Prix
Essai

Acquisition, développement et maintenance

Le cycle de vie de l'achat et du développement des réseaux et des systèmes d'information doit être sécurisé dans toutes ses phases, de la planification à la maintenance en passant par la mise en œuvre.

Acquisition, développement et maintenance

Le cycle de vie de l’achat et du développement des réseaux et des systèmes d’information doit être sécurisé dans toutes ses phases, de la planification à la maintenance en passant par la mise en œuvre.

Acquisition, développement et maintenance

Vous devez assurer la cybersécurité des réseaux et des systèmes d’information depuis l’acquisition et le développement, la mise en œuvre, l’exploitation, le retrait progressif et l’élimination de chaque composant des systèmes.

Exigences

Votre organisation doit documenter les procédures de cybersécurité pour :

  • l’acquisition de réseaux et de systèmes d’information ou de services auprès de tiers,
  • Le développement et la maintenance des réseaux et des systèmes d’information,
  • Mise au rebut des réseaux et des systèmes d’information,

Ces procédures doivent être basées sur la politique de sécurité du système d’information de votre organisation et doivent être liées à la politique de gestion des risques et aux procédures de gestion des fournisseurs.

Vous pouvez également prendre en compte les éléments suivants :

  • s’assurer que des mises à jour de sécurité sont disponibles auprès du fabricant pendant toute la durée de vie prévue du produit,
  • établir, documenter, mettre en œuvre et surveiller les configurations, y compris les correctifs et les mises à jour pour le matériel, les logiciels, les services et les réseaux,
  • spécifier et appliquer des procédures de gestion du changement,
  • veiller à ce que les modifications, les réparations et la maintenance des réseaux et des systèmes d’information respectent vos procédures de gestion des changements,
  • effectuer des tests allant de l’examen de la configuration à des tests complets de la sécurité globale du réseau et de l’information,
  • gérer les risques liés à l’acquisition de services, de systèmes ou de produits informatiques auprès de fournisseurs et de prestataires de services tout au long de leur cycle de vie,
  • définir et appliquer des exigences claires en matière de développement de logiciels et de systèmes sécurisés lors de l’acquisition ou du développement de réseaux et de systèmes d’information. Ces exigences doivent couvrir toutes les phases de développement, par exemple par le biais de la sécurité dès la conception,
  • séparer les systèmes en réseaux ou en zones en fonction des besoins de l’entreprise et de la criticité, sur la base de vos évaluations des risques,
  • protéger les réseaux et les systèmes d’information contre les logiciels malveillants ou non autorisés en introduisant des mesures de détection ou de prévention des logiciels malveillants.

Documentation

Vous devez revoir vos processus de gestion du cycle de vie des services, systèmes ou produits informatiques achetés et développés en interne à intervalles réguliers et après des incidents majeurs. Ces révisions doivent être documentées.

Gestion de la vulnérabilité

Vous devez mettre en place des procédures de gestion des vulnérabilités afin de les découvrir et de mettre en œuvre des mesures appropriées pour réduire la probabilité qu’elles soient exploitées à n’importe quel stade du cycle de vie du système d’information. En outre, le partage d’informations sur les vulnérabilités peut également aider les autres à prendre conscience des faiblesses de leurs propres systèmes.

Exigences

Votre organisation doit disposer de procédures sur la manière de gérer les vulnérabilités susceptibles d’affecter les réseaux et les systèmes d’information. Ces procédures doivent vous permettre de recueillir des informations sur les vulnérabilités techniques, d’évaluer votre propre exposition à ces vulnérabilités et de prendre les mesures appropriées pour les gérer.

Pour gérer les vulnérabilités, vous devez procéder comme suit :

  • se tenir au courant des informations sur les vulnérabilités provenant de diverses sources, telles que les CSIRT nationaux et les fournisseurs ou prestataires de services,
  • mettre en œuvre des procédures de gestion des vulnérabilités et documenter les raisons pour lesquelles ils n’ont pas choisi de remédier aux vulnérabilités,
  • effectuer des analyses de vulnérabilité à intervalles réguliers et après des changements majeurs ou des incidents de sécurité, et documenter les résultats. Dans les environnements OT, la surveillance passive et l’analyse du trafic peuvent être utilisées à la place, car les analyses actives peuvent entraîner des perturbations ou des temps d’arrêt. Vous devez appuyer ces analyses de vulnérabilité par des examens réguliers de la sécurité des configurations du système,
  • aligner la gestion des vulnérabilités sur les processus de gestion des changements et de traitement des incidents,
  • veiller à ce que les vulnérabilités critiques soient traitées sans retard inutile.

Vous pouvez également envisager de mettre en place une politique coordonnée de divulgation des vulnérabilités pour vos systèmes. Les incidents importants doivent être signalés et les vulnérabilités qui ne sont pas encore accessibles au public doivent être partagées avec votre CSIRT national.

Documentation

Vous devez enregistrer les observations de vos analyses de vulnérabilité et documenter vos conclusions et les mesures prises. Vous devez contrôler vos sources d’information sur les vulnérabilités à intervalles réguliers et documenter les vulnérabilités pertinentes.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.