Pour le technicien qui intervient.
OpenSCAP, Lynis, CIS-CAT, Tenable, Nessus Configuration Audit permettent une évaluation automatisee a grande échelle. Une évaluation manuelle ne tient pas la cadence sur un parc moderne. Integrer ces outils dans la CI/CD pour les nouvelles VMs et planifier un scan complet trimestriel.
Le durcissement maison sans referentiel est incomplet et invendable a l'auditeur. Les CIS Benchmarks (Center for Internet Security) couvrent Windows, Linux, applications, cloud. Le guide d'hygiene informatique de l'ANSSI propose 42 mesures concretes. ISO 27001 A.12.5.1 impose une politique de configuration secure documentée.
Un système en fin de support editeur (EOL) ne peut pas etre durci au sens propre : aucun correctif n'est plus disponible. Lister ces systèmes et planifier leur migration ou isolation réseau stricte (segment sans internet, acces limité). Documenter le risque dans le registre des risques.
Le durcissement evolue : nouvelles versions OS, nouveaux usages métier. Versionner les fichiers de politique (GPO, Ansible playbook, Puppet manifest) dans un depot Git. Cela permet de tracer les changements, de comprendre pourquoi un parametre est defini ainsi, et de revenir en arriere en cas de probleme.
Une politique de durcissement trop stricte casse certaines applications métier. Plutot que de desactiver le durcissement globalement, formaliser les exceptions par ressource avec justification métier, date de revue, mesure compensatoire. Cette traçabilite evite les regressions silencieuses.
Pour le responsable / gestionnaire.
Le durcissement maison sans referentiel est incomplet et invendable a l'auditeur. Les CIS Benchmarks (Center for Internet Security) couvrent Windows, Linux, applications, cloud. Le guide d'hygiene informatique de l'ANSSI propose 42 mesures concretes. ISO 27001 A.12.5.1 impose une politique de configuration secure documentée.
Un système en fin de support editeur (EOL) ne peut pas etre durci au sens propre : aucun correctif n'est plus disponible. Lister ces systèmes et planifier leur migration ou isolation réseau stricte (segment sans internet, acces limité). Documenter le risque dans le registre des risques.
Pour l'audit, conserver la sortie de l'outil par système avec date et version du referentiel appliqué. Cette traçabilite est demandee en audit ISO 27001 et NIS2. Un dashboard de conformite globale, mis a jour mensuellement, facilite considerablement les audits annuels.
Pour l'auditeur et le contrôle de conformité.
Pour l'audit, conserver la sortie de l'outil par système avec date et version du referentiel appliqué. Cette traçabilite est demandee en audit ISO 27001 et NIS2. Un dashboard de conformite globale, mis a jour mensuellement, facilite considerablement les audits annuels.