From f8e71971219477c158d1f34797fcc8194b56c289 Mon Sep 17 00:00:00 2001 From: Dacodhack Date: Mon, 25 Nov 2024 22:07:14 +0100 Subject: [PATCH] =?UTF-8?q?Refonte=20V1.1=20et=20int=C3=A9gration=20des=20?= =?UTF-8?q?vulns=20pour=20PA022=20et=20PA075?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- _adrela/ANSSI-PA-022_R01.md | 16 ---- _adrela/ANSSI-PA-022_R02.md | 16 ---- _adrela/ANSSI-PA-022_R03.md | 16 ---- _adrela/ANSSI-PA-022_R04.md | 16 ---- _adrela/ANSSI-PA-022_R05.md | 16 ---- _adrela/ANSSI-PA-022_R06.md | 16 ---- _adrela/ANSSI-PA-022_R07.md | 15 ---- _adrela/ANSSI-PA-022_R08.md | 17 ---- _adrela/ANSSI-PA-022_R09--.md | 22 ------ _adrela/ANSSI-PA-022_R09-.md | 18 ----- _adrela/ANSSI-PA-022_R09.md | 17 ---- _adrela/ANSSI-PA-022_R10.md | 16 ---- _adrela/ANSSI-PA-022_R11.md | 21 ----- _adrela/ANSSI-PA-022_R12.md | 17 ---- _adrela/ANSSI-PA-022_R13.md | 18 ----- _adrela/ANSSI-PA-022_R14.md | 17 ---- _adrela/ANSSI-PA-022_R15.md | 17 ---- _adrela/ANSSI-PA-022_R16.md | 16 ---- _adrela/ANSSI-PA-022_R17.md | 16 ---- _adrela/ANSSI-PA-022_R18-.md | 16 ---- _adrela/ANSSI-PA-022_R18.md | 18 ----- _adrela/ANSSI-PA-022_R19.md | 16 ---- _adrela/ANSSI-PA-022_R20.md | 16 ---- _adrela/ANSSI-PA-022_R21.md | 18 ----- _adrela/ANSSI-PA-022_R22.md | 17 ---- _adrela/ANSSI-PA-022_R23.md | 17 ---- _adrela/ANSSI-PA-022_R24.md | 17 ---- _adrela/ANSSI-PA-022_R25.md | 17 ---- _adrela/ANSSI-PA-022_R26.md | 19 ----- _adrela/ANSSI-PA-022_R27.md | 17 ---- _adrela/ANSSI-PA-022_R28.md | 19 ----- _adrela/ANSSI-PA-022_R29.md | 17 ---- _adrela/ANSSI-PA-022_R30.md | 18 ----- _adrela/ANSSI-PA-022_R31.md | 22 ------ _adrela/ANSSI-PA-022_R32.md | 17 ---- _adrela/ANSSI-PA-022_R33.md | 17 ---- _adrela/ANSSI-PA-022_R34.md | 16 ---- _adrela/ANSSI-PA-022_R35.md | 17 ---- _adrela/ANSSI-PA-022_R36.md | 16 ---- _adrela/ANSSI-PA-022_R37.md | 17 ---- _adrela/ANSSI-PA-022_R38.md | 16 ---- _adrela/ANSSI-PA-022_R39.md | 17 ---- _adrela/ANSSI-PA-022_R40.md | 17 ---- _adrela/ANSSI-PA-022_R41.md | 17 ---- _adrela/ANSSI-PA-022_R42.md | 16 ---- _adrela/ANSSI-PA-022_R43.md | 19 ----- _adrela/ANSSI-PA-022_R44.md | 18 ----- _adrela/ANSSI-PA-022_R45.md | 18 ----- _adrela/ANSSI-PA-022_R46.md | 17 ---- _adrela/ANSSI-PA-022_R47.md | 17 ---- _adrela/ANSSI-PA-022_R48.md | 16 ---- _adrela/ANSSI-PA-022_R50.md | 16 ---- _adrela/ANSSI-PA-022_R51.md | 16 ---- _adrela/ANSSI-PA-022_R52.md | 16 ---- _adrela/ANSSI-PA-022_R53.md | 16 ---- _adrela/ANSSI-PA-022_R54.md | 17 ---- _adrela/ANSSI-PA-022_R55.md | 17 ---- _adrela/ANSSI-PA-022_R56.md | 17 ---- _adrela/ANSSI-PA-022_R57.md | 15 ---- _adrela/ANSSI-PA-022_R58.md | 17 ---- _adrela/ANSSI-PA-022_R59.md | 16 ---- _adrela/ANSSI-PA-022_R60.md | 16 ---- _adrela/ANSSI-PA-022_R61.md | 22 ------ _adrela/ANSSI-PA-022_R62.md | 17 ---- _adrela/ANSSI-PA-022_R65+.md | 16 ---- _adrela/ANSSI-PA-022_R66.md | 16 ---- _adrela/ANSSI-PA-022_R67.md | 17 ---- _adrela/ANSSI-PA-022_R69.md | 17 ---- _adrela/ANSSI-PA-022_R70.md | 18 ----- _adrela/ANSSI-PA-022_R71.md | 18 ----- _adrela/PA-022_R1.md | 23 ++++++ _adrela/PA-022_R10.md | 23 ++++++ _adrela/PA-022_R11.md | 28 +++++++ _adrela/PA-022_R12.md | 24 ++++++ _adrela/PA-022_R13.md | 25 ++++++ _adrela/PA-022_R14.md | 24 ++++++ .../{ANSSI-PA-022_R15-.md => PA-022_R15-.md} | 27 ++++--- _adrela/PA-022_R15.md | 25 ++++++ _adrela/PA-022_R16.md | 23 ++++++ _adrela/PA-022_R17.md | 23 ++++++ _adrela/PA-022_R18-.md | 23 ++++++ _adrela/PA-022_R18.md | 26 ++++++ _adrela/PA-022_R19.md | 23 ++++++ _adrela/PA-022_R2.md | 23 ++++++ _adrela/PA-022_R20.md | 23 ++++++ _adrela/PA-022_R22.md | 24 ++++++ _adrela/PA-022_R23.md | 23 ++++++ .../{ANSSI-PA-022_R24-.md => PA-022_R24-.md} | 25 +++--- _adrela/PA-022_R24.md | 24 ++++++ _adrela/PA-022_R25.md | 26 ++++++ _adrela/PA-022_R26.md | 25 ++++++ _adrela/PA-022_R27.md | 28 +++++++ _adrela/PA-022_R28.md | 29 +++++++ _adrela/PA-022_R29.md | 27 +++++++ _adrela/PA-022_R3.md | 23 ++++++ _adrela/PA-022_R30.md | 29 +++++++ _adrela/PA-022_R31.md | 30 +++++++ _adrela/PA-022_R32.md | 29 +++++++ _adrela/PA-022_R33.md | 26 ++++++ _adrela/PA-022_R34.md | 23 ++++++ _adrela/PA-022_R35.md | 27 +++++++ _adrela/PA-022_R36.md | 26 ++++++ _adrela/PA-022_R37.md | 27 +++++++ _adrela/PA-022_R38.md | 26 ++++++ _adrela/PA-022_R39.md | 24 ++++++ _adrela/PA-022_R4.md | 23 ++++++ _adrela/PA-022_R41.md | 25 ++++++ _adrela/PA-022_R42.md | 23 ++++++ _adrela/PA-022_R43.md | 24 ++++++ _adrela/PA-022_R44.md | 27 +++++++ _adrela/PA-022_R45.md | 25 ++++++ _adrela/PA-022_R46.md | 24 ++++++ _adrela/PA-022_R47.md | 23 ++++++ _adrela/PA-022_R48.md | 23 ++++++ .../{ANSSI-PA-022_R49.md => PA-022_R49.md} | 29 ++++--- _adrela/PA-022_R5.md | 23 ++++++ _adrela/PA-022_R50.md | 25 ++++++ _adrela/PA-022_R51.md | 23 ++++++ _adrela/PA-022_R52.md | 24 ++++++ _adrela/PA-022_R53.md | 23 ++++++ _adrela/PA-022_R54.md | 24 ++++++ _adrela/PA-022_R55.md | 24 ++++++ _adrela/PA-022_R56.md | 24 ++++++ _adrela/PA-022_R57.md | 23 ++++++ _adrela/PA-022_R59.md | 23 ++++++ _adrela/PA-022_R6.md | 23 ++++++ _adrela/PA-022_R62.md | 24 ++++++ .../{ANSSI-PA-022_R63-.md => PA-022_R63-.md} | 25 +++--- .../{ANSSI-PA-022_R63.md => PA-022_R63.md} | 25 +++--- .../{ANSSI-PA-022_R64.md => PA-022_R64.md} | 25 +++--- _adrela/PA-022_R66.md | 23 ++++++ _adrela/PA-022_R67.md | 24 ++++++ .../{ANSSI-PA-022_R68.md => PA-022_R68.md} | 23 ++++-- _adrela/PA-022_R69.md | 24 ++++++ _adrela/PA-022_R7.md | 24 ++++++ _adrela/PA-022_R70.md | 25 ++++++ _adrela/PA-022_R8.md | 24 ++++++ _adrela/PA-022_R9-.md | 24 ++++++ _adrela/PA-085_R1.md | 24 ++++++ _adrela/PA-085_R2-.md | 24 ++++++ _adrela/PA-085_R2.md | 24 ++++++ _adrela/PA-085_R3.md | 24 ++++++ _adrela/PA-085_R4.md | 24 ++++++ _adrela/PA-085_R5.md | 24 ++++++ _adrela/PG-075_R1.md | 25 ++++++ _adrela/PG-075_R10.md | 24 ++++++ _adrela/PG-075_R11.md | 25 ++++++ _adrela/PG-075_R12.md | 26 ++++++ _adrela/PG-075_R13.md | 25 ++++++ _adrela/PG-075_R14.md | 25 ++++++ _adrela/PG-075_R15.md | 25 ++++++ _adrela/PG-075_R16.md | 26 ++++++ _adrela/PG-075_R17.md | 25 ++++++ _adrela/PG-075_R18--.md | 25 ++++++ _adrela/PG-075_R18-.md | 25 ++++++ _adrela/PG-075_R18.md | 25 ++++++ _adrela/PG-075_R19.md | 25 ++++++ _adrela/PG-075_R20.md | 25 ++++++ _adrela/PG-075_R21.md | 25 ++++++ _adrela/PG-075_R22.md | 25 ++++++ _adrela/PG-075_R23.md | 25 ++++++ _adrela/PG-075_R24.md | 25 ++++++ _adrela/PG-075_R25.md | 26 ++++++ _adrela/PG-075_R26.md | 26 ++++++ _adrela/PG-075_R27.md | 25 ++++++ _adrela/PG-075_R28.md | 25 ++++++ _adrela/PG-075_R29.md | 25 ++++++ _adrela/PG-075_R3.md | 24 ++++++ _adrela/PG-075_R30.md | 25 ++++++ _adrela/PG-075_R31.md | 26 ++++++ _adrela/PG-075_R32.md | 25 ++++++ _adrela/PG-075_R34.md | 25 ++++++ _adrela/PG-075_R35.md | 25 ++++++ _adrela/PG-075_R36.md | 26 ++++++ _adrela/PG-075_R37.md | 26 ++++++ _adrela/PG-075_R38.md | 26 ++++++ _adrela/PG-075_R39.md | 25 ++++++ _adrela/PG-075_R4.md | 25 ++++++ _adrela/PG-075_R40.md | 25 ++++++ _adrela/PG-075_R41.md | 25 ++++++ _adrela/PG-075_R42.md | 25 ++++++ _adrela/PG-075_R44.md | 25 ++++++ _adrela/PG-075_R45.md | 25 ++++++ _adrela/PG-075_R47.md | 28 +++++++ _adrela/PG-075_R48.md | 26 ++++++ _adrela/PG-075_R49.md | 26 ++++++ _adrela/PG-075_R5-.md | 25 ++++++ _adrela/PG-075_R5.md | 26 ++++++ _adrela/PG-075_R50-.md | 25 ++++++ _adrela/PG-075_R50.md | 25 ++++++ _adrela/PG-075_R51.md | 26 ++++++ _adrela/PG-075_R52--.md | 25 ++++++ _adrela/PG-075_R52-.md | 25 ++++++ _adrela/PG-075_R52.md | 25 ++++++ _adrela/PG-075_R53.md | 25 ++++++ _adrela/PG-075_R54.md | 25 ++++++ _adrela/PG-075_R56.md | 25 ++++++ _adrela/PG-075_R57.md | 26 ++++++ _adrela/PG-075_R58.md | 26 ++++++ _adrela/PG-075_R59.md | 25 ++++++ _adrela/PG-075_R6.md | 25 ++++++ _adrela/PG-075_R60.md | 25 ++++++ _adrela/PG-075_R61.md | 24 ++++++ _adrela/PG-075_R62.md | 25 ++++++ _adrela/PG-075_R63.md | 22 ++++++ _adrela/PG-075_R64-.md | 21 +++++ _adrela/PG-075_R65.md | 24 ++++++ _adrela/PG-075_R66.md | 25 ++++++ _adrela/PG-075_R68.md | 25 ++++++ _adrela/PG-075_R7.md | 25 ++++++ _adrela/PG-075_R70.md | 20 +++++ _adrela/PG-075_R8.md | 25 ++++++ _adrela/PG-075_R9.md | 25 ++++++ _data/livrables.yml | 18 ++++- _includes/bin_table.html | 2 +- _includes/filter_list.html | 4 +- _layouts/bin.html | 79 ++++++++++++++----- assets/style.scss | 54 +++++++++++-- assets/styleDark.scss | 20 ++--- 219 files changed, 3623 insertions(+), 1298 deletions(-) delete mode 100644 _adrela/ANSSI-PA-022_R01.md delete mode 100644 _adrela/ANSSI-PA-022_R02.md delete mode 100644 _adrela/ANSSI-PA-022_R03.md delete mode 100644 _adrela/ANSSI-PA-022_R04.md delete mode 100644 _adrela/ANSSI-PA-022_R05.md delete mode 100644 _adrela/ANSSI-PA-022_R06.md delete mode 100644 _adrela/ANSSI-PA-022_R07.md delete mode 100644 _adrela/ANSSI-PA-022_R08.md delete mode 100644 _adrela/ANSSI-PA-022_R09--.md delete mode 100644 _adrela/ANSSI-PA-022_R09-.md delete mode 100644 _adrela/ANSSI-PA-022_R09.md delete mode 100644 _adrela/ANSSI-PA-022_R10.md delete mode 100644 _adrela/ANSSI-PA-022_R11.md delete mode 100644 _adrela/ANSSI-PA-022_R12.md delete mode 100644 _adrela/ANSSI-PA-022_R13.md delete mode 100644 _adrela/ANSSI-PA-022_R14.md delete mode 100644 _adrela/ANSSI-PA-022_R15.md delete mode 100644 _adrela/ANSSI-PA-022_R16.md delete mode 100644 _adrela/ANSSI-PA-022_R17.md delete mode 100644 _adrela/ANSSI-PA-022_R18-.md delete mode 100644 _adrela/ANSSI-PA-022_R18.md delete mode 100644 _adrela/ANSSI-PA-022_R19.md delete mode 100644 _adrela/ANSSI-PA-022_R20.md delete mode 100644 _adrela/ANSSI-PA-022_R21.md delete mode 100644 _adrela/ANSSI-PA-022_R22.md delete mode 100644 _adrela/ANSSI-PA-022_R23.md delete mode 100644 _adrela/ANSSI-PA-022_R24.md delete mode 100644 _adrela/ANSSI-PA-022_R25.md delete mode 100644 _adrela/ANSSI-PA-022_R26.md delete mode 100644 _adrela/ANSSI-PA-022_R27.md delete mode 100644 _adrela/ANSSI-PA-022_R28.md delete mode 100644 _adrela/ANSSI-PA-022_R29.md delete mode 100644 _adrela/ANSSI-PA-022_R30.md delete mode 100644 _adrela/ANSSI-PA-022_R31.md delete mode 100644 _adrela/ANSSI-PA-022_R32.md delete mode 100644 _adrela/ANSSI-PA-022_R33.md delete mode 100644 _adrela/ANSSI-PA-022_R34.md delete mode 100644 _adrela/ANSSI-PA-022_R35.md delete mode 100644 _adrela/ANSSI-PA-022_R36.md delete mode 100644 _adrela/ANSSI-PA-022_R37.md delete mode 100644 _adrela/ANSSI-PA-022_R38.md delete mode 100644 _adrela/ANSSI-PA-022_R39.md delete mode 100644 _adrela/ANSSI-PA-022_R40.md delete mode 100644 _adrela/ANSSI-PA-022_R41.md delete mode 100644 _adrela/ANSSI-PA-022_R42.md delete mode 100644 _adrela/ANSSI-PA-022_R43.md delete mode 100644 _adrela/ANSSI-PA-022_R44.md delete mode 100644 _adrela/ANSSI-PA-022_R45.md delete mode 100644 _adrela/ANSSI-PA-022_R46.md delete mode 100644 _adrela/ANSSI-PA-022_R47.md delete mode 100644 _adrela/ANSSI-PA-022_R48.md delete mode 100644 _adrela/ANSSI-PA-022_R50.md delete mode 100644 _adrela/ANSSI-PA-022_R51.md delete mode 100644 _adrela/ANSSI-PA-022_R52.md delete mode 100644 _adrela/ANSSI-PA-022_R53.md delete mode 100644 _adrela/ANSSI-PA-022_R54.md delete mode 100644 _adrela/ANSSI-PA-022_R55.md delete mode 100644 _adrela/ANSSI-PA-022_R56.md delete mode 100644 _adrela/ANSSI-PA-022_R57.md delete mode 100644 _adrela/ANSSI-PA-022_R58.md delete mode 100644 _adrela/ANSSI-PA-022_R59.md delete mode 100644 _adrela/ANSSI-PA-022_R60.md delete mode 100644 _adrela/ANSSI-PA-022_R61.md delete mode 100644 _adrela/ANSSI-PA-022_R62.md delete mode 100644 _adrela/ANSSI-PA-022_R65+.md delete mode 100644 _adrela/ANSSI-PA-022_R66.md delete mode 100644 _adrela/ANSSI-PA-022_R67.md delete mode 100644 _adrela/ANSSI-PA-022_R69.md delete mode 100644 _adrela/ANSSI-PA-022_R70.md delete mode 100644 _adrela/ANSSI-PA-022_R71.md create mode 100644 _adrela/PA-022_R1.md create mode 100644 _adrela/PA-022_R10.md create mode 100644 _adrela/PA-022_R11.md create mode 100644 _adrela/PA-022_R12.md create mode 100644 _adrela/PA-022_R13.md create mode 100644 _adrela/PA-022_R14.md rename _adrela/{ANSSI-PA-022_R15-.md => PA-022_R15-.md} (56%) create mode 100644 _adrela/PA-022_R15.md create mode 100644 _adrela/PA-022_R16.md create mode 100644 _adrela/PA-022_R17.md create mode 100644 _adrela/PA-022_R18-.md create mode 100644 _adrela/PA-022_R18.md create mode 100644 _adrela/PA-022_R19.md create mode 100644 _adrela/PA-022_R2.md create mode 100644 _adrela/PA-022_R20.md create mode 100644 _adrela/PA-022_R22.md create mode 100644 _adrela/PA-022_R23.md rename _adrela/{ANSSI-PA-022_R24-.md => PA-022_R24-.md} (55%) create mode 100644 _adrela/PA-022_R24.md create mode 100644 _adrela/PA-022_R25.md create mode 100644 _adrela/PA-022_R26.md create mode 100644 _adrela/PA-022_R27.md create mode 100644 _adrela/PA-022_R28.md create mode 100644 _adrela/PA-022_R29.md create mode 100644 _adrela/PA-022_R3.md create mode 100644 _adrela/PA-022_R30.md create mode 100644 _adrela/PA-022_R31.md create mode 100644 _adrela/PA-022_R32.md create mode 100644 _adrela/PA-022_R33.md create mode 100644 _adrela/PA-022_R34.md create mode 100644 _adrela/PA-022_R35.md create mode 100644 _adrela/PA-022_R36.md create mode 100644 _adrela/PA-022_R37.md create mode 100644 _adrela/PA-022_R38.md create mode 100644 _adrela/PA-022_R39.md create mode 100644 _adrela/PA-022_R4.md create mode 100644 _adrela/PA-022_R41.md create mode 100644 _adrela/PA-022_R42.md create mode 100644 _adrela/PA-022_R43.md create mode 100644 _adrela/PA-022_R44.md create mode 100644 _adrela/PA-022_R45.md create mode 100644 _adrela/PA-022_R46.md create mode 100644 _adrela/PA-022_R47.md create mode 100644 _adrela/PA-022_R48.md rename _adrela/{ANSSI-PA-022_R49.md => PA-022_R49.md} (50%) create mode 100644 _adrela/PA-022_R5.md create mode 100644 _adrela/PA-022_R50.md create mode 100644 _adrela/PA-022_R51.md create mode 100644 _adrela/PA-022_R52.md create mode 100644 _adrela/PA-022_R53.md create mode 100644 _adrela/PA-022_R54.md create mode 100644 _adrela/PA-022_R55.md create mode 100644 _adrela/PA-022_R56.md create mode 100644 _adrela/PA-022_R57.md create mode 100644 _adrela/PA-022_R59.md create mode 100644 _adrela/PA-022_R6.md create mode 100644 _adrela/PA-022_R62.md rename _adrela/{ANSSI-PA-022_R63-.md => PA-022_R63-.md} (55%) rename _adrela/{ANSSI-PA-022_R63.md => PA-022_R63.md} (53%) rename _adrela/{ANSSI-PA-022_R64.md => PA-022_R64.md} (55%) create mode 100644 _adrela/PA-022_R66.md create mode 100644 _adrela/PA-022_R67.md rename _adrela/{ANSSI-PA-022_R68.md => PA-022_R68.md} (53%) create mode 100644 _adrela/PA-022_R69.md create mode 100644 _adrela/PA-022_R7.md create mode 100644 _adrela/PA-022_R70.md create mode 100644 _adrela/PA-022_R8.md create mode 100644 _adrela/PA-022_R9-.md create mode 100644 _adrela/PA-085_R1.md create mode 100644 _adrela/PA-085_R2-.md create mode 100644 _adrela/PA-085_R2.md create mode 100644 _adrela/PA-085_R3.md create mode 100644 _adrela/PA-085_R4.md create mode 100644 _adrela/PA-085_R5.md create mode 100755 _adrela/PG-075_R1.md create mode 100755 _adrela/PG-075_R10.md create mode 100755 _adrela/PG-075_R11.md create mode 100755 _adrela/PG-075_R12.md create mode 100755 _adrela/PG-075_R13.md create mode 100755 _adrela/PG-075_R14.md create mode 100755 _adrela/PG-075_R15.md create mode 100755 _adrela/PG-075_R16.md create mode 100755 _adrela/PG-075_R17.md create mode 100755 _adrela/PG-075_R18--.md create mode 100755 _adrela/PG-075_R18-.md create mode 100755 _adrela/PG-075_R18.md create mode 100755 _adrela/PG-075_R19.md create mode 100755 _adrela/PG-075_R20.md create mode 100755 _adrela/PG-075_R21.md create mode 100755 _adrela/PG-075_R22.md create mode 100755 _adrela/PG-075_R23.md create mode 100755 _adrela/PG-075_R24.md create mode 100755 _adrela/PG-075_R25.md create mode 100755 _adrela/PG-075_R26.md create mode 100755 _adrela/PG-075_R27.md create mode 100755 _adrela/PG-075_R28.md create mode 100755 _adrela/PG-075_R29.md create mode 100755 _adrela/PG-075_R3.md create mode 100755 _adrela/PG-075_R30.md create mode 100755 _adrela/PG-075_R31.md create mode 100755 _adrela/PG-075_R32.md create mode 100755 _adrela/PG-075_R34.md create mode 100755 _adrela/PG-075_R35.md create mode 100755 _adrela/PG-075_R36.md create mode 100755 _adrela/PG-075_R37.md create mode 100755 _adrela/PG-075_R38.md create mode 100755 _adrela/PG-075_R39.md create mode 100755 _adrela/PG-075_R4.md create mode 100755 _adrela/PG-075_R40.md create mode 100755 _adrela/PG-075_R41.md create mode 100755 _adrela/PG-075_R42.md create mode 100755 _adrela/PG-075_R44.md create mode 100755 _adrela/PG-075_R45.md create mode 100755 _adrela/PG-075_R47.md create mode 100755 _adrela/PG-075_R48.md create mode 100755 _adrela/PG-075_R49.md create mode 100755 _adrela/PG-075_R5-.md create mode 100755 _adrela/PG-075_R5.md create mode 100755 _adrela/PG-075_R50-.md create mode 100755 _adrela/PG-075_R50.md create mode 100755 _adrela/PG-075_R51.md create mode 100755 _adrela/PG-075_R52--.md create mode 100755 _adrela/PG-075_R52-.md create mode 100755 _adrela/PG-075_R52.md create mode 100755 _adrela/PG-075_R53.md create mode 100755 _adrela/PG-075_R54.md create mode 100755 _adrela/PG-075_R56.md create mode 100755 _adrela/PG-075_R57.md create mode 100755 _adrela/PG-075_R58.md create mode 100755 _adrela/PG-075_R59.md create mode 100755 _adrela/PG-075_R6.md create mode 100755 _adrela/PG-075_R60.md create mode 100755 _adrela/PG-075_R61.md create mode 100755 _adrela/PG-075_R62.md create mode 100755 _adrela/PG-075_R63.md create mode 100755 _adrela/PG-075_R64-.md create mode 100755 _adrela/PG-075_R65.md create mode 100755 _adrela/PG-075_R66.md create mode 100755 _adrela/PG-075_R68.md create mode 100755 _adrela/PG-075_R7.md create mode 100755 _adrela/PG-075_R70.md create mode 100755 _adrela/PG-075_R8.md create mode 100755 _adrela/PG-075_R9.md diff --git a/_adrela/ANSSI-PA-022_R01.md b/_adrela/ANSSI-PA-022_R01.md deleted file mode 100644 index f2b4ab4..0000000 --- a/_adrela/ANSSI-PA-022_R01.