{
    "uuid": "f054e514f6e59db8ddf2628696553c79",
    "slug": "audit-durcissement-systemes",
    "lang": "fr",
    "audience": null,
    "count": 6,
    "conseils": [
        {
            "uuid": "ada66ee8ae814ff998c4bdfd401e58b9",
            "category": "regulatory",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "mandatory",
            "title": "S'appuyer sur un referentiel reconnu : CIS Benchmarks ou ANSSI",
            "content": "Le durcissement maison sans referentiel est incomplet et invendable a l'auditeur. Les CIS Benchmarks (Center for Internet Security) couvrent Windows, Linux, applications, cloud. Le guide d'hygiene informatique de l'ANSSI propose 42 mesures concretes. ISO 27001 A.12.5.1 impose une politique de configuration secure documentée."
        },
        {
            "uuid": "d968d2facde14724b21a9e3205178e92",
            "category": "operational",
            "audience": [
                "technician"
            ],
            "severity": "critical",
            "title": "Automatiser la vérification avec un outil",
            "content": "OpenSCAP, Lynis, CIS-CAT, Tenable, Nessus Configuration Audit permettent une évaluation automatisee a grande échelle. Une évaluation manuelle ne tient pas la cadence sur un parc moderne. Integrer ces outils dans la CI/CD pour les nouvelles VMs et planifier un scan complet trimestriel."
        },
        {
            "uuid": "66e0bf5a68744d6ca1932416dc843775",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "mandatory",
            "title": "Decommissionner les systèmes EOL",
            "content": "Un système en fin de support editeur (EOL) ne peut pas etre durci au sens propre : aucun correctif n'est plus disponible. Lister ces systèmes et planifier leur migration ou isolation réseau stricte (segment sans internet, acces limité). Documenter le risque dans le registre des risques."
        },
        {
            "uuid": "fd740f56e5c242979ee48725cc6d2f6b",
            "category": "operational",
            "audience": [
                "technician"
            ],
            "severity": "recommended",
            "title": "Versionner les politiques de durcissement",
            "content": "Le durcissement evolue : nouvelles versions OS, nouveaux usages métier. Versionner les fichiers de politique (GPO, Ansible playbook, Puppet manifest) dans un depot Git. Cela permet de tracer les changements, de comprendre pourquoi un parametre est defini ainsi, et de revenir en arriere en cas de probleme."
        },
        {
            "uuid": "97fc549a653042d8a4fc64e983da7004",
            "category": "training",
            "audience": [
                "technician"
            ],
            "severity": "recommended",
            "title": "Communiquer avec les equipes métier sur les exceptions",
            "content": "Une politique de durcissement trop stricte casse certaines applications métier. Plutot que de desactiver le durcissement globalement, formaliser les exceptions par ressource avec justification métier, date de revue, mesure compensatoire. Cette traçabilite evite les regressions silencieuses."
        },
        {
            "uuid": "bc81355eef2b4dafbad7825c36cf95d1",
            "category": "regulatory",
            "audience": [
                "auditor",
                "manager"
            ],
            "severity": "recommended",
            "title": "Conserver les preuves de conformite par système",
            "content": "Pour l'audit, conserver la sortie de l'outil par système avec date et version du referentiel appliqué. Cette traçabilite est demandee en audit ISO 27001 et NIS2. Un dashboard de conformite globale, mis a jour mensuellement, facilite considerablement les audits annuels."
        }
    ]
}