  • Explication : Identifier et corriger les failles applicatives.
  • Exemple : Intégration d’outils SCA (Software Composition Analysis).

Warning

Erreur fréquente : dépendances open source non patchées.

  • Preuves d’audit : rapports SCA, tickets correctifs.

A.8.25 Sécurité du code source

  • Explication : Protéger le code source contre l’accès non autorisé et les modifications.
  • Exemple : Une fintech stocke son code dans GitHub avec MFA et logs.

Warning

Erreur fréquente : dépôts publics avec données sensibles.

  • Preuves d’audit : configuration Git, logs d’accès.

A.8.26 Résilience des systèmes

  • Explication : Concevoir les systèmes pour résister aux pannes et attaques (redondance, haute dispo).
  • Exemple : Une entreprise utilise un cluster Kubernetes multi-sites.

Warning

Erreur fréquente : SPOF (Single Point of Failure).

  • Preuves d’audit : schémas d’architecture, tests de bascule.

A.8.27 Sécurité des terminaux utilisateurs

  • Explication : Sécuriser les postes de travail et mobiles via durcissement et MDM.
  • Exemple : Une société active BitLocker, Intune et MFA sur tout le parc.

Warning

Erreur fréquente : laisser des postes avec droits admin locaux.

  • Preuves d’audit : rapports MDM, inventaire des terminaux.

A.8.28 Sécurité des systèmes industriels

  • Explication : Appliquer des mesures spécifiques aux environnements OT (ICS, SCADA).
  • Exemple : Un site énergétique isole ses réseaux OT et supervise via un IDS industriel.

Warning

Erreur fréquente : connecter les réseaux OT directement à Internet.

  • Preuves d’audit : schémas OT/IT, rapports d’audit industriel.

A.8.29 Sécurité du télétravail

  • Explication : Encadrer le télétravail (VPN, MFA, politique d’usage, chiffrement disque).
  • Exemple : Une administration impose VPN IPSec + MFA pour ses télétravailleurs.

Warning

Erreur fréquente : usage de Wi-Fi non sécurisé sans VPN.

  • Preuves d’audit : politique télétravail, logs VPN.

A.8.30 Sécurité des appareils personnels (BYOD)

  • Explication : Encadrer l’usage des appareils personnels avec MDM et chiffrement obligatoire.
  • Exemple : Une société applique un container sécurisé sur smartphones BYOD.

Warning

Erreur fréquente : BYOD non encadré → fuite de données.

  • Preuves d’audit : politique BYOD, configuration MDM.

A.8.31 Supervision de la disponibilité des systèmes

  • Explication : Surveiller et alerter en cas de panne ou surcharge.
  • Exemple : Un centre hospitalier surveille la dispo de ses SI vitaux via Nagios.

Warning

Erreur fréquente : absence d’alertes en temps réel.

  • Preuves d’audit : rapports de supervision, alertes.

A.8.32 Sécurité des réseaux sans fil

  • Explication : Protéger les réseaux Wi-Fi via WPA3, VLAN et segmentation.
  • Exemple : Une société sépare son Wi-Fi invité et son Wi-Fi interne.

Warning

Erreur fréquente : Wi-Fi invité connecté au LAN interne.

  • Preuves d’audit : configuration Wi-Fi, tests de pénétration.

A.8.33 Protection contre les attaques par déni de service

  • Explication : Déployer des protections anti-DDoS et de la résilience réseau.
  • Exemple : Une banque utilise un service scrubbing anti-DDoS.

Warning

Erreur fréquente : dépendance à une seule ligne Internet.

  • Preuves d’audit : logs DDoS, contrat fournisseur.

A.8.34 Protection contre les menaces émergentes

  • Explication : Mettre en place une veille et intégrer les nouvelles menaces dans le SMSI.
  • Exemple : Une entreprise intègre les bulletins CERT-FR dans sa politique patch.

Warning

Erreur fréquente : absence de processus de veille structurée.

  • Preuves d’audit : rapports de veille, procédures de mise à jour.

Conclusion du bloc A.8 – Mesures technologiques

Le bloc technologique est le plus vaste de l’Annexe A. Il couvre la majorité des contrôles visibles et audités lors des certifications.
Il ne suffit pas d’acheter des solutions techniques : leur efficacité doit être démontrée par des indicateurs, des tests et des preuves d’audit.

En résumé, ce bloc constitue le bouclier technique du SMSI, complément indispensable aux mesures organisationnelles, humaines et physiques.

Vue Graphique