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Un administrateur doit être informé de ses droits et devoirs, notamment en s’appuyant sur la charte informatique de l’entité. Il est recommandé d’élaborer une charte informatique spécifique applicable aux administrateurs. - -recommandation: | - Informer les administrateurs de leurs droits et devoirs - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R02.md b/_adrela/ANSSI-PA-022_R02.md deleted file mode 100644 index a3b006f..0000000 --- a/_adrela/ANSSI-PA-022_R02.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - En tant que ressource humaine critique pour le SI, un administrateur doit être formé à l’état de l’art, dans ses domaines de compétences et en sécurité des systèmes d’information (ex. : sécurité des systèmes, sécurité des réseaux, infrastructure de gestion de clés). Le guide d’hygiène informatique de l’ANSSI doit être connu. - -recommandation: | - Former les administrateurs à l'état de l'art en matière de SSI - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R03.md b/_adrela/ANSSI-PA-022_R03.md deleted file mode 100644 index 0078248..0000000 --- a/_adrela/ANSSI-PA-022_R03.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Les administrateurs doivent disposer de documents reflétant fidèlement l’état courant des SI qu’ils administrent, notamment des cartographies du SI (physique, système, réseau, applications) faisant notamment apparaître clairement les interconnexions avec l’extérieur. - -recommandation: | - Disposer d'une documentation des SI à jour - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R04.md b/_adrela/ANSSI-PA-022_R04.md deleted file mode 100644 index a0a1100..0000000 --- a/_adrela/ANSSI-PA-022_R04.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Avant toute étude des mesures techniques à mettre en œuvre, une analyse de risque doit être menée en portant une attention particulière sur les besoins de sécurité du SI d’administration et ses interconnexions. Dans une démarche d’amélioration continue, il est recommandé que l’analyse de risque et la mise en œuvre des mesures induites soient revues au moins une fois par an. - -recommandation: | - Mener une analyse de risque sur le SI d'administration et son écosystème - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R05.md b/_adrela/ANSSI-PA-022_R05.md deleted file mode 100644 index 468e0f3..0000000 --- a/_adrela/ANSSI-PA-022_R05.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Avant toute étude d’architecture du SI d’administration, un découpage du SI administré en zones de confiance doit être réalisé. Ce travail permet de déduire un découpage du SI d’administration en zones d’administration. - -recommandation: | - Définir les zones de confiance du SI administré et déduire les zones d'administration - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R06.md b/_adrela/ANSSI-PA-022_R06.md deleted file mode 100644 index 8dcb08d..0000000 --- a/_adrela/ANSSI-PA-022_R06.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - D’une manière générale, il est recommandé que les matériels et les logiciels utilisés pour protéger le SI d’administration soient qualifiés par l’ANSSI au niveau requis par les besoins de sécurité. À défaut, il est recommandé qu’ils disposent d’un autre visa de sécurité délivré par l’ANSSI. - -recommandation: | - Privilégier l'utilisation de produits qualifiés par l'ANSSI - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R07.md b/_adrela/ANSSI-PA-022_R07.md deleted file mode 100644 index 541bda2..0000000 --- a/_adrela/ANSSI-PA-022_R07.md +++ /dev/null @@ -1,15 +0,0 @@ ---- -description: | - En cas de virtualisation d’infrastructures d’administration, les instances virtuelles correspondantes doivent être déployées sur des socles physiques dédiés, non mutualisés avec d’autres infrastructures virtualisées. -recommandation: | - Dédier des socles physiques en cas de virtualisation des infrastructures d'administration -tags: - - Physique - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R08.md b/_adrela/ANSSI-PA-022_R08.md deleted file mode 100644 index 9c7c696..0000000 --- a/_adrela/ANSSI-PA-022_R08.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Le poste d’administration doit être géré par l’entité - ou à défaut un prestataire mandaté. En aucun cas l’utilisation d’un équipement personnel ne doit être tolérée pour l’administration d’un SI. - -recommandation: | - Gérer et configurer le poste d'administration - -tags: - - Systèmes - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R09--.md b/_adrela/ANSSI-PA-022_R09--.md deleted file mode 100644 index b558905..0000000 --- a/_adrela/ANSSI-PA-022_R09--.md +++ /dev/null @@ -1,22 +0,0 @@ ---- -description: | - À défaut d’un poste d’administration physiquement distinct du poste bureautique ou d’un système multi-niveaux de confiance, une solution d’un niveau de sécurité moindre peut consister à ce que les administrateurs: - - utilisent un poste physique pour les actions d’administration ; - - accèdent, par connexion à distance uniquement, à leur environnement bureautique (physique ou virtuel, par exemple : Virtual Desktop Infrastructure) depuis ce poste d’administration. - Dans ce cas, les fonctions permettant un échange d’informations entre les deux environnements doivent être désactivées. - -recommandation: | - Utiliser un poste d'administration avec accès distant au SI bureautique - -tags: - - Authentification - - Réseaux - - Systèmes - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R09-.md b/_adrela/ANSSI-PA-022_R09-.md deleted file mode 100644 index dc4bcb0..0000000 --- a/_adrela/ANSSI-PA-022_R09-.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - À défaut d’un poste d’administration physiquement dédié, l’emploi de technologies de virtualisation ou de conteneurisation pour obtenir un système multi-niveaux peut être envisagé, dans la mesure où le cloisonnement des environnements est réalisé par des mécanismes évalués comme étant de confiance au niveau système. - -recommandation: | - Utiliser un poste d'administration multi-niveaux - -tags: - - Authentification - - Réseaux - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R09.md b/_adrela/ANSSI-PA-022_R09.md deleted file mode 100644 index 2f14928..0000000 --- a/_adrela/ANSSI-PA-022_R09.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - La principale mesure de sécurité consiste à dédier un poste de travail physique aux actions d’administration. Ce poste doit être distinct du poste permettant d’accéder aux ressources conventionnelles accessibles sur le SI de l’entité (ressources métier, messagerie interne, gestion documentaire, Internet, etc.). -recommandation: | - Utiliser un poste d'administration dédié -tags: - - Authentification - - Réseaux - - Systèmes - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R10.md b/_adrela/ANSSI-PA-022_R10.md deleted file mode 100644 index 7dceb69..0000000 --- a/_adrela/ANSSI-PA-022_R10.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Le poste d’administration ne doit *en aucun cas* avoir accès à Internet. Cette recommandation inclut en particulier la navigation Web et l’usage de messageries électroniques connectées à Internet, même si ces services sont filtrés par des passerelles sécurisées d’accès Internet. - -recommandation: | - Bloquer tout accès à Internet depuis ou vers le poste d'administration - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R11.md b/_adrela/ANSSI-PA-022_R11.md deleted file mode 100644 index 3c00eb7..0000000 --- a/_adrela/ANSSI-PA-022_R11.md +++ /dev/null @@ -1,21 +0,0 @@ ---- -description: | - Les guides de sécurisation des socles des éditeurs doivent être appliqués. Au minimum, les points suivants doivent être traités : - - la désactivation des services inutiles ; - - l’application de droits restreints au juste besoin opérationnel ; - - l’activation et la configuration du pare-feu local pour interdire toute connexion entrante et limiter les flux sortants au juste besoin ; - - le durcissement des configurations systèmes (par exemple pour Windows : GPO, Applocker, SRP ou, pour Linux : SELinux, AppArmor, durcissement du noyau) ; - - l’activation de l’ensemble des mécanismes de mise à jour dans le respect des recommandations du chapitre 8 dédié au maintien en condition de sécurité. - -recommandation: | - Durcir le système d'exploitation du poste d'administration - -tags: - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R12.md b/_adrela/ANSSI-PA-022_R12.md deleted file mode 100644 index cd5d5c6..0000000 --- a/_adrela/ANSSI-PA-022_R12.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Par défaut, les administrateurs ne doivent pas disposer des droits d’administration sur leur poste d’administration. Ces droits doivent être attribués uniquement aux administrateurs en charge de l’administration des postes d’administration. - -recommandation: | - Restreindre les droits d'administration sur le poste d'administration - -tags: - - Authentification - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R13.md b/_adrela/ANSSI-PA-022_R13.md deleted file mode 100644 index 3d4512c..0000000 --- a/_adrela/ANSSI-PA-022_R13.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Il est recommandé de n’installer sur le poste d’administration que les logiciels et les outils utiles aux actions d’administration. Pour ce faire, il est nécessaire : - - de dresser et maintenir la liste des outils d’administration utiles ; - - de mettre en œuvre un processus de validation et de distribution des outils d’administration suivant des critères techniques et organisationnels - -recommandation: | - Limiter les logiciels installés sur le poste d'administration - -tags: - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R14.md b/_adrela/ANSSI-PA-022_R14.md deleted file mode 100644 index 83fdca1..0000000 --- a/_adrela/ANSSI-PA-022_R14.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé de procéder au chiffrement complet de l’ensemble des périphériques de stockage (disques durs, périphériques de stockage amovibles, etc.) utilisés pour les actions d’administration. - -recommandation: | - Chiffrer l'ensemble des périphériques de stockage utilisés pour l'administration - -tags: - - Systèmes - - Physique - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R15.md b/_adrela/ANSSI-PA-022_R15.md deleted file mode 100644 index 9fe4cc5..0000000 --- a/_adrela/ANSSI-PA-022_R15.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Les ressources d’administration (ex. : postes d’administration, serveurs outils) doivent être déployées sur un réseau physiquement dédié à cet usage. Le cas échéant, il est recommandé que les postes d’administration s’authentifient pour accéder au réseau d’administration. - -recommandation: | - Connecter les ressources d'administration sur un réseau physique dédié - -tags: - - Réseaux - - Physique - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R16.md b/_adrela/ANSSI-PA-022_R16.md deleted file mode 100644 index 35ceeb6..0000000 --- a/_adrela/ANSSI-PA-022_R16.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Quelle que soit la solution de réseau retenue, un filtrage réseau entre zones de confiance doit être mis en œuvre au sein du SI d’administration. Par ailleurs, toutes les interconnexions avec le SI d’administration doivent être identifiées et filtrées. Une matrice de flux, limitée au juste besoin opérationnel, doit être élaborée et revue régulièrement afin d’assurer la traçabilité et le suivi des règles de filtrage. - -recommandation: | - Appliquer un filtrage interne et périmétrique au SI d'administration - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R17.md b/_adrela/ANSSI-PA-022_R17.md deleted file mode 100644 index ee649e0..0000000 --- a/_adrela/ANSSI-PA-022_R17.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Pour maîtriser les accès au plus près des ressources administrées, il est recommandé de leur appliquer un filtrage local correspondant au juste besoin opérationnel. - -recommandation: | - Appliquer un filtrage local sur les ressources administrées - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R18-.md b/_adrela/ANSSI-PA-022_R18-.md deleted file mode 100644 index 64214d0..0000000 --- a/_adrela/ANSSI-PA-022_R18-.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - À défaut d’une interface réseau physique d’administration, il est recommandé de dédier une interface réseau virtuelle d’administration sur les ressources administrées. Les mêmes pré-requis que R18 s’appliquent. - -recommandation: | - Dédier une interface réseau virtuelle d'administration - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R18.md b/_adrela/ANSSI-PA-022_R18.md deleted file mode 100644 index ae5bc5f..0000000 --- a/_adrela/ANSSI-PA-022_R18.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Il est recommandé de dédier une interface réseau physique d’administration sur les ressources administrées en s’assurant des pré-requis suivants : - - les services logiques permettant l’exécution des actions d’administration doivent être en écoute uniquement sur l’interface réseau d’administration prévue à cet effet ; - - les fonctions internes du système d’exploitation ne doivent pas permettre le routage d’informations entre les interfaces réseau de production et l’interface réseau d’administration d’une même ressource. Elles doivent être désactivées (ex. : désactivation d’IPForwarding). - -recommandation: | - Dédier une interface réseau physique d'administration - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R19.md b/_adrela/ANSSI-PA-022_R19.md deleted file mode 100644 index 3a15236..0000000 --- a/_adrela/ANSSI-PA-022_R19.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - La recommandation R16 doit être appliquée rigoureusement entre les ressources d’administration et les ressources administrées. - -recommandation: | - Appliquer un filtrage entre ressources d'administration et ressources administrées - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R20.md b/_adrela/ANSSI-PA-022_R20.md deleted file mode 100644 index ee7dd9d..0000000 --- a/_adrela/ANSSI-PA-022_R20.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Une mesure de blocage ou de filtrage réseau doit être mise en œuvre entre les ressources administrées afin d’interdire toute tentative de compromission par rebond à travers les interfaces réseaux d’administration. - -recommandation: | - Bloquer toute connexion entre ressources administrées à travers le réseau d'administration - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R21.md b/_adrela/ANSSI-PA-022_R21.md deleted file mode 100644 index 4890860..0000000 --- a/_adrela/ANSSI-PA-022_R21.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Si les flux d’administration circulent à travers un réseau tiers ou hors de locaux avec un niveau de sécurité physique adéquat (ex. : portion de fibre noire traversant l’espace public), ceux-ci doivent être chiffrés et authentifiés de bout en bout jusqu’à atteindre une autre zone du SI d’administration ou une ressource à administrer. Dans ce cas, un tunnel IPsec doit être établi. - Pour la mise en œuvre du protocole IPsec, les recommandations du guide de l’ANSSI ([Recommandations de sécurité relatives à IPsec pour la protection des flux réseau.](https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-ipsec)) doivent être appliquées. - -recommandation: | - Protéger les flux d'administration transitant sur un réseau tiers - -tags: - - Réseaux - - Physique - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R22.md b/_adrela/ANSSI-PA-022_R22.md deleted file mode 100644 index d25e1d2..0000000 --- a/_adrela/ANSSI-PA-022_R22.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Les outils d’administration doivent être déployés par zone d’administration en fonction du juste besoin opérationnel. Cette mesure peut se traduire par la mise en œuvre de serveurs outils dédiés, intégrant par exemple les outils d’administration proposés par des éditeurs ou des équipementiers (ex. : client lourd ou service Web interagissant avec les ressources administrées). - Les recommandations de sécurisation logicielle des postes d’administration (R10, R11, R12, R13, R14) doivent être appliquées, dès que possible, aux serveurs outils d’administration. - -recommandation: | - Déployer les outils d'administration sur des serveurs dédiés par zone d'administration - -tags: - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R23.md b/_adrela/ANSSI-PA-022_R23.md deleted file mode 100644 index 9a8c165..0000000 --- a/_adrela/ANSSI-PA-022_R23.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - La recommandation R16 doit être appliquée rigoureusement entre les postes d’administration et les serveurs outils d’administration en autorisant uniquement les flux à l’initiative des postes d’administration. - -recommandation: | - Appliquer un filtrage entre les postes d'administration et les serveurs outils d'administration - -tags: - - Réseaux - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R24.md b/_adrela/ANSSI-PA-022_R24.md deleted file mode 100644 index 10d3c18..0000000 --- a/_adrela/ANSSI-PA-022_R24.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé d’utiliser systématiquement, dès lors qu’ils existent, des protocoles et des outils d’administration utilisant des mécanismes de chiffrement et d’authentification robustes (cf. [RGS](https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs)), en privilégiant les protocoles sécurisés standardisés et éprouvés (ex. : TLS ou SSH). - Le cas échéant, les protocoles non sécurisés doivent être explicitement désactivés ou bloqués - -recommandation: | - Utiliser des protocoles sécurisés pour les flux d'administration - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R25.md b/_adrela/ANSSI-PA-022_R25.md deleted file mode 100644 index ee235ad..0000000 --- a/_adrela/ANSSI-PA-022_R25.