Prix
Essai

Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs

Le NIS2 exige au minimum que les organisations protègent leur réseau et leurs systèmes d'information en mettant en place des mesures dans le cadre de la sécurité des ressources humaines, des politiques de contrôle d'accès et de la gestion des actifs.

Sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs

Le NIS2 exige au minimum que les organisations protègent leur réseau et leurs systèmes d’information en mettant en place des mesures dans le cadre de la sécurité des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs.

Ressources humaines Sécurité

Votre organisation doit s’assurer que les employés, les partenaires et les fournisseurs comprennent et assument leurs responsabilités en matière de sécurité, conformément à la politique de sécurité du système d’information de l’organisation.

Exigences

Votre organisation doit veiller à ce que les employés, les fournisseurs et les prestataires de services soient conscients de leurs responsabilités en matière de protection des réseaux et des systèmes d’information de votre organisation et qu’ils les assument.

Vous pouvez établir des procédures pour vous assurer que

  • tous les employés, les fournisseurs directs et les prestataires de services connaissent et respectent vos pratiques standard en matière de cyberhygiène,
  • tous les utilisateurs disposant d’un accès administratif ou privilégié comprennent et agissent en fonction de leur rôle, de leurs responsabilités et de leur autorisation,
  • les membres de la direction comprennent leur rôle et leurs responsabilités en matière de sécurité des réseaux et des systèmes d’information et agissent en conséquence

Ces responsabilités en matière de sécurité peuvent être incluses dans les contrats et les accords de travail.

Vous pouvez vérifier les antécédents des nouveaux employés, des fournisseurs directs et des consultants, si vous estimez que l’évaluation des risques liés à leur rôle, à leurs responsabilités et à leur accès au réseau et aux systèmes d’information l’exige.

Si vous estimez que les vérifications d’antécédents sont pertinentes, vous devriez le faire :

  • définir les rôles et les responsabilités qui nécessitent une vérification des antécédents,
  • veiller à ce que les contrôles soient effectués dans le respect des lois et des normes éthiques,
  • effectuer les vérifications avant que les personnes n’assument le rôle ou les responsabilités en question.

Vous devez également veiller à ce que les responsabilités en matière de sécurité qui restent valables après le départ ou le changement de fonction d’un employé soient clairement définies, communiquées et comprises. Vous devez également définir et communiquer les règles qui s’appliquent en cas de violation des politiques ou procédures de sécurité.

Documentation

Les contrats de travail de votre organisation peuvent stipuler que les employés sont tenus de suivre la formation nécessaire en matière de sécurité des réseaux et des systèmes d’information, et qu’ils sont conscients de leurs responsabilités en ce qui concerne le respect des politiques et des procédures de l’organisation.

Votre documentation peut inclure des politiques et des procédures écrites pour des activités telles que les vérifications des antécédents et les entretiens de départ. Ces politiques et procédures doivent être révisées à intervalles réguliers.

Politiques de contrôle d’accès

Vous devez établir des politiques de contrôle d’accès pour protéger les actifs physiques et numériques contre la perte de confidentialité, d’intégrité et de disponibilité en empêchant les accès non autorisés.

Exigences

Votre organisme doit établir une politique de contrôle d’accès pour accorder, modifier et supprimer les droits d’accès aux réseaux et aux systèmes d’information, qui doit être conforme à la politique de sécurité du système d’information.

La politique doit identifier et évaluer les risques liés au contrôle d’accès logique et physique, couvrant l’accès par des personnes et des processus, par exemple lorsqu’un système externe est connecté à un système interne.

La politique doit comprendre des procédures de gestion des droits d’accès, y compris des droits privilégiés, qui doivent couvrir les aspects suivants

  • les méthodes d’identification et d’évaluation des besoins d’accès pour les employés, les fournisseurs et les prestataires de services, y compris les utilisateurs normaux et ceux qui ont des droits administratifs,
  • les méthodes permettant de garantir que les droits d’accès sont accordés, modifiés ou supprimés en fonction des besoins.

Votre organisation doit restreindre et contrôler l’utilisation des systèmes d’administration informatique et des systèmes qui peuvent modifier les configurations de sécurité. Votre politique de contrôle d’accès peut couvrir l’accès des employés et des parties externes, telles que les fournisseurs.

Vous devez gérer et documenter les identités de tous les utilisateurs et systèmes ayant accès aux informations et aux actifs connexes, en veillant à ce que l’on sache clairement qui ou quoi a accès aux réseaux et aux systèmes et pourquoi. Ce processus doit couvrir l’ensemble du cycle de vie des identités, y compris leur création, leur modification, leur révision régulière et leur suppression éventuelle. Pour ce faire, des procédures et des technologies d’authentification sécurisées doivent être mises en œuvre conformément à la politique de contrôle d’accès.

Documentation

Votre documentation sur les contrôles d’accès peut comprendre des politiques et des procédures écrites concernant l’octroi, la modification et la suppression de l’accès aux locaux et aux systèmes d’information de votre organisation. Ces politiques et procédures doivent être revues à intervalles réguliers.

Gestion des actifs

La gestion des actifs permet à votre organisation de savoir quels actifs doivent être protégés et quel niveau de protection est approprié pour chacun d’entre eux. Il s’agit d’une exigence de la NIS2.

Exigences

Votre organisation doit définir la gestion des actifs susceptibles d’affecter la sécurité du réseau et de l’information. Vous devez donc établir des procédures qui couvrent la gestion de tous les actifs, y compris les réseaux et les systèmes d’information, les composants connexes et les dépendances critiques avec vos partenaires. Un niveau de protection approprié doit être défini pour chaque bien.

L’organisation :

  • devrait établir une procédure pour définir les niveaux de classification des actifs, de sorte que les niveaux de protection reflètent la sensibilité, la criticité, le risque et la valeur commerciale de chaque actif,
  • doit préparer et communiquer les instructions relatives à la manipulation des biens tout au long de leur cycle de vie et conformément à la politique de sécurité du système d’information.
  • peut élaborer et tenir à jour un inventaire des réseaux et des systèmes d’information, ainsi que des actifs connexes. Vous devez vous assurer que l’inventaire des actifs reste complet, précis et fiable. Les modifications apportées à l’inventaire doivent être documentées et incluses dans les processus de gestion du changement.
  • devrait exiger que tous les membres du personnel et les partenaires extérieurs restituent ou suppriment définitivement les actifs qui leur ont été remis dès la fin de leur emploi ou de leur contrat.

Documentation

Vos documents de conformité peuvent inclure des procédures écrites pour le traitement des actifs et des enregistrements sur la manière dont ces procédures sont communiquées aux employés concernés. Ces procédures doivent être revues à intervalles réguliers.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.