P.I.L.O.T.E

2 min de lecture

5.4 Sécurité des plateformes (PR.PS)

Objectif de la catégorie

Cette catégorie s’assure que les composants techniques (matériel, logiciels, services) sont configurés, maintenus et surveillés pour préserver leur sécurité tout au long de leur cycle de vie.

Protection

Un système mal configuré ou obsolète est souvent l’entrée préférée des attaquants.

PR.PS-01 : Gestion de la configuration

  • Politiques de configuration sécurisée :
    • Désactivation des services inutiles
    • Chiffrement activé par défaut
    • Journalisation activée
  • Utilisation d’outils de gestion centralisée :
    • GPO (Windows), Ansible, Puppet…

PR.PS-02 : Gestion des logiciels

  • Maintien des systèmes à jour :
    • Patching régulier (OS, middlewares, logiciels métiers)
  • Suppression des composants obsolètes ou vulnérables
  • Surveillance de l’exposition aux CVE critiques

PR.PS-03 : Gestion du matériel

  • Cycle de vie maîtrisé :
    • Acquisition validée par la SSI
    • Vérification de conformité (BIOS, firmware)
    • Retrait formalisé et sécurisé
  • Journalisation des changements matériels

PR.PS-04 : Génération et conservation des logs

  • Les composants doivent produire des logs normalisés :
    • Authentification, accès, erreurs, actions critiques
  • Centralisation dans un SIEM
  • Rétention conforme aux exigences légales ou métiers

PR.PS-05 : Contrôle de l’installation de logiciels non autorisés

  • Listes blanches (whitelisting) des applications autorisées
  • Restriction des droits d’installation (admin local interdit)
  • Surveillance des installations non approuvées

Failure

L’autorisation d’installer librement des logiciels est un facteur de Shadow IT incontrôlé.

PR.PS-06 : Développement logiciel sécurisé

  • Application des principes DevSecOps :
    • Revue de code, tests statiques/dynamiques
    • Intégration continue avec contrôles SSI
  • Documentation des exigences sécurité dans les cahiers des charges
  • Sensibilisation des équipes de développement

Synthèse opérationnelle

ÉlémentBonnes pratiques
ConfigurationBenchmarks CIS / durcissement systématique
LogicielsPatch management + retrait formel
MatérielBIOS sécurisé + effacement certifié en fin de vie
JournauxSIEM + politique de conservation
Dev sécuriséPipelines CI/CD intégrant des tests sécurité

Vue Graphique