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Pour la traçabilité des accès ou des actions d’administration, ou pour pallier des faiblesses de sécurité des protocoles d’administration, il est recommandé d’étudier la mise en œuvre d’une rupture protocolaire des flux d’administration - -recommandation: | - Étudier la mise en œuvre d'une rupture protocolaire des flux d'administration - -tags: - - Réseaux - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R26.md b/_adrela/ANSSI-PA-022_R26.md deleted file mode 100644 index 2e0cb5d..0000000 --- a/_adrela/ANSSI-PA-022_R26.md +++ /dev/null @@ -1,19 +0,0 @@ ---- -description: | - L'absence de rupture protocolaire doit être privilégiée en cas de besoin fort de confidentialité des flux d’administration et après une analyse de risque complémentaire. - Le cas échéant, les protocoles utilisés doivent d’autant plus être sécurisés et configurés à l’état de l’art conformément à R24. - -recommandation: | - Renoncer à la rupture protocolaire pour les besoins en confidentialité - -tags: - - Réseaux - - Systèmes - - Gestion des Menaces - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R27.md b/_adrela/ANSSI-PA-022_R27.md deleted file mode 100644 index 071f690..0000000 --- a/_adrela/ANSSI-PA-022_R27.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - L’administrateur doit disposer d’un ou plusieurs comptes d’administration dédiés, distincts de son compte utilisateur. Les secrets d’authentification doivent être différents suivant le compte utilisé. - -recommandation: | - Utiliser des comptes d'administration dédiés - -tags: - - Authentification - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R28.md b/_adrela/ANSSI-PA-022_R28.md deleted file mode 100644 index 70e2495..0000000 --- a/_adrela/ANSSI-PA-022_R28.md +++ /dev/null @@ -1,19 +0,0 @@ ---- -description: | - Le ou les annuaires contenant les comptes d’administration doivent être protégés en confidentialité et en intégrité et ne pas être exposés sur des environnements de moindre confiance. - Dans le cas général, il est recommandé de déployer un ou plusieurs annuaires dédiés, au sein du SI d’administration, pour gérer les comptes d’administration et le contrôle d’accès aux ressources administrées. - Dans le cas spécifique d’un SI administré reposant sur Microso Active Directory, il est recommandé en premier lieu d’adopter un modèle de gestion des comptes à privilèges (ex. : modèle en trois Tiers) pour cet annuaire et de de sécuriser sa configuration (cf. [les points de contrôle Active Directory](https://www.cert.ssi.gouv.fr/dur/CERTFR-2020-DUR-001/)). - -recommandation: | - Protéger l'accès aux annuaires des comptes d'administration - -tags: - - Authentification - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R29.md b/_adrela/ANSSI-PA-022_R29.md deleted file mode 100644 index 1741af3..0000000 --- a/_adrela/ANSSI-PA-022_R29.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Les comptes d’administration doivent être utilisés exclusivement pour des actions d’administration. En particulier, aucun compte d’administration ne doit être utilisé pour des actions bureautiques ou l’ouverture de sessions de travail sur des postes autres que ceux réservés aux actions d’administration - -recommandation: | - Réserver les comptes d'administration aux seules actions d'administration - -tags: - - Authentification - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R30.md b/_adrela/ANSSI-PA-022_R30.md deleted file mode 100644 index 0c5768b..0000000 --- a/_adrela/ANSSI-PA-022_R30.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Des comptes d’administration individuels doivent être attribués à chaque administrateur. - Les comptes natifs d’administration ne doivent pas être utilisés pour les actions courantes d’administration et les secrets associés ne doivent être accessibles qu’à un nombre très restreint de personnes - -recommandation: | - Utiliser par défaut des comptes d'administration individuels - -tags: - - Authentification - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R31.md b/_adrela/ANSSI-PA-022_R31.md deleted file mode 100644 index 3dfdecb..0000000 --- a/_adrela/ANSSI-PA-022_R31.md +++ /dev/null @@ -1,22 +0,0 @@ ---- -description: | - Les mécanismes d’audit des événements concernant les comptes d’administration doivent être mis en œuvre. En particulier, les journaux suivants doivent être activés : - - ouvertures et fermetures de session ; - - échecs d’authentification et verrouillage des comptes ; - - gestion des comptes ; - - gestion des groupes de sécurité. - -recommandation: | - Journaliser les événements liés aux comptes d'administration - -tags: - - Authentification - - Systèmes - - Surveillance - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R32.md b/_adrela/ANSSI-PA-022_R32.md deleted file mode 100644 index 60a99ce..0000000 --- a/_adrela/ANSSI-PA-022_R32.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Un processus organisationnel et technique de gestion des comptes d’administration et des privilèges associés doit être mis en œuvre et intégrer une procédure de contrôle et de révision régulière. - Sur l’aspect organisationnel, ce processus doit être suffisamment résilient pour pallier l’absence d’un ou plusieurs acteurs. Les entités opérationnelles doivent être associées en phase de conception et sont ensuite responsables de son application. Sur l’aspect technique, les comptes d’administration ne doivent pas être créés, modifiés ou supprimés automatiquement depuis un outil exposé sur un SI bureautique. - -recommandation: | - Prévoir un processus de gestion des comptes d'administration - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R33.md b/_adrela/ANSSI-PA-022_R33.md deleted file mode 100644 index 63fb706..0000000 --- a/_adrela/ANSSI-PA-022_R33.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - En phase de conception ou de révision des architectures d’administration, il convient de se référer aux annexes B1, B2 et B3 du [RGS](https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs) afin de mettre en conformité les mécanismes d’authentification utilisés. - -recommandation: | - Se référer au RGS pour choisir les mécanismes d'authentification - -tags: - - Authentification - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R34.md b/_adrela/ANSSI-PA-022_R34.md deleted file mode 100644 index 7d2fddd..0000000 --- a/_adrela/ANSSI-PA-022_R34.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Les mots de passe par défaut des comptes natifs d’administration doivent être modifiés au moment de l’installation de l’équipement ou du service. De préférence, les nouveaux mots de passe sont distincts par équipement et conservés au séquestre. - -recommandation: | - Modifier les mots de passe par défaut des comptes natifs - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R35.md b/_adrela/ANSSI-PA-022_R35.md deleted file mode 100644 index 658b203..0000000 --- a/_adrela/ANSSI-PA-022_R35.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé d’utiliser un coffre-fort de mots de passe disposant d’un visa de sécurité pour stocker de manière sécurisée les mots de passe sur le SI d’administration. Ainsi, les mots de passe peuvent être, autant que possible, distincts, longs et aléatoires. - -recommandation: | - Stocker les mots de passe dans un coffre-fort de mots de passe - -tags: - - Authentification - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R36.md b/_adrela/ANSSI-PA-022_R36.md deleted file mode 100644 index e23b646..0000000 --- a/_adrela/ANSSI-PA-022_R36.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Pour les actions d’administration, il est recommandé d’utiliser une authentification comportant au minimum deux facteurs. - -recommandation: | - Privilégier une authentification double facteur pour les actions d'administration - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R37.md b/_adrela/ANSSI-PA-022_R37.md deleted file mode 100644 index 93e26c4..0000000 --- a/_adrela/ANSSI-PA-022_R37.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - L’usage de certificats électroniques comme élément contribuant à l’authentification est recommandé. - Il convient d’acquérir ces certificats auprès d’un prestataire de services de certificats électroniques (PSCE) qualifié par l’ANSSI ou de déployer une infrastructure de gestion de clés conforme aux exigences du [RGS](https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs) encadrant ce domaine. - -recommandation: | - Utiliser des certificats électroniques de confiance pour l'authentification - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R38.md b/_adrela/ANSSI-PA-022_R38.md deleted file mode 100644 index 01a4359..0000000 --- a/_adrela/ANSSI-PA-022_R38.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Une gestion centralisée de l’authentification doit être mise en œuvre en lieu et place d’une gestion exclusivement locale sur les ressources d’administration ou les ressources administrées. - -recommandation: | - Mettre en œuvre une gestion centralisée de l'authentification - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R39.md b/_adrela/ANSSI-PA-022_R39.md deleted file mode 100644 index 5c79d8c..0000000 --- a/_adrela/ANSSI-PA-022_R39.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Les droits d’administration doivent être mis en œuvre sur l’annuaire des comptes d’administration en respectant le principe du moindre privilège. - Dans le cas spécifique des droits les plus privilégiés sur l’annuaire lui-même, seuls des administrateurs du SI d’administration peuvent en disposer. - -recommandation: | - Respecter le principe du moindre privilège dans l'attribution des droits d'administration - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R40.md b/_adrela/ANSSI-PA-022_R40.md deleted file mode 100644 index 4d73b5e..0000000 --- a/_adrela/ANSSI-PA-022_R40.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé de déployer des politiques de sécurité dans le but de définir les privilèges de chaque compte d’administration, de contrôler l’accès aux outils d’administration en fonction du juste besoin opérationnel et de renforcer l’authentification. - -recommandation: | - Attribuer les droits d'administration à des groupes - -tags: - - Systèmes - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R41.md b/_adrela/ANSSI-PA-022_R41.md deleted file mode 100644 index 60c9233..0000000 --- a/_adrela/ANSSI-PA-022_R41.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé de déployer des politiques de sécurité dans le but de définir les privilèges de chaque compte d’administration, de contrôler l’accès aux outils d’administration en fonction du juste besoin opérationnel et de renforcer l’authentification. - -recommandation: | - Déployer des politiques de sécurité - -tags: - - Authentification - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R42.md b/_adrela/ANSSI-PA-022_R42.md deleted file mode 100644 index 3135945..0000000 --- a/_adrela/ANSSI-PA-022_R42.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Le MCS de l’ensemble des éléments constituant le SI d’administration doit être assuré périodiquement et dans des délais raisonnables, notamment par l’application des mises à jour de sécurité. À cette fin, il est recommandé de mener une veille technologique. - -recommandation: | - Réaliser scrupuleusement le MCS du SI d'administration - -tags: - - Gestion des Menaces - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R43.md b/_adrela/ANSSI-PA-022_R43.md deleted file mode 100644 index 71d1e17..0000000 --- a/_adrela/ANSSI-PA-022_R43.md +++ /dev/null @@ -1,19 +0,0 @@ ---- -description: | - Pour la récupération des mises à jour (ex. : correctifs de sécurité ou signatures antivirales), il est recommandé de mettre en œuvre, au sein d’une DMZ, des serveurs relais dédiés au SI d’administration. - Seuls les flux initialisés depuis ces dépôts relais vers Internet doivent permettre le téléchargement des mises à jour. Des mécanismes de filtrage par liste d’autorisations permettent de restreindre l’accès aux seules sources officielles. - -recommandation: | - Mettre en place des serveurs relais pour la récupération des mises à jour - -tags: - - Réseaux - - Systèmes - - Gestion des Menaces - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R44.md b/_adrela/ANSSI-PA-022_R44.md deleted file mode 100644 index 4e21971..0000000 --- a/_adrela/ANSSI-PA-022_R44.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Il est recommandé que les administrateurs procèdent à la qualification des correctifs de sécurité avant leur mise en production et leur généralisation. - Une procédure d’urgence doit également être prévue pour réagir en cas de crise nécessitant l’application d’un correctif de sécurité au plus vite. - -recommandation: | - Valider les correctifs de sécurité avant leur généralisation - -tags: - - Gestion des Menaces - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R45.md b/_adrela/ANSSI-PA-022_R45.md deleted file mode 100644 index 65fa80e..0000000 --- a/_adrela/ANSSI-PA-022_R45.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Pour permettre de pallier la corruption ou l’indisponibilité de données dues à un incident ou une compromission, une politique de sauvegarde doit être définie et appliquée pour le SI d’administration. - Pour les éléments les plus critiques, une sauvegarde hors ligne doit être prévue. - -recommandation: | - Définir une politique de sauvegarde du SI d'administration - -tags: - - Systèmes - - Surveillance - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R46.md b/_adrela/ANSSI-PA-022_R46.md deleted file mode 100644 index 1cd4152..0000000 --- a/_adrela/ANSSI-PA-022_R46.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé de dédier une zone d’administration à la journalisation du SI administré et du SI d’administration. Le cas échéant, un contrôle d’accès spécifique doit être mis en place - -recommandation: | - Dédier une zone d'administration à la journalisation - -tags: - - Réseaux - - Surveillance - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R47.md b/_adrela/ANSSI-PA-022_R47.md deleted file mode 100644 index 580c8b9..0000000 --- a/_adrela/ANSSI-PA-022_R47.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - L’architecture doit prévoir la transmission des journaux d’événements de manière centralisée, depuis les équipements vers les services de journalisation. - -recommandation: | - Centraliser la collecte des journaux d'événements - -tags: - - Réseaux - - Surveillance - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R48.md b/_adrela/ANSSI-PA-022_R48.md deleted file mode 100644 index f60ccf5..0000000 --- a/_adrela/ANSSI-PA-022_R48.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Le poste d’administration nomade doit être doté d’un filtre écran de confidentialité afin de limiter la portée des informations affichées dès lors qu’il y a une possible exposition à des regards tiers. - -recommandation: | - Installer un filtre de confidentialité sur le poste d'administration nomade - -tags: - - Physique - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R50.md b/_adrela/ANSSI-PA-022_R50.md deleted file mode 100644 index 4607e4d..0000000 --- a/_adrela/ANSSI-PA-022_R50.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - L’utilisateur du poste d’administration ne doit pas être en mesure de modifier sa configuration réseau pour débrayer ou détourner les mécanismes d’accès distant par VPN. - -recommandation: | - Empêcher toute modification de la configuration VPN du poste d'administration - -tags: - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R51.md b/_adrela/ANSSI-PA-022_R51.md deleted file mode 100644 index 6ea04f5..0000000 --- a/_adrela/ANSSI-PA-022_R51.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Pour l’administration à distance, un concentrateur VPN IPSec physiquement dédié doit être déployé en périphérie du SI d’administration, en frontal du réseau non maîtrisé (ex. : Internet, partenaires). - -recommandation: | - Dédier un concentrateur VPN IPsec physique pour l'administration à distance - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R52.md b/_adrela/ANSSI-PA-022_R52.md deleted file mode 100644 index ba9b273..0000000 --- a/_adrela/ANSSI-PA-022_R52.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Afin de répondre aux besoins fonctionnels d’échanges internes et externes au SI d’administration, il est nécessaire de mettre en place des systèmes d’échanges sécurisés. - -recommandation: | - Déployer des systèmes d'échanges sécurisés - -tags: - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R53.md b/_adrela/ANSSI-PA-022_R53.md deleted file mode 100644 index 0973bfe..0000000 --- a/_adrela/ANSSI-PA-022_R53.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Le système d’échange interne au SI d’administration doit être déployé au sein des infrastructures d’administration du SI d’administration sans aucune interconnexion avec d’autres SI. - -recommandation: | - Dédier le système d'échange interne au SI d'administration - -tags: - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R54.md b/_adrela/ANSSI-PA-022_R54.md deleted file mode 100644 index 9e16545..0000000 --- a/_adrela/ANSSI-PA-022_R54.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Seuls les services et les protocoles permettant le transfert de données doivent être autorisés vers le système d’échange externe ; les flux doivent toujours être à l’initiative des clients situés en dehors du système d’échange. *En aucun cas*, il ne doit être possible d’accéder à une session de travail par le biais du système d’échange externe - -recommandation: | - N'autoriser que des protocoles de transfert vers le système d'échange externe - -tags: - - Réseaux - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R55.md b/_adrela/ANSSI-PA-022_R55.md deleted file mode 100644 index aef1516..0000000 --- a/_adrela/ANSSI-PA-022_R55.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Il est recommandé de restreindre l’accès au système d’échange externe du SI d’administration uniquement aux postes et aux utilisateurs qui en ont le besoin - -recommandation: | - Limiter au strict besoin opérationnel l'accès au système d'échange externe - -tags: - - Réseaux - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R56.md b/_adrela/ANSSI-PA-022_R56.md deleted file mode 100644 index f935757..0000000 --- a/_adrela/ANSSI-PA-022_R56.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Les administrateurs ne doivent pas s’authentifier avec un compte d’administration sur le système d’échange externe considéré comme de moindre confiance par rapport au SI d’administration. - -recommandation: | - Ne pas s'authentifier avec un compte d'administration sur le système d'échange externe - -tags: - - Authentification - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R57.md b/_adrela/ANSSI-PA-022_R57.md deleted file mode 100644 index 2e8a466..0000000 --- a/_adrela/ANSSI-PA-022_R57.md +++ /dev/null @@ -1,15 +0,0 @@ ---- -description: | - Les données échangées ne doivent pas être stockées de manière permanente sur un système d’échange externe. Dès que leur transfert est effectif ou à défaut dans un délai raisonnable (ex. : 24 h), elles doivent être supprimées. - -recommandation: | - Ne pas stocker de données de manière permanente dans un système d'échange externe - -tags: - - Systèmes -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R58.md b/_adrela/ANSSI-PA-022_R58.md deleted file mode 100644 index b938f29..0000000 --- a/_adrela/ANSSI-PA-022_R58.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Toutes les données transitant par le système d’échange externe doivent être soumises systématiquement à une analyse de contenu à la recherche de codes malveillants. - -recommandation: | - Analyser le contenu des données échangées par le système d'échange externe - -tags: - - Gestion des Menaces - - Surveillance - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R59.md b/_adrela/ANSSI-PA-022_R59.md deleted file mode 100644 index 62c683b..0000000 --- a/_adrela/ANSSI-PA-022_R59.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Dans le cas d’un contrat d’infogérance pour l’administration ou la maintenance d’un SI, il est recommandé d’avoir recours à un prestataire d’administration et de maintenance sécurisées qualifié et de contractualiser avec lui [une prestation qualifiée](https://cyber.gouv.fr/produits-services-qualifies). - -recommandation: | - Recourir à une prestation d'infogérance qualifiée d'un PAMS - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R60.md b/_adrela/ANSSI-PA-022_R60.md deleted file mode 100644 index 3cc8632..0000000 --- a/_adrela/ANSSI-PA-022_R60.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Afin de disposer d’un cadre juridique, il est recommandé de rédiger, au sein du contrat liant les parties, les exigences de sécurité imposées au prestataire, et idéalement intégrer la description de la solution technique d’accès à distance au SI de l’entité. Il est recommandé de s’appuyer sur [le référentiel d’exigences PAMS](https://cyber.gouv.fr/sites/default/files/2022-10/ANSSI_PAMS_referentiel_v1.1_vFR.pdf). - -recommandation: | - Intégrer au contrat d'infogérance les exigences de sécurité d'accès à distance - -tags: - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R61.md b/_adrela/ANSSI-PA-022_R61.md deleted file mode 100644 index f2a1d5f..0000000 --- a/_adrela/ANSSI-PA-022_R61.md +++ /dev/null @@ -1,22 +0,0 @@ ---- -description: | - Le prestataire doit s’engager à sécuriser physiquement les postes de travail des administrateurs tiers se connectant au SI d’administration de l’entité et se conformer : - - aux mesures de sécurisation de la section 4.3 ; - - aux pratiques d’hygiène informatique [13] dont : - - être à jour (système d’exploitation et logiciels), - - activer un pare-feu local, - - disposer d’une solution de protection du poste de travail (analyse antivirale et comportementale). - -recommandation: | - Imposer une sécurisation à l'état de l'art des postes de travail des administrateurs tiers - -tags: - - Systèmes - - Politiques - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R62.md b/_adrela/ANSSI-PA-022_R62.md deleted file mode 100644 index b3a1633..0000000 --- a/_adrela/ANSSI-PA-022_R62.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Pour l’accès à distance des administrateurs tiers, il est recommandé de dédier une chaîne d’accès, distincte notamment de celle des administrateurs disposant de moyens d’accès maîtrisés. En particulier, les équipements (ex. : concentrateurs VPN, serveurs de rebond) doivent être physiquement dédiés et ne pas être mutualisés avec des équipements utilisés par d’autres populations (utilisateurs, administrateurs internes). - Dans la mesure du possible, les équipements de filtrage et de commutation sont physiquement dédiés, en priorité les équipements périmétriques. À défaut, un cloisonnement logique est réalisé - -recommandation: | - Dédier une chaîne d'accès à distance pour les administrateurs tiers - -tags: - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R65+.md b/_adrela/ANSSI-PA-022_R65+.md deleted file mode 100644 index e7a7b5e..0000000 --- a/_adrela/ANSSI-PA-022_R65+.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Afin de réduire l’exposition des annuaires utilisés par les autres services de l’entité, il est recommandé, de manière complémentaire à R64, de dédier un annuaire aux comptes d’accès des administrateurs tiers. - -recommandation: | - Dédier un annuaire aux comptes d'accès des administrateurs tiers - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R66.md b/_adrela/ANSSI-PA-022_R66.md deleted file mode 100644 index e43b429..0000000 --- a/_adrela/ANSSI-PA-022_R66.md +++ /dev/null @@ -1,16 +0,0 @@ ---- -description: | - Les comptes des administrateurs tiers doivent être désactivés par défaut et activés à la demande, en priorité les comptes d’accès VPN. Si un compte est actif au-delà d’un délai maximal cohérent avec les interventions (p. ex. 24 h), une procédure automatique de désactivation doit être déclenchée ou une alerte doit être levée - -recommandation: | - Activer à la demande les comptes des administrateurs tiers - -tags: - - Surveillance - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R67.md b/_adrela/ANSSI-PA-022_R67.md deleted file mode 100644 index ec7c277..0000000 --- a/_adrela/ANSSI-PA-022_R67.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Pour renforcer l’authentification des administrateurs tiers, l’utilisation d’un second facteur d’authentification, éventuellement conservé par l’entité, est recommandée. - En alternative, il est recommandé de générer un mot de passe non trivial et temporaire par session : les mots de passe des comptes des administrateurs tiers sont renouvelés avant chaque nouvelle connexion et expirent au terme d’une durée inférieure à la journée. - -recommandation: | - Renforcer l'authentification des administrateurs tiers - -tags: - - Authentification - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R69.md b/_adrela/ANSSI-PA-022_R69.md deleted file mode 100644 index 2ffae88..0000000 --- a/_adrela/ANSSI-PA-022_R69.md +++ /dev/null @@ -1,17 +0,0 @@ ---- -description: | - Les accès des administrateurs tiers doivent être restreints au strict besoin opérationnel à l’aide d’un contrôle d’accès. Ces accès et les actions accomplies par les administrateurs tiers doivent être tracés. - -recommandation: | - Mettre en œuvre un contrôle d'accès strict et une traçabilité pour les administrateurs tiers - -tags: - - Authentification - - Réseaux - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R70.md b/_adrela/ANSSI-PA-022_R70.md deleted file mode 100644 index 320f128..0000000 --- a/_adrela/ANSSI-PA-022_R70.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Pour les besoins d’assistance à distance, il est recommandé d’utiliser, le temps de l’intervention, un boîtier matériel dédié d’acquisition vidéo unidrectionnelle pour permettre un export d’affichage depuis un poste d’administration vers un poste bureautique. - -recommandation: | - Utiliser un boîtier matériel d'acquisition vidéo pour l'assistance à distance - -tags: - - Réseaux - - Surveillance - - Physique - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/ANSSI-PA-022_R71.md b/_adrela/ANSSI-PA-022_R71.md deleted file mode 100644 index 83b7c49..0000000 --- a/_adrela/ANSSI-PA-022_R71.md +++ /dev/null @@ -1,18 +0,0 @@ ---- -description: | - Pour les besoins d’assistance à distance, il est recommandé de mettre en œuvre en DMZ une infrastructure dédiée de partage d’écran. Le cas échéant, toutes les fonctions interactives vis-à-vis du poste d’administration (ex. : prise de contrôle distante) doivent être désactivées de sorte qu’aucune action d’administration ne puisse être réalisée depuis le poste de travail distant. - Les recommandations R64, R65+, R66, R67 et R69 doivent s’appliquer dans ce contexte d’assistance à distance. - -recommandation: | - Mettre en œuvre une solution logicielle dédiée pour l'assistance à distance - -tags: - - Réseaux - - Systèmes - -livrables: - - ANSSI-PA-022 - -sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file diff --git a/_adrela/PA-022_R1.md b/_adrela/PA-022_R1.md new file mode 100644 index 0000000..638a016 --- /dev/null +++ b/_adrela/PA-022_R1.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Informer les administrateurs de leurs droits et devoirs. +Recommandation: | + Un administrateur doit être informé de ses droits et devoirs, notamment en s’appuyant sur la charte informatique de l’entité. Il est recommandé d’élaborer une charte informatique spécifique applicable aux administrateurs. +Titre_Vuln: | + Absence d'information claire pour les administrateurs sur leurs droits et devoirs +Vulnerabilit_: | + L'absence d'une charte informatique spécifique pour les administrateurs expose l'entité à des risques de mauvaise gestion des droits et responsabilités. Les administrateurs pourraient, par manque d'information, enfreindre des règles de sécurité ou ne pas remplir leurs obligations correctement, compromettant ainsi la sécurité et la conformité du SI. +Impact: + - 3 +Probabilit_: + - 4 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- \ No newline at end of file diff --git a/_adrela/PA-022_R10.md b/_adrela/PA-022_R10.md new file mode 100644 index 0000000..4711500 --- /dev/null +++ b/_adrela/PA-022_R10.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Bloquer tout accès à Internet depuis ou vers le poste d'administration +Recommandation: | + Le poste d’administration ne doit *en aucun cas* avoir accès à Internet. Cette recommandation inclut en particulier la navigation Web et l’usage de messageries électroniques connectées à Internet, même si ces services sont filtrés par des passerelles sécurisées d’accès Internet. +Titre_Vuln: | + Présence d'accès non restreint à Internet pour le poste d'administration +Vulnerabilit_: | + Permettre un accès à Internet pour un poste d'administration expose ce dernier à des risques importants, tels que l'exploitation de failles via des sites Web malveillants, le téléchargement accidentel de logiciels malveillants, ou encore les attaques de phishing ciblées. Un tel accès pourrait compromettre directement l'intégrité et la confidentialité des actions administratives sur le SI. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R11.md b/_adrela/PA-022_R11.md new file mode 100644 index 0000000..7acd5e2 --- /dev/null +++ b/_adrela/PA-022_R11.md @@ -0,0 +1,28 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Durcir le système d'exploitation du poste d'administration +Recommandation: | + Les guides de sécurisation des socles des éditeurs doivent être appliqués. Au minimum, les points suivants doivent être traités: + - la désactivation des services inutiles ; + - l’application de droits restreints au juste besoin opérationnel ; + - l’activation et la configuration du pare-feu local pour interdire toute connexion entrante et limiter les flux sortants au juste besoin ; + - le durcissement des configurations systèmes (par exemple pour Windows: GPO, Applocker, SRP ou, pour Linux: SELinux, AppArmor, durcissement du noyau) ; + - l’activation de l’ensemble des mécanismes de mise à jour dans le respect des recommandations du chapitre 8 dédié au maintien en condition de sécurité. +Titre_Vuln: | + Présence de configuration par défaut ou non durcie du poste d'administration +Vulnerabilit_: | + Laisser un poste d'administration avec une configuration par défaut ou insuffisamment durcie augmente les risques de compromission. Les services inutiles ou mal configurés, les droits excessifs, ou l'absence de contrôle des flux réseau peuvent être exploités par des attaquants pour accéder au SI et en compromettre la sécurité. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R12.md b/_adrela/PA-022_R12.md new file mode 100644 index 0000000..03763f4 --- /dev/null +++ b/_adrela/PA-022_R12.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Restreindre les droits d'administration sur le poste d'administration +Recommandation: | + Par défaut, les administrateurs ne doivent pas disposer des droits d’administration sur leur poste d’administration. Ces droits doivent être attribués uniquement aux administrateurs en charge de l’administration des postes d’administration. +Titre_Vuln: | + Présence de droits d'administration excessifs ou mal gérés sur les postes d'administration +Vulnerabilit_: | + L'attribution non contrôlée ou excessive des droits d'administration sur les postes d'administration peut conduire à des abus ou des erreurs, exposant le SI à des failles de sécurité. Ces failles peuvent permettre à des acteurs malveillants de compromettre des données critiques ou d'étendre leur accès au réseau. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Authentification + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R13.md b/_adrela/PA-022_R13.md new file mode 100644 index 0000000..f403803 --- /dev/null +++ b/_adrela/PA-022_R13.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Limiter les logiciels installés sur le poste d'administration +Recommandation: | + Il est recommandé de n’installer sur le poste d’administration que les logiciels et les outils utiles aux actions d’administration. Pour ce faire, il est nécessaire: + - de dresser et maintenir la liste des outils d’administration utiles ; + - de mettre en œuvre un processus de validation et de distribution des outils d’administration suivant des critères techniques et organisationnels. +Titre_Vuln: | + Présence non maîtrisée de logiciels sur le poste d'administration +Vulnerabilit_: | + La présence de logiciels non validés ou inutiles sur le poste d'administration augmente la surface d'attaque. Ces outils pourraient contenir des vulnérabilités ou être utilisés comme vecteurs d'attaque par des acteurs malveillants, compromettant la sécurité du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R14.md b/_adrela/PA-022_R14.md new file mode 100644 index 0000000..2aa35e7 --- /dev/null +++ b/_adrela/PA-022_R14.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Chiffrer l'ensemble des périphériques de stockage utilisés pour l'administration +Recommandation: | + Il est recommandé de procéder au chiffrement complet de l’ensemble des périphériques de stockage (disques durs, périphériques de stockage amovibles, etc.) utilisés pour les actions d’administration. +Titre_Vuln: | + Absence de chiffrement des périphériques de stockage utilisés pour l'administration +Vulnerabilit_: | + L'absence de chiffrement expose les données administratives sensibles à des risques de compromission en cas de perte, de vol ou d'accès non autorisé aux périphériques de stockage. Cela peut entraîner la divulgation d'informations critiques et faciliter des attaques sur le SI. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Systèmes + - Physique +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R15-.md b/_adrela/PA-022_R15-.md similarity index 56% rename from _adrela/ANSSI-PA-022_R15-.md rename to _adrela/PA-022_R15-.md index f9a898b..cf9bdd7 100644 --- a/_adrela/ANSSI-PA-022_R15-.md +++ b/_adrela/PA-022_R15-.md @@ -1,18 +1,25 @@ --- -description: | - À défaut d’un réseau physique dédié, les ressources d’administration doivent être déployées sur un réseau logique dédié à cet usage en mettant en œuvre des mécanismes de chiffrement et d’authentification de réseau, à savoir le protocole IPsec. En complément, des mécanismes de segmentation logique (VLAN) et de filtrage réseau sont recommandés pour limiter l’exposition du concentrateur VPN IPsec aux seuls postes d’administration. - Pour la mise en œuvre du protocole IPsec, les recommandations du guide de l’ANSSI ([Recommandations de sécurité relatives à IPsec pour la protection des flux réseau.](https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-ipsec)) doivent être appliquées - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Connecter les ressources d'administration sur un réseau VPN IPsec dédié - +Recommandation: | + À défaut d’un réseau physique dédié, les ressources d’administration doivent être déployées sur un réseau logique dédié à cet usage en mettant en œuvre des mécanismes de chiffrement et d’authentification de réseau, à savoir le protocole IPsec. En complément, des mécanismes de segmentation logique (VLAN) et de filtrage réseau sont recommandés pour limiter l’exposition du concentrateur VPN IPsec aux seuls postes d’administration.
+ Pour la mise en œuvre du protocole IPsec, les recommandations du guide de l’ANSSI ([Recommandations de sécurité relatives à IPsec pour la protection des flux réseau.](https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-ipsec)) doivent être appliquées. +Titre_Vuln: | + Absence d'un réseau logique dédié pour les ressources d'administration +Vulnerabilit_: | + L'absence d'un réseau logique ou physique dédié expose les flux administratifs à des risques d'interception, de détournement ou d'altération par des attaquants. Cela accroît la surface d'attaque et augmente les probabilités de compromission des opérations critiques d'administration. +Impact: + - 4 +Probabilit_: + - 3 tags: - Réseaux - Physique - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R15.md b/_adrela/PA-022_R15.md new file mode 100644 index 0000000..f52b7b2 --- /dev/null +++ b/_adrela/PA-022_R15.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Connecter les ressources d'administration sur un réseau physique dédié +Recommandation: | + Les ressources d’administration (ex.: postes d’administration, serveurs outils) doivent être déployées sur un réseau physiquement dédié à cet usage.
+ Le cas échéant, il est recommandé que les postes d’administration s’authentifient pour accéder au réseau d’administration. +Titre_Vuln: | + Absence d'un réseau physique dédié pour les ressources d'administration +Vulnerabilit_: | + L'absence d'un réseau physique dédié pour l'administration entraîne un mélange des flux critiques d'administration avec les flux utilisateurs standards, augmentant le risque de compromission par des attaques telles que le sniffing, le spoofing, ou les attaques par déni de service ciblées sur les flux sensibles. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Réseaux + - Physique +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R16.md b/_adrela/PA-022_R16.md new file mode 100644 index 0000000..8c3b277 --- /dev/null +++ b/_adrela/PA-022_R16.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer un filtrage interne et périmétrique au SI d'administration +Recommandation: | + Quelle que soit la solution de réseau retenue, un filtrage réseau entre zones de confiance doit être mis en œuvre au sein du SI d’administration. Par ailleurs, toutes les interconnexions avec le SI d’administration doivent être identifiées et filtrées. Une matrice de flux, limitée au juste besoin opérationnel, doit être élaborée et revue régulièrement afin d’assurer la traçabilité et le suivi des règles de filtrage. +Titre_Vuln: | + Absence de filtrage réseau interne et périmétrique au SI d'administration +Vulnerabilit_: | + L'absence de filtrage réseau expose le SI d'administration à des risques de propagation latérale en cas de compromission, facilitant l'accès non autorisé à des zones sensibles ou des interconnexions critiques. Les flux inutiles ou mal contrôlés augmentent la surface d'attaque, notamment face aux intrusions et aux fuites de données. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R17.md b/_adrela/PA-022_R17.md new file mode 100644 index 0000000..c88dac5 --- /dev/null +++ b/_adrela/PA-022_R17.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer un filtrage local sur les ressources administrées +Recommandation: | + Pour maîtriser les accès au plus près des ressources administrées, il est recommandé de leur appliquer un filtrage local correspondant au juste besoin opérationnel. +Titre_Vuln: | + Absence de filtrage local sur les ressources administrées +Vulnerabilit_: | + L'absence de filtrage local sur les ressources administrées expose le SI à des accès non autorisés ou non contrôlés, augmentant les risques de compromission ou de mauvaise utilisation des ressources critiques. Cela réduit également la capacité de détection des comportements anormaux ou malveillants. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R18-.md b/_adrela/PA-022_R18-.md new file mode 100644 index 0000000..84d3edf --- /dev/null +++ b/_adrela/PA-022_R18-.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier une interface réseau virtuelle d'administration +Recommandation: | + À défaut d’une interface réseau physique d’administration, il est recommandé de dédier une interface réseau virtuelle d’administration sur les ressources administrées. Les mêmes pré-requis que R18 s’appliquent. +Titre_Vuln: | + Absence d'interface réseau dédiée pour l'administration +Vulnerabilit_: | + L'absence d'une interface réseau dédiée pour l'administration expose le SI à des risques de mélange de flux, augmentant ainsi la surface d'attaque et le risque de compromission des ressources administrées. Une mauvaise isolation des flux administratifs peut également compromettre la confidentialité et l'intégrité des données critiques. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R18.md b/_adrela/PA-022_R18.md new file mode 100644 index 0000000..9576b5e --- /dev/null +++ b/_adrela/PA-022_R18.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier une interface réseau physique d'administration +Recommandation: | + Il est recommandé de dédier une interface réseau physique d’administration sur les ressources administrées en s’assurant des pré-requis suivants: + - les services logiques permettant l’exécution des actions d’administration doivent être en écoute uniquement sur l’interface réseau d’administration prévue à cet effet ; + - les fonctions internes du système d’exploitation ne doivent pas permettre le routage d’informations entre les interfaces réseau de production et l’interface réseau d’administration d’une même ressource. Elles doivent être désactivées (ex.: désactivation d’IPForwarding). +Titre_Vuln: | + Présence d'interfaces réseau entre administration et production +Vulnerabilit_: | + L'absence d'une interface réseau physique dédiée pour l'administration peut entraîner une confusion des flux d'administration et de production, augmentant les risques d'intrusion, d'accès non autorisé, ou de compromission des ressources administrées. Cela réduit également l'efficacité des mécanismes de cloisonnement et de filtrage réseau. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Physique + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- \ No newline at end of file diff --git a/_adrela/PA-022_R19.md b/_adrela/PA-022_R19.md new file mode 100644 index 0000000..8a103a4 --- /dev/null +++ b/_adrela/PA-022_R19.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer un filtrage entre ressources d'administration et ressources administrées +Recommandation: | + La recommandation R16 doit être appliquée rigoureusement entre les ressources d’administration et les ressources administrées. +Titre_Vuln: | + Absence de filtrage entre les ressources d'administration et administrées +Vulnerabilit_: | + L'absence de filtrage entre les ressources d'administration et les ressources administrées augmente les risques de propagation d'attaques ou de fuites de données sensibles. Un trafic non contrôlé entre ces deux types de ressources peut permettre l'exploitation de vulnérabilités ou le contournement des mécanismes de sécurité. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R2.md b/_adrela/PA-022_R2.md new file mode 100644 index 0000000..17857b9 --- /dev/null +++ b/_adrela/PA-022_R2.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Former les administrateurs à l'état de l'art en matière de SSI +Recommandation: | + En tant que ressource humaine critique pour le SI, un administrateur doit être formé à l’état de l’art, dans ses domaines de compétences et en sécurité des systèmes d’information (ex.: sécurité des systèmes, sécurité des réseaux, infrastructure de gestion de clés). Le guide d’hygiène informatique de l’ANSSI doit être connu. +Titre_Vuln: | + Absence de formation des administrateurs à l'état de l'art en SSI +Vulnerabilit_: | + L'absence de formation adéquate des administrateurs expose le SI à des failles de sécurité résultant d'une mauvaise configuration, d'erreurs humaines ou d'un manque de vigilance face à des cyberattaques. Les administrateurs non formés sont moins aptes à identifier et à répondre aux incidents de sécurité, augmentant ainsi les risques d'exploitation par des acteurs malveillants. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R20.md b/_adrela/PA-022_R20.md new file mode 100644 index 0000000..3407a97 --- /dev/null +++ b/_adrela/PA-022_R20.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Bloquer toute connexion entre ressources administrées à travers le réseau d'administration +Recommandation: | + Une mesure de blocage ou de filtrage réseau doit être mise en œuvre entre les ressources administrées afin d’interdire toute tentative de compromission par rebond à travers les interfaces réseaux d’administration. +Titre_Vuln: | + Absence de filtrage entre les ressources administrées via le réseau d'administration +Vulnerabilit_: | + En l'absence de filtrage entre les ressources administrées, des connexions non contrôlées peuvent être utilisées pour des mouvements latéraux dans le réseau. Cela expose les ressources administrées à des risques accrus de compromission et de propagation d'attaques, mettant en péril la sécurité globale du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R22.md b/_adrela/PA-022_R22.md new file mode 100644 index 0000000..38deaa9 --- /dev/null +++ b/_adrela/PA-022_R22.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Déployer les outils d'administration sur des serveurs dédiés par zone d'administration +Recommandation: | + Les outils d’administration doivent être déployés par zone d’administration en fonction du juste besoin opérationnel. Cette mesure peut se traduire par la mise en œuvre de serveurs outils dédiés, intégrant par exemple les outils d’administration proposés par des éditeurs ou des équipementiers (ex.: client lourd ou service Web interagissant avec les ressources administrées). + Les recommandations de sécurisation logicielle des postes d’administration (R10, R11, R12, R13, R14) doivent être appliquées, dès que possible, aux serveurs outils d’administration. +Titre_Vuln: | + Absence de séparation des outils d'administration par zone +Vulnerabilit_: | + L'absence de serveurs dédiés par zone d'administration expose les outils à un risque de compromission croisée entre zones. Cela augmente les opportunités pour des attaquants de pivoter et compromettre des ressources critiques d'autres zones via ces outils. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R23.md b/_adrela/PA-022_R23.md new file mode 100644 index 0000000..f7e44cd --- /dev/null +++ b/_adrela/PA-022_R23.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer un filtrage entre les postes d'administration et les serveurs outils d'administration +Recommandation: | + La recommandation R16 doit être appliquée rigoureusement entre les postes d’administration et les serveurs outils d’administration en autorisant uniquement les flux à l’initiative des postes d’administration. +Titre_Vuln: | + Absence de filtrage des flux entre les postes et les serveurs outils d'administration +Vulnerabilit_: | + L'absence de contrôle strict des flux entre les postes d'administration et les serveurs outils peut permettre à un attaquant ayant compromis un serveur outil d'accéder à d'autres ressources d'administration, compromettant ainsi l'ensemble du SI d'administration. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R24-.md b/_adrela/PA-022_R24-.md similarity index 55% rename from _adrela/ANSSI-PA-022_R24-.md rename to _adrela/PA-022_R24-.md index 1b4c539..f5bf768 100644 --- a/_adrela/ANSSI-PA-022_R24-.md +++ b/_adrela/PA-022_R24-.md @@ -1,16 +1,23 @@ --- -description: | - À défaut d’interfaces d’administration dédiées ou d’outils d’administration permettant le chiffrement et l’authentification de bout en bout, les flux d’administration doivent être protégés par la mise en œuvre d’un tunnel VPN IPsec, avec authentification mutuelle par certificats, depuis le serveur outils ou le poste d’administration vers les ressources administrées. Ce tunnel VPN IPsec doit être établi au plus près de la ressource d’administration et de la ressource administrée - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Protéger le cas échéant les flux d'administration dans un tunnel VPN IPsec - +Recommandation: | + À défaut d’interfaces d’administration dédiées ou d’outils d’administration permettant le chiffrement et l’authentification de bout en bout, les flux d’administration doivent être protégés par la mise en œuvre d’un tunnel VPN IPsec, avec authentification mutuelle par certificats, depuis le serveur outils ou le poste d’administration vers les ressources administrées. Ce tunnel VPN IPsec doit être établi au plus près de la ressource d’administration et de la ressource administrée. +Titre_Vuln: | + Absence de protection des flux d'administration sensibles +Vulnerabilit_: | + L'absence de chiffrement et d'authentification des flux d'administration expose le SI à des interceptions, des modifications non autorisées ou des attaques de type "Man-in-the-Middle" sur ces flux critiques. +Impact: + - 4 +Probabilit_: + - 3 tags: - Réseaux - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R24.md b/_adrela/PA-022_R24.md new file mode 100644 index 0000000..8c660d5 --- /dev/null +++ b/_adrela/PA-022_R24.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser des protocoles sécurisés pour les flux d'administration +Recommandation: | + Il est recommandé d’utiliser systématiquement, dès lors qu’ils existent, des protocoles et des outils d’administration utilisant des mécanismes de chiffrement et d’authentification robustes (cf. [RGS](https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs)), en privilégiant les protocoles sécurisés standardisés et éprouvés (ex.: TLS ou SSH). + Le cas échéant, les protocoles non sécurisés doivent être explicitement désactivés ou bloqués. +Titre_Vuln: | + Absence de protocoles sécurisés pour les flux d'administration +Vulnerabilit_: | + L’absence d’utilisation de protocoles sécurisés pour les flux d’administration expose les échanges à des risques tels que l'interception, l'espionnage ou la compromission de données sensibles. Les outils ou protocoles non chiffrés amplifient ces risques en rendant les flux exploitables par des attaquants. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R25.md b/_adrela/PA-022_R25.md new file mode 100644 index 0000000..62440be --- /dev/null +++ b/_adrela/PA-022_R25.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Étudier la mise en œuvre d'une rupture protocolaire des flux d'administration +Recommandation: | + Pour la traçabilité des accès ou des actions d’administration, ou pour pallier des faiblesses de sécurité des protocoles d’administration, il est recommandé d’étudier la mise en œuvre d’une rupture protocolaire des flux d’administration. +Titre_Vuln: | + Absence de rupture protocolaire sur les flux d'administration +Vulnerabilit_: | + L'absence de rupture protocolaire peut exposer les flux d'administration aux vulnérabilités suivantes : + - Risque accru de compromission des données en transit ; + - Accès non contrôlé ou malveillant à des zones sensibles du SI ; + - Manque de traçabilité des actions, rendant difficile l'investigation en cas d'incident. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- \ No newline at end of file diff --git a/_adrela/PA-022_R26.md b/_adrela/PA-022_R26.md new file mode 100644 index 0000000..cc9c93a --- /dev/null +++ b/_adrela/PA-022_R26.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Renoncer à la rupture protocolaire pour les besoins en confidentialité +Recommandation: | + L'absence de rupture protocolaire doit être privilégiée en cas de besoin fort de confidentialité des flux d’administration et après une analyse de risque complémentaire. + Le cas échéant, les protocoles utilisés doivent d’autant plus être sécurisés et configurés à l’état de l’art conformément à R24. +Titre_Vuln: | + Présence de rupture protocolaire malgré un besoin élevé de confidentialité +Vulnerabilit_: | + La mise en œuvre d’une rupture protocolaire dans un contexte où les flux d’administration nécessitent une confidentialité élevée peut compromettre la sécurité. Cela introduit des points de vulnérabilité supplémentaires et augmente le risque de compromission des données sensibles échangées. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R27.md b/_adrela/PA-022_R27.md new file mode 100644 index 0000000..3c1e21e --- /dev/null +++ b/_adrela/PA-022_R27.md @@ -0,0 +1,28 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser des comptes d'administration dédiés +Recommandation: | + L’administrateur doit disposer d’un ou plusieurs comptes d’administration dédiés, distincts de son compte utilisateur. Les secrets d’authentification doivent être différents suivant le compte utilisé. +Titre_Vuln: | + Présence de compte pour des tâches utilisateurs et administratives +Vulnerabilit_: | + L'utilisation d'un même compte pour des tâches administratives et utilisateur peut entraîner les risques suivants : + - Augmentation de la surface d'attaque en cas de compromission du compte utilisateur ; + - Difficulté à tracer les actions spécifiques d'administration pour des investigations ; + - Risque de non-respect des principes de séparation des privilèges. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Authentification + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- + diff --git a/_adrela/PA-022_R28.md b/_adrela/PA-022_R28.md new file mode 100644 index 0000000..9e6cb13 --- /dev/null +++ b/_adrela/PA-022_R28.md @@ -0,0 +1,29 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Protéger l'accès aux annuaires des comptes d'administration +Recommandation: | + Le ou les annuaires contenant les comptes d’administration doivent être protégés en confidentialité et en intégrité et ne pas être exposés sur des environnements de moindre confiance.
+ Dans le cas général, il est recommandé de déployer un ou plusieurs annuaires dédiés, au sein du SI d’administration, pour gérer les comptes d’administration et le contrôle d’accès aux ressources administrées.
+ Dans le cas spécifique d’un SI administré reposant sur Microsoft Active Directory, il est recommandé en premier lieu d’adopter un modèle de gestion des comptes à privilèges (ex.: modèle en trois *Tiers*) pour cet annuaire et de sécuriser sa configuration (cf. [les points de contrôle Active Directory](https://www.cert.ssi.gouv.fr/dur/CERTFR-2020-DUR-001/)). +Titre_Vuln: | + Présence d'annuaire de comptes d'administration dans des environnements de moindre confiance +Vulnerabilit_: | + Un annuaire de comptes d'administration mal protégé peut entraîner :
+ - Compromission des informations sensibles sur les comptes à privilèges;
+ - Escalade de privilèges via des attaques ciblées sur les annuaires;
+ - Accès non autorisé à des ressources administrées critiques. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Authentification + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R29.md b/_adrela/PA-022_R29.md new file mode 100644 index 0000000..432c5cd --- /dev/null +++ b/_adrela/PA-022_R29.md @@ -0,0 +1,27 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Réserver les comptes d'administration aux seules actions d'administration +Recommandation: | + Les comptes d’administration doivent être utilisés exclusivement pour des actions d’administration. En particulier, aucun compte d’administration ne doit être utilisé pour des actions bureautiques ou l’ouverture de sessions de travail sur des postes autres que ceux réservés aux actions d’administration. +Titre_Vuln: | + Usage inapproprié des comptes d'administration +# Non respect de la règle Absence/Présence. +Vulnerabilit_: | + L'utilisation de comptes d'administration pour des tâches non administratives (bureautique, navigation sur Internet, messagerie) peut entraîner : + - Augmentation de la surface d'exposition des comptes sensibles à des attaques comme le phishing ou les exploits ciblant les applications bureautiques ; + - Non-respect des principes de minimisation des privilèges, facilitant les attaques par escalade de privilèges ; + - Difficulté dans la traçabilité et la distinction des actions utilisateur et administratives. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Politique +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R3.md b/_adrela/PA-022_R3.md new file mode 100644 index 0000000..06be1b2 --- /dev/null +++ b/_adrela/PA-022_R3.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Disposer d'une documentation des SI à jour +Recommandation: | + Les administrateurs doivent disposer de documents reflétant fidèlement l’état courant des SI qu’ils administrent, notamment des cartographies du SI (physique, système, réseau, applications) faisant notamment apparaître clairement les interconnexions avec l’extérieur. +Titre_Vuln: | + Absence de documentation à jour des SI +Vulnerabilit_: | + L'absence de documentation à jour des systèmes d'information complique leur gestion et augmente les risques d'erreurs dans leur administration. Cela peut également rendre les investigations difficiles en cas d'incident, augmentant ainsi les délais de réponse et d'atténuation des impacts. Une documentation obsolète ou inexistante limite également la capacité de l'organisation à maintenir la sécurité et la conformité des SI. +Impact: + - 2 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R30.md b/_adrela/PA-022_R30.md new file mode 100644 index 0000000..df0d498 --- /dev/null +++ b/_adrela/PA-022_R30.md @@ -0,0 +1,29 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser par défaut des comptes d'administration individuels +Recommandation: | + Des comptes d’administration individuels doivent être attribués à chaque administrateur. Les comptes natifs d’administration ne doivent pas être utilisés pour les actions courantes d’administration et les secrets associés ne doivent être accessibles qu’à un nombre très restreint de personnes. +Titre_Vuln: | + Partage ou usage inapproprié des comptes d'administration +# Non respect de la règle Absence/Présence., à réfléchir si une troisième option est normal +Vulnerabilit_: | + L’utilisation de comptes d’administration partagés ou génériques présente les risques suivants:
+ - Perte de traçabilité des actions administratives, compliquant les audits et investigations post-incident;
+ - Augmentation des chances de compromission, car ces comptes ont des privilèges étendus;
+ - Faiblesse des contrôles d’accès, rendant difficile l’identification des utilisateurs malintentionnés;
+ - Exposition accrue des secrets d’administration, notamment si les mots de passe sont transmis entre plusieurs personnes. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Authentification + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R31.md b/_adrela/PA-022_R31.md new file mode 100644 index 0000000..b59fcc0 --- /dev/null +++ b/_adrela/PA-022_R31.md @@ -0,0 +1,30 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Journaliser les événements liés aux comptes d'administration +Recommandation: | + Les mécanismes d’audit des événements concernant les comptes d’administration doivent être mis en œuvre. En particulier, les journaux suivants doivent être activés:
+ - ouvertures et fermetures de session;
+ - échecs d’authentification et verrouillage des comptes;
+ - gestion des comptes;
+ - gestion des groupes de sécurité. +Titre_Vuln: | + Absence de journalisation des activités liées aux comptes d'administration +Vulnerabilit_: | + L’absence de journalisation des événements relatifs aux comptes d’administration entraîne les risques suivants:
+ - Perte de traçabilité des actions critiques, compliquant l’identification et la gestion des incidents de sécurité;
+ - Impossibilité de détecter des tentatives d’accès non autorisées ou des comportements suspects;
+ - Difficultés à satisfaire aux exigences légales ou normatives en matière d’audit et de traçabilité. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Surveillance +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R32.md b/_adrela/PA-022_R32.md new file mode 100644 index 0000000..cf4ea84 --- /dev/null +++ b/_adrela/PA-022_R32.md @@ -0,0 +1,29 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Prévoir un processus de gestion des comptes d'administration +Recommandation: | + Un processus organisationnel et technique de gestion des comptes d’administration et des privilèges associés doit être mis en œuvre et intégrer une procédure de contrôle et de révision régulière.
+ Sur l’aspect organisationnel, ce processus doit être suffisamment résilient pour pallier l’absence d’un ou plusieurs acteurs. Les entités opérationnelles doivent être associées en phase de conception et sont ensuite responsables de son application.
+ Sur l’aspect technique, les comptes d’administration ne doivent pas être créés, modifiés ou supprimés automatiquement depuis un outil exposé sur un SI bureautique. +Titre_Vuln: | + Absence de processus structuré pour la gestion des comptes d'administration +Vulnerabilit_: | + L’absence de processus structuré pour la gestion des comptes d’administration entraîne les risques suivants:
+ - Accumulation de comptes inutilisés ou à privilèges excessifs, augmentant la surface d’attaque;
+ - Éléments critiques non gérés en cas d’absence ou d’indisponibilité des acteurs;
+ - Risques accrus d’erreurs humaines, telles que la suppression accidentelle de comptes actifs;
+ - Difficulté à maintenir un alignement entre les besoins opérationnels et les droits accordés. +Impact: + - 4 +Probabilit_: + - 4 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R33.md b/_adrela/PA-022_R33.md new file mode 100644 index 0000000..9cf2d51 --- /dev/null +++ b/_adrela/PA-022_R33.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Se référer au RGS pour choisir les mécanismes d'authentification +Recommandation: | + En phase de conception ou de révision des architectures d’administration, il convient de se référer aux annexes B1, B2 et B3 du [RGS](https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs) afin de mettre en conformité les mécanismes d’authentification utilisés. +Titre_Vuln: | + Absence de choix approprié des mécanismes d'authentification +Vulnerabilit_: | + L'absence de référence aux normes du RGS lors du choix des mécanismes d’authentification entraîne les risques suivants:
+ - Utilisation de mécanismes insuffisamment robustes face à des menaces avancées;
+ - Non-conformité aux exigences réglementaires et légales, exposant l’organisation à des sanctions;
+ - Compromission des flux sensibles ou administratifs par des attaques de type vol d’identifiants ou force brute. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R34.md b/_adrela/PA-022_R34.md new file mode 100644 index 0000000..72cca62 --- /dev/null +++ b/_adrela/PA-022_R34.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Modifier les mots de passe par défaut des comptes natifs +Recommandation: | + Les mots de passe par défaut des comptes natifs d’administration doivent être modifiés au moment de l’installation de l’équipement ou du service. De préférence, les nouveaux mots de passe sont distincts par équipement et conservés au séquestre. +Titre_Vuln: | + Présence de mots de passe par défaut des comptes natifs +Vulnerabilit_: | + Le maintien des mots de passe par défaut représente un risque critique d’exploitation par des attaquants, qui peuvent s’en servir pour accéder aux systèmes de manière non autorisée. Ces mots de passe sont bien souvent connus publiquement ou facilement trouvables. +Impact: + - 4 +Probabilit_: + - 5 +tags: + - Authentification +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R35.md b/_adrela/PA-022_R35.md new file mode 100644 index 0000000..e9bd000 --- /dev/null +++ b/_adrela/PA-022_R35.md @@ -0,0 +1,27 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Stocker les mots de passe dans un coffre-fort de mots de passe +Recommandation: | + Il est recommandé d’utiliser un coffre-fort de mots de passe disposant d’un visa de sécurité pour stocker de manière sécurisée les mots de passe sur le SI d’administration. Ainsi, les mots de passe peuvent être, autant que possible, distincts, longs et aléatoires. +Titre_Vuln: | + Absence de stockage sécurisé des mots de passe administratifs +Vulnerabilit_: | + L'absence de coffre-fort sécurisé pour le stockage des mots de passe administratifs expose le SI d’administration aux risques suivants:
+ - Perte ou divulgation des mots de passe sensibles;
+ - Accès non autorisé à des ressources critiques par des utilisateurs malveillants;
+ - Difficulté à garantir des pratiques robustes de rotation et de gestion des mots de passe. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Authentification + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R36.md b/_adrela/PA-022_R36.md new file mode 100644 index 0000000..4e4ffbc --- /dev/null +++ b/_adrela/PA-022_R36.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Privilégier une authentification double facteur pour les actions d'administration +Recommandation: | + Pour les actions d’administration, il est recommandé d’utiliser une authentification comportant au minimum deux facteurs. +Titre_Vuln: | + Authentification insuffisante pour les actions d'administration +Vulnerabilit_: | + L’absence d’authentification double facteur pour les actions d’administration expose le SI d’administration aux risques suivants:
+ - Compromission accrue des comptes administratifs par des attaques telles que l’hameçonnage ou la force brute;
+ - Usurpation d’identité et accès non autorisé à des ressources critiques;
+ - Non-conformité aux bonnes pratiques et aux exigences réglementaires. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R37.md b/_adrela/PA-022_R37.md new file mode 100644 index 0000000..a86bdf4 --- /dev/null +++ b/_adrela/PA-022_R37.md @@ -0,0 +1,27 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser des certificats électroniques de confiance pour l'authentification +Recommandation: | + L’usage de certificats électroniques comme élément contribuant à l’authentification est recommandé.
+ Il convient d’acquérir ces certificats auprès d’un prestataire de services de certificats électroniques (PSCE) qualifié par l’ANSSI ou de déployer une infrastructure de gestion de clés conforme aux exigences du [RGS](https://cyber.gouv.fr/le-referentiel-general-de-securite-rgs) encadrant ce domaine. +Titre_Vuln: | + Absence d’utilisation de certificats électroniques de confiance +Vulnerabilit_: | + L’absence de certificats électroniques pour l’authentification expose le SI d’administration aux risques suivants:
+ - Absence de garantie sur l’identité des utilisateurs ou des équipements, favorisant l’usurpation d’identité;
+ - Manque de confidentialité ou d’intégrité des données échangées;
+ - Non-respect des exigences réglementaires et des bonnes pratiques en matière de sécurité. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Authentification +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R38.md b/_adrela/PA-022_R38.md new file mode 100644 index 0000000..b4ea9b6 --- /dev/null +++ b/_adrela/PA-022_R38.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Mettre en œuvre une gestion centralisée de l'authentification +Recommandation: | + Une gestion centralisée de l’authentification doit être mise en œuvre en lieu et place d’une gestion exclusivement locale sur les ressources d’administration ou les ressources administrées. +Titre_Vuln: | + Absence de gestion centralisée de l'authentification +Vulnerabilit_: | + L’absence d’une gestion centralisée de l’authentification entraîne:
+  - Une prolifération des comptes locaux non gérés et potentiellement mal sécurisés;
+  - Une augmentation des risques d’erreurs humaines dans la gestion des accès;
+  - Une incapacité à surveiller efficacement les activités administratives et à auditer les actions des utilisateurs. +Impact: + - 3 +Probabilit_: + - 3 +tags: + - Authentification +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R39.md b/_adrela/PA-022_R39.md new file mode 100644 index 0000000..87a039b --- /dev/null +++ b/_adrela/PA-022_R39.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Respecter le principe du moindre privilège dans l'attribution des droits d'administration +Recommandation: | + Les droits d’administration doivent être mis en œuvre sur l’annuaire des comptes d’administration en respectant le principe du moindre privilège.
+ Dans le cas spécifique des droits les plus privilégiés sur l’annuaire lui-même, seuls des administrateurs du SI d’administration peuvent en disposer. +Titre_Vuln: | + Absence de mise en œuvre du principe du moindre privilège +Vulnerabilit_: | + L’absence d’application du principe du moindre privilège dans l’attribution des droits d’administration peut entraîner un accès non nécessaire à des ressources sensibles. Cela augmente le risque d’exploitation par des utilisateurs internes ou externes malveillants, compromettant ainsi la sécurité de l’annuaire et des comptes administratifs. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R4.md b/_adrela/PA-022_R4.md new file mode 100644 index 0000000..a0322cb --- /dev/null +++ b/_adrela/PA-022_R4.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Mener une analyse de risque sur le SI d'administration et son écosystème +Recommandation: | + Avant toute étude des mesures techniques à mettre en œuvre, une analyse de risque doit être menée en portant une attention particulière sur les besoins de sécurité du SI d’administration et ses interconnexions. Dans une démarche d’amélioration continue, il est recommandé que l’analyse de risque et la mise en œuvre des mesures induites soient revues au moins une fois par an. +Titre_Vuln: | + Absence d’analyse de risque sur le SI d’administration +Vulnerabilit_: | + L’absence d’analyse de risque sur le SI d’administration et son écosystème expose l’organisation à des vulnérabilités mal identifiées et des risques non contrôlés. Cela peut conduire à des défaillances dans la mise en œuvre des mesures de sécurité appropriées, compromettant ainsi la sécurité globale du système. Sans une révision régulière, des changements dans l’écosystème ou les menaces émergentes peuvent être négligés. +Impact: + - 4 +Probabilit_: + - 4 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R41.md b/_adrela/PA-022_R41.md new file mode 100644 index 0000000..8060ba1 --- /dev/null +++ b/_adrela/PA-022_R41.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Déployer des politiques de sécurité +Recommandation: | + Il est recommandé de déployer des politiques de sécurité dans le but de définir les privilèges de chaque compte d’administration, de contrôler l’accès aux outils d’administration en fonction du juste besoin opérationnel et de renforcer l’authentification. +Titre_Vuln: | + Absence de politiques de sécurité pour la gestion des privilèges et de l'authentification +Vulnerabilit_: | + L'absence de politiques de sécurité pour définir les privilèges et contrôler les accès peut entraîner une gestion incohérente des droits, augmentant le risque d'accès non autorisé et de compromission des comptes sensibles. Une telle faille peut être exploitée pour escalader les privilèges ou compromettre des outils critiques d'administration. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Systèmes + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R42.md b/_adrela/PA-022_R42.md new file mode 100644 index 0000000..7bb1f94 --- /dev/null +++ b/_adrela/PA-022_R42.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Réaliser scrupuleusement le MCS du SI d'administration +Recommandation: | + Le MCS de l’ensemble des éléments constituant le SI d’administration doit être assuré périodiquement et dans des délais raisonnables, notamment par l’application des mises à jour de sécurité. À cette fin, il est recommandé de mener une veille technologique. +Titre_Vuln: | + Absence de maintenance et de mise à jour régulière du SI d'administration +Vulnerabilit_: | + Le manque de maintenance et de mise à jour régulière (MCS) des éléments du SI d'administration expose le système à des vulnérabilités connues, facilitant les attaques ciblées. Une absence de correctifs réduit la résilience globale et augmente la surface d'attaque exploitable par des cybercriminels. +Impact: + - 4 +Probabilit_: + - 4 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R43.md b/_adrela/PA-022_R43.md new file mode 100644 index 0000000..d6a6173 --- /dev/null +++ b/_adrela/PA-022_R43.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Mettre en place des serveurs relais pour la récupération des mises à jour +Recommandation: | + Pour la récupération des mises à jour (ex.: correctifs de sécurité ou signatures antivirales), il est recommandé de mettre en œuvre, au sein d’une DMZ, des serveurs relais dédiés au SI d’administration.
+ Seuls les flux initialisés depuis ces dépôts relais vers Internet doivent permettre le téléchargement des mises à jour. Des mécanismes de filtrage par liste d’autorisations permettent de restreindre l’accès aux seules sources officielles. +Titre_Vuln: | + Absence de mécanismes sécurisés pour la récupération des mises à jour +Vulnerabilit_: | + Sans serveurs relais dédiés et des mécanismes de filtrage, le SI d'administration est exposé à des mises à jour compromises ou provenant de sources non officielles. Cela augmente le risque de compromission via des logiciels malveillants ou des modifications non autorisées. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R44.md b/_adrela/PA-022_R44.md new file mode 100644 index 0000000..6ccd662 --- /dev/null +++ b/_adrela/PA-022_R44.md @@ -0,0 +1,27 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Valider les correctifs de sécurité avant leur généralisation +Recommandation: | + Il est recommandé que les administrateurs procèdent à la qualification des correctifs de sécurité avant leur mise en production et leur généralisation.
+ Une procédure d’urgence doit également être prévue pour réagir en cas de crise nécessitant l’application d’un correctif de sécurité au plus vite. +Titre_Vuln: | + Absence de processus de validation des correctifs avant leur mise en production +Vulnerabilit_: | + L’absence de validation préalable des correctifs de sécurité peut provoquer:
+ - La dégradation des services critiques en raison de mises à jour incompatibles ou défaillantes;
+ - Une exposition prolongée aux vulnérabilités critiques, en cas d’absence de procédure d’urgence efficace;
+ - Des conflits ou des dysfonctionnements dans les environnements administrés, compromettant la stabilité du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R45.md b/_adrela/PA-022_R45.md new file mode 100644 index 0000000..319e6bb --- /dev/null +++ b/_adrela/PA-022_R45.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Définir une politique de sauvegarde du SI d'administration +Recommandation: | + Pour permettre de pallier la corruption ou l’indisponibilité de données dues à un incident ou une compromission, une politique de sauvegarde doit être définie et appliquée pour le SI d’administration. + Pour les éléments les plus critiques, une sauvegarde hors ligne doit être prévue. +Titre_Vuln: | + Absence de politique de sauvegarde pour le SI d'administration +Vulnerabilit_: | + L'absence de politique de sauvegarde expose le SI d'administration à une perte définitive de données critiques en cas d'incident, de compromission ou de corruption des systèmes. Cela compromet gravement la capacité de reprise d'activité. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Politiques + - Surveillance +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R46.md b/_adrela/PA-022_R46.md new file mode 100644 index 0000000..c2a4e11 --- /dev/null +++ b/_adrela/PA-022_R46.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier une zone d'administration à la journalisation +Recommandation: | + Il est recommandé de dédier une zone d’administration à la journalisation du SI administré et du SI d’administration. Le cas échéant, un contrôle d’accès spécifique doit être mis en place. +Titre_Vuln: | + Absence de zone dédiée pour la journalisation du SI +Vulnerabilit_: | + L'absence d'une zone dédiée pour la journalisation peut entraîner un risque de compromission des journaux critiques. Cela pourrait rendre difficile la détection et l’analyse des incidents de sécurité, compromettant ainsi la supervision du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - Surveillance +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R47.md b/_adrela/PA-022_R47.md new file mode 100644 index 0000000..bd8ac21 --- /dev/null +++ b/_adrela/PA-022_R47.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Centraliser la collecte des journaux d'événements +Recommandation: | + L’architecture doit prévoir la transmission des journaux d’événements de manière centralisée, depuis les équipements vers les services de journalisation. +Titre_Vuln: | + Absence de centralisation des journaux d'événements +Vulnerabilit_: | + L'absence de centralisation dans la collecte des journaux d'événements peut entraîner une perte ou une dispersion des informations critiques. Cela complique les analyses en cas d'incident de sécurité et diminue l'efficacité des mécanismes de supervision. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Surveillance +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R48.md b/_adrela/PA-022_R48.md new file mode 100644 index 0000000..8e3d3b2 --- /dev/null +++ b/_adrela/PA-022_R48.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Installer un filtre de confidentialité sur le poste d'administration nomade +Recommandation: | + Le poste d’administration nomade doit être doté d’un filtre écran de confidentialité afin de limiter la portée des informations affichées dès lors qu’il y a une possible exposition à des regards tiers. +Titre_Vuln: | + Absence de protection contre les regards indiscrets sur le poste d'administration nomade +Vulnerabilit_: | + L’absence de filtre de confidentialité expose les informations affichées à des tiers dans les espaces publics ou semi-publics, augmentant les risques de divulgation non intentionnelle de données sensibles. +Impact: + - 2 +Probabilit_: + - 4 +tags: + - Physique +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R49.md b/_adrela/PA-022_R49.md similarity index 50% rename from _adrela/ANSSI-PA-022_R49.md rename to _adrela/PA-022_R49.md index c9758b7..6e70f01 100644 --- a/_adrela/ANSSI-PA-022_R49.md +++ b/_adrela/PA-022_R49.md @@ -1,18 +1,25 @@ --- -description: | - Un tunnel VPN IPsec doit être mis en œuvre entre le poste d’administration nomade, ou le site distant, et le SI d’administration. - Tous les flux entrants et sortants doivent transiter à travers ce tunnel. Toute configuration de type split tunnelling est à proscrire strictement. - Pour la mise en œuvre du protocole IPsec, les recommandations du guide de l’ANSSI ([Recommandations et méthodologie pour le nettoyage d’une politique de filtrage réseau d’un pare-feu](https://cyber.gouv.fr/publications/recommandations-et-methodologie-pour-le-nettoyage-dune-politique-de-filtrage-reseau)) doivent être appliquées. - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Utiliser un tunnel VPN IPsec pour la connexion du poste d'administration à distance - +Recommandation: | + Un tunnel VPN IPsec doit être mis en œuvre entre le poste d’administration nomade, ou le site distant, et le SI d’administration.
+ Tous les flux entrants et sortants doivent transiter à travers ce tunnel. Toute configuration de type *split tunnelling* est à proscrire strictement.
+ Pour la mise en œuvre du protocole IPsec, les recommandations du guide de l’ANSSI ([Recommandations et méthodologie pour le nettoyage d’une politique de filtrage réseau d’un pare-feu](https://cyber.gouv.fr/publications/recommandations-et-methodologie-pour-le-nettoyage-dune-politique-de-filtrage-reseau)) doivent être appliquées. +Titre_Vuln: | + Absence de sécurisation des communications pour le poste d'administration à distance +Vulnerabilit_: | + L’absence de tunnel sécurisé expose les communications du poste d’administration à distance à des risques de compromission. Un attaquant pourrait intercepter, modifier ou injecter des données dans les flux non sécurisés. +Impact: + - 4 +Probabilit_: + - 3 tags: - Réseaux - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R5.md b/_adrela/PA-022_R5.md new file mode 100644 index 0000000..e72ee3d --- /dev/null +++ b/_adrela/PA-022_R5.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Définir les zones de confiance du SI administré et déduire les zones d'administration +Recommandation: | + Avant toute étude d’architecture du SI d’administration, un découpage du SI administré en zones de confiance doit être réalisé. Ce travail permet de déduire un découpage du SI d’administration en zones d’administration. +Titre_Vuln: | + Absence de définition des zones de confiance et d'administration +Vulnerabilit_: | + L'absence de découpage en zones de confiance pour le SI administré complique la mise en place d'un cloisonnement efficace, exposant ainsi l'ensemble du système à des menaces potentiellement propagées. Sans une organisation en zones clairement définies, la sécurité des différentes parties du SI ne peut être gérée de manière adaptée, augmentant les risques d'accès non autorisés et de compromission. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R50.md b/_adrela/PA-022_R50.md new file mode 100644 index 0000000..f1ba2a3 --- /dev/null +++ b/_adrela/PA-022_R50.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Empêcher toute modification de la configuration VPN du poste d'administration +Recommandation: | + L’utilisateur du poste d’administration ne doit pas être en mesure de modifier sa configuration réseau pour débrayer ou détourner les mécanismes d’accès distant par VPN. +Titre_Vuln: | + Absence de contrôle sur la modification de la configuration VPN du poste d'administration +Vulnerabilit_: | + L’absence de contrôle sur la configuration réseau permet à un utilisateur malveillant ou négligent de désactiver les mécanismes sécurisés d’accès distant via VPN, augmentant ainsi les risques d’exfiltration de données ou de compromission. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si + +--- + diff --git a/_adrela/PA-022_R51.md b/_adrela/PA-022_R51.md new file mode 100644 index 0000000..a830364 --- /dev/null +++ b/_adrela/PA-022_R51.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier un concentrateur VPN IPsec physique pour l'administration à distance +Recommandation: | + Pour l’administration à distance, un concentrateur VPN IPSec physiquement dédié doit être déployé en périphérie du SI d’administration, en frontal du réseau non maîtrisé (ex.: Internet, partenaires). +Titre_Vuln: | + Absence de concentrateur VPN IPsec dédié pour l'administration à distance +Vulnerabilit_: | + L’absence d’un concentrateur VPN IPsec physiquement dédié expose le SI d’administration à des risques d’interception, d’usurpation ou de compromission des flux administratifs, augmentant la surface d’attaque via des réseaux non maîtrisés. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R52.md b/_adrela/PA-022_R52.md new file mode 100644 index 0000000..40c8514 --- /dev/null +++ b/_adrela/PA-022_R52.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Déployer des systèmes d'échanges sécurisés +Recommandation: | + Afin de répondre aux besoins fonctionnels d’échanges internes et externes au SI d’administration, il est nécessaire de mettre en place des systèmes d’échanges sécurisés. +Titre_Vuln: | + Absence de systèmes d'échanges sécurisés pour le SI d'administration +Vulnerabilit_: | + L’absence de systèmes d’échanges sécurisés expose le SI d’administration à des risques d’interception, de modification ou de perte des données lors des échanges internes et externes, augmentant les vulnérabilités face aux menaces internes et externes. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R53.md b/_adrela/PA-022_R53.md new file mode 100644 index 0000000..59a71e1 --- /dev/null +++ b/_adrela/PA-022_R53.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier le système d'échange interne au SI d'administration +Recommandation: | + Le système d’échange interne au SI d’administration doit être déployé au sein des infrastructures d’administration du SI d’administration sans aucune interconnexion avec d’autres SI. +Titre_Vuln: | + Absence de système d'échange interne dédié au SI d'administration +Vulnerabilit_: | + L’absence d’un système d’échange interne dédié au SI d’administration expose ce dernier à des risques de compromission par des interconnexions non maîtrisées, augmentant les menaces de fuite ou de corruption des données sensibles. +Impact: + - 5 +Probabilit_: + - 2 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R54.md b/_adrela/PA-022_R54.md new file mode 100644 index 0000000..6fe0654 --- /dev/null +++ b/_adrela/PA-022_R54.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + N'autoriser que des protocoles de transfert vers le système d'échange externe +Recommandation: | + Seuls les services et les protocoles permettant le transfert de données doivent être autorisés vers le système d’échange externe ; les flux doivent toujours être à l’initiative des clients situés en dehors du système d’échange. *En aucun cas*, il ne doit être possible d’accéder à une session de travail par le biais du système d’échange externe. +Titre_Vuln: | + Présence de services non autorisés sur le système d'échange externe +Vulnerabilit_: | + La présence de services ou de protocoles non autorisés sur le système d’échange externe augmente les risques d’exploitation malveillante, d’accès non contrôlé ou de détournement des mécanismes de transfert, exposant le SI à des attaques potentielles. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R55.md b/_adrela/PA-022_R55.md new file mode 100644 index 0000000..deb4045 --- /dev/null +++ b/_adrela/PA-022_R55.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Limiter au strict besoin opérationnel l'accès au système d'échange externe +Recommandation: | + Il est recommandé de restreindre l’accès au système d’échange externe du SI d’administration uniquement aux postes et aux utilisateurs qui en ont le besoin. +Titre_Vuln: | + Absence de restriction des accès au système d'échange externe +Vulnerabilit_: | + L’absence de restriction des accès au système d’échange externe permet à des utilisateurs non légitimes ou à des postes non sécurisés d’interagir avec ce système, augmentant les risques de compromission, de fuite ou de destruction des données sensibles. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Authentfication + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R56.md b/_adrela/PA-022_R56.md new file mode 100644 index 0000000..56951a1 --- /dev/null +++ b/_adrela/PA-022_R56.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Ne pas s'authentifier avec un compte d'administration sur le système d'échange externe +Recommandation: | + Les administrateurs ne doivent pas s’authentifier avec un compte d’administration sur le système d’échange externe considéré comme de moindre confiance par rapport au SI d’administration. +Titre_Vuln: | + Présence de comptes d'administration utilisés sur le système d'échange externe +Vulnerabilit_: | + L’utilisation de comptes d’administration sur un système d’échange externe, considéré comme de moindre confiance, expose ces comptes critiques à des risques accrus de compromission, pouvant entraîner des intrusions ou des actions malveillantes sur le SI d’administration. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Authentification + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R57.md b/_adrela/PA-022_R57.md new file mode 100644 index 0000000..7143f95 --- /dev/null +++ b/_adrela/PA-022_R57.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Ne pas stocker de données de manière permanente dans un système d'échange externe +Recommandation: | + Les données échangées ne doivent pas être stockées de manière permanente sur un système d’échange externe. Dès que leur transfert est effectif ou à défaut dans un délai raisonnable (ex.: 24 h), elles doivent être supprimées. +Titre_Vuln: | + Présence de stockage permanent des données dans un système d'échange externe +Vulnerabilit_: | + Le stockage permanent de données dans un système d’échange externe augmente les risques de compromission ou de fuite, notamment en cas d’attaques sur ce système ou d’accès non autorisés, compromettant la confidentialité et l’intégrité des données sensibles. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R59.md b/_adrela/PA-022_R59.md new file mode 100644 index 0000000..6f40244 --- /dev/null +++ b/_adrela/PA-022_R59.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Recourir à une prestation d'infogérance qualifiée d'un PAMS +Recommandation: | + Dans le cas d’un contrat d’infogérance pour l’administration ou la maintenance d’un SI, il est recommandé d’avoir recours à un prestataire d’administration et de maintenance sécurisées qualifié et de contractualiser avec lui [une prestation qualifiée](https://cyber.gouv.fr/produits-services-qualifies). +Titre_Vuln: | + Absence de recours à une prestation qualifiée pour l'infogérance +Vulnerabilit_: | + L’absence de recours à une prestation qualifiée pour l’infogérance ou la maintenance expose le SI à des risques accrus d’erreurs, de failles de sécurité ou d’actes malveillants en raison d’un manque de garanties sur la sécurité et les compétences du prestataire. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R6.md b/_adrela/PA-022_R6.md new file mode 100644 index 0000000..20e37a3 --- /dev/null +++ b/_adrela/PA-022_R6.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Privilégier l'utilisation de produits qualifiés par l'ANSSI +Recommandation: | + D’une manière générale, il est recommandé que les matériels et les logiciels utilisés pour protéger le SI d’administration soient qualifiés par l’ANSSI au niveau requis par les besoins de sécurité. À défaut, il est recommandé qu’ils disposent d’un autre visa de sécurité délivré par l’ANSSI. +Titre_Vuln: | + Utilisation de produits non qualifiés ou sans visa de sécurité +Vulnerabilit_: | + L'utilisation de matériels et logiciels non qualifiés par l'ANSSI ou sans visa de sécurité expose le SI d'administration à des vulnérabilités non contrôlées. Ces produits peuvent présenter des failles exploitables par des acteurs malveillants, compromettant la confidentialité, l'intégrité, et la disponibilité des systèmes critiques. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R62.md b/_adrela/PA-022_R62.md new file mode 100644 index 0000000..a00f694 --- /dev/null +++ b/_adrela/PA-022_R62.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier une chaîne d'accès à distance pour les administrateurs tiers +Recommandation: | + Pour l’accès à distance des administrateurs tiers, il est recommandé de dédier une chaîne d’accès, distincte notamment de celle des administrateurs disposant de moyens d’accès maîtrisés. En particulier, les équipements (ex.: concentrateurs VPN, serveurs de rebond) doivent être physiquement dédiés et ne pas être mutualisés avec des équipements utilisés par d’autres populations (utilisateurs, administrateurs internes). + Dans la mesure du possible, les équipements de filtrage et de commutation sont physiquement dédiés, en priorité les équipements périmétriques. À défaut, un cloisonnement logique est réalisé. +Titre_Vuln: | + Absence de chaîne d'accès dédiée pour les administrateurs tiers +Vulnerabilit_: | + L’absence de chaîne d’accès dédiée pour les administrateurs tiers expose le SI à des risques de compromission, notamment par mutualisation des équipements avec d’autres populations, ce qui pourrait faciliter des intrusions ou des actions malveillantes ciblées. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R63-.md b/_adrela/PA-022_R63-.md similarity index 55% rename from _adrela/ANSSI-PA-022_R63-.md rename to _adrela/PA-022_R63-.md index 39f5ae4..5473f5a 100644 --- a/_adrela/ANSSI-PA-022_R63-.md +++ b/_adrela/PA-022_R63-.md @@ -1,16 +1,23 @@ --- -description: | - À défaut d’utiliser IPsec, il est recommandé d’utiliser TLS pour établir le tunnel VPN entre les postes de travail des administrateurs tiers et le concentrateur VPN de l’entité dédié aux administrateurs tiers. Le cas échéant, une configuration à l’état de l’art avec le suivi des recommandations du guide TLS ([Recommandations de sécurité relatives à TLS](https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-tls)) doit être mise en œuvre. En particulier, toute version inférieure à TLS 1.2 ne doit pas être supportée. - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Utiliser un tunnel VPN TLS pour la connexion du poste de travail des administrateurs tiers - +Recommandation: | + À défaut d’utiliser IPsec, il est recommandé d’utiliser TLS pour établir le tunnel VPN entre les postes de travail des administrateurs tiers et le concentrateur VPN de l’entité dédié aux administrateurs tiers. Le cas échéant, une configuration à l’état de l’art avec le suivi des recommandations du guide TLS ([Recommandations de sécurité relatives à TLS](https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-tls)) doit être mise en œuvre. En particulier, toute version inférieure à TLS 1.2 ne doit pas être supportée. +Titre_Vuln: | + Absence de tunnel VPN TLS sécurisé pour les administrateurs tiers +Vulnerabilit_: | + L’absence d’un tunnel VPN TLS sécurisé pour la connexion des administrateurs tiers peut exposer les communications à des attaques, telles que le vol d’informations sensibles ou des interceptions, si un chiffrement robuste n’est pas appliqué. +Impact: + - 4 +Probabilit_: + - 3 tags: - Réseaux - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R63.md b/_adrela/PA-022_R63.md similarity index 53% rename from _adrela/ANSSI-PA-022_R63.md rename to _adrela/PA-022_R63.md index 4f8adf3..0d32e91 100644 --- a/_adrela/ANSSI-PA-022_R63.md +++ b/_adrela/PA-022_R63.md @@ -1,16 +1,23 @@ --- -description: | - Un tunnel VPN IPsec doit être mis en œuvre pour la connexion entre les postes de travail des administrateurs tiers et le concentrateur VPN de l’entité dédié aux administrateurs tiers. Les recommandations du guide IPsec de l’ANSSI ([Recommandations et méthodologie pour le nettoyage d’une politique de filtrage réseau d’un pare-feu](https://cyber.gouv.fr/publications/recommandations-et-methodologie-pour-le-nettoyage-dune-politique-de-filtrage-reseau)) doivent être suivies. - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Utiliser un tunnel VPN IPSec pour la connexion du poste de travail des administrateurs tiers - +Recommandation: | + Un tunnel VPN IPsec doit être mis en œuvre pour la connexion entre les postes de travail des administrateurs tiers et le concentrateur VPN de l’entité dédié aux administrateurs tiers. Les recommandations du guide IPsec de l’ANSSI ([Recommandations et méthodologie pour le nettoyage d’une politique de filtrage réseau d’un pare-feu](https://cyber.gouv.fr/publications/recommandations-et-methodologie-pour-le-nettoyage-dune-politique-de-filtrage-reseau)) doivent être suivies. +Titre_Vuln: | + Absence d'utilisation d'un tunnel VPN IPsec pour les administrateurs tiers +Vulnerabilit_: | + L’absence d’un tunnel VPN IPsec pour sécuriser la connexion des administrateurs tiers expose les échanges à des interceptions ou des attaques intermédiaires, compromettant la confidentialité et l’intégrité des données échangées. +Impact: + - 4 +Probabilit_: + - 3 tags: - Réseaux - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R64.md b/_adrela/PA-022_R64.md similarity index 55% rename from _adrela/ANSSI-PA-022_R64.md rename to _adrela/PA-022_R64.md index 297f671..bbe4002 100644 --- a/_adrela/ANSSI-PA-022_R64.md +++ b/_adrela/PA-022_R64.md @@ -1,17 +1,24 @@ --- -description: | - Des comptes d’accès dédiés (pour l’accès VPN notamment), ainsi que des comptes d’administration dédiés (pour l’accès aux ressources administrées) doivent être créés pour les administrateurs tiers. L’utilisation de comptes individuels est à privilégier par rapport à l’utilisation de comptes génériques. Ces comptes doivent être intégrés à la procédure de gestion du cycle de vie des comptes. L’utilisation par les administrateurs tiers de comptes par défaut ou de comptes d’autres utilisateurs est à proscrire. - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Dédier des comptes d'accès et des comptes d'administration aux administrateurs tiers - +Recommandation: | + Des comptes d’accès dédiés (pour l’accès VPN notamment), ainsi que des comptes d’administration dédiés (pour l’accès aux ressources administrées) doivent être créés pour les administrateurs tiers. L’utilisation de comptes individuels est à privilégier par rapport à l’utilisation de comptes génériques. Ces comptes doivent être intégrés à la procédure de gestion du cycle de vie des comptes. L’utilisation par les administrateurs tiers de comptes par défaut ou de comptes d’autres utilisateurs est à proscrire. +Titre_Vuln: | + Absence de comptes dédiés pour les administrateurs tiers +Vulnerabilit_: | + L’absence de comptes dédiés pour les administrateurs tiers augmente les risques d’usurpation d’identité, d’accès non autorisé et de compromission du SI, notamment en raison de l’utilisation de comptes partagés ou génériques difficilement traçables. +Impact: + - 4 +Probabilit_: + - 3 tags: - Authentification - Politiques - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf ---- \ No newline at end of file + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R66.md b/_adrela/PA-022_R66.md new file mode 100644 index 0000000..46264e0 --- /dev/null +++ b/_adrela/PA-022_R66.md @@ -0,0 +1,23 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Activer à la demande les comptes des administrateurs tiers +Recommandation: | + Les comptes des administrateurs tiers doivent être désactivés par défaut et activés à la demande, en priorité les comptes d’accès VPN. Si un compte est actif au-delà d’un délai maximal cohérent avec les interventions (p. ex. 24 h), une procédure automatique de désactivation doit être déclenchée ou une alerte doit être levée. +Titre_Vuln: | + Absence de gestion à la demande des comptes des administrateurs tiers +Vulnerabilit_: | + L’absence de gestion à la demande des comptes des administrateurs tiers augmente le risque de compromission ou d’utilisation abusive, en laissant des comptes actifs sans supervision ni contrôle en dehors des périodes nécessaires. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Surveillance +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R67.md b/_adrela/PA-022_R67.md new file mode 100644 index 0000000..57b9639 --- /dev/null +++ b/_adrela/PA-022_R67.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Renforcer l'authentification des administrateurs tiers +Recommandation: | + Pour renforcer l’authentification des administrateurs tiers, l’utilisation d’un second facteur d’authentification, éventuellement conservé par l’entité, est recommandée.
+ En alternative, il est recommandé de générer un mot de passe non trivial et temporaire par session: les mots de passe des comptes des administrateurs tiers sont renouvelés avant chaque nouvelle connexion et expirent au terme d’une durée inférieure à la journée. +Titre_Vuln: | + Absence de mécanismes renforcés d'authentification pour les administrateurs tiers +Vulnerabilit_: | + L’absence de mécanismes renforcés d’authentification pour les administrateurs tiers expose le SI à des risques d’usurpation d’identité et de compromission par le biais d’attaques par force brute, phishing ou interception de mots de passe. +Impact: + - 4 +Probabilit_: + - 4 +tags: + - Authentification +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/ANSSI-PA-022_R68.md b/_adrela/PA-022_R68.md similarity index 53% rename from _adrela/ANSSI-PA-022_R68.md rename to _adrela/PA-022_R68.md index 21e713d..d8ace70 100644 --- a/_adrela/ANSSI-PA-022_R68.md +++ b/_adrela/PA-022_R68.md @@ -1,18 +1,25 @@ --- -description: | - Il est recommandé de mettre en œuvre un rebond (poste ou serveur) durci en coupure de la terminaison VPN et du SI administré. Il est recommandé que ce rebond soit éphémère, par exemple sous forme de machine virtuelle générée uniquement pour la durée de l’intervention, et hébergée sur un hyperviseur dédié. Ce rebond peut être une instanciation d’un poste d’administration de l’entité. De plus, il est recommandé que ce rebond soit dédié par prestataire et minimaliste du point de vue logiciel - -recommandation: | +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | Mettre en œuvre un rebond éphémère en coupure de la terminaison VPN et du SI administré - +Recommandation: | + Il est recommandé de mettre en œuvre un rebond (poste ou serveur) durci en coupure de la terminaison VPN et du SI administré. Il est recommandé que ce rebond soit éphémère, par exemple sous forme de machine virtuelle générée uniquement pour la durée de l’intervention, et hébergée sur un hyperviseur dédié. Ce rebond peut être une instanciation d’un poste d’administration de l’entité. De plus, il est recommandé que ce rebond soit dédié par prestataire et minimaliste du point de vue logiciel. +Titre_Vuln: | + Absence de rebond éphémère entre la terminaison VPN et le SI administré +Vulnerabilit_: | + L’absence de rebond éphémère et durci entre la terminaison VPN et le SI administré expose le système à des risques accrus, notamment l’utilisation non autorisée des terminaux connectés et la propagation de logiciels malveillants directement dans le SI administré. +Impact: + - 4 +Probabilit_: + - 3 tags: - Réseaux - Physique - Politiques - livrables: - ANSSI-PA-022 - sources: - - https://cyber.gouv.fr/sites/default/files/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si --- \ No newline at end of file diff --git a/_adrela/PA-022_R69.md b/_adrela/PA-022_R69.md new file mode 100644 index 0000000..e24b36c --- /dev/null +++ b/_adrela/PA-022_R69.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Mettre en œuvre un contrôle d'accès strict et une traçabilité pour les administrateurs tiers +Recommandation: | + Les accès des administrateurs tiers doivent être restreints au strict besoin opérationnel à l’aide d’un contrôle d’accès. Ces accès et les actions accomplies par les administrateurs tiers doivent être tracés. +Titre_Vuln: | + Absence de contrôle d'accès strict et de traçabilité pour les administrateurs tiers +Vulnerabilit_: | + L’absence de contrôle d’accès strict et de traçabilité pour les administrateurs tiers expose le système à des risques importants, tels que des accès non autorisés, une compromission des données sensibles et une impossibilité de détecter ou de remonter des incidents de sécurité. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Réseaux +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R7.md b/_adrela/PA-022_R7.md new file mode 100644 index 0000000..5cc0cba --- /dev/null +++ b/_adrela/PA-022_R7.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Dédier des socles physiques en cas de virtualisation des infrastructures d'administration +Recommandation: | + En cas de virtualisation d’infrastructures d’administration, les instances virtuelles correspondantes doivent être déployées sur des socles physiques dédiés, non mutualisés avec d’autres infrastructures virtualisées. +Titre_Vuln: | + Présence de mutualisation des socles physiques dans un contexte de virtualisation +Vulnerabilit_: | + La mutualisation des socles physiques pour les infrastructures d’administration expose le SI à des risques de compromission inter-tenant. Une faille dans une instance virtualisée pourrait être exploitée pour compromettre d'autres instances ou les systèmes hébergés sur le même socle physique, compromettant ainsi l'intégrité et la confidentialité du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Physique + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R70.md b/_adrela/PA-022_R70.md new file mode 100644 index 0000000..7d25461 --- /dev/null +++ b/_adrela/PA-022_R70.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser un boîtier matériel d'acquisition vidéo pour l'assistance à distance +Recommandation: | + Pour les besoins d’assistance à distance, il est recommandé d’utiliser, le temps de l’intervention, un boîtier matériel dédié d’acquisition vidéo unidirectionnelle pour permettre un export d’affichage depuis un poste d’administration vers un poste bureautique. +Titre_Vuln: | + Absence de dispositif d'acquisition vidéo unidirectionnelle pour l'assistance à distance +Vulnerabilit_: | + L’absence de boîtier matériel dédié d’acquisition vidéo unidirectionnelle peut entraîner des risques de fuite d’information, une perte de contrôle sur l’accès visuel au SI d’administration et des vulnérabilités en termes de confidentialité des données sensibles affichées. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Réseaux + - Surveillance + - Physique +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R8.md b/_adrela/PA-022_R8.md new file mode 100644 index 0000000..a96159a --- /dev/null +++ b/_adrela/PA-022_R8.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Gérer et configurer le poste d'administration +Recommandation: | + Le poste d’administration doit être géré par l’entité - ou à défaut un prestataire mandaté. **En aucun cas** l’utilisation d’un équipement personnel ne doit être tolérée pour l’administration d’un SI. +Titre_Vuln: | + Présence d'équipements non maîtrisés pour l'administration +Vulnerabilit_: | + L'utilisation d'équipements personnels ou non maîtrisés pour l'administration d'un SI expose le système à des risques accrus de compromission. Ces équipements peuvent ne pas respecter les politiques de sécurité requises, être infectés par des logiciels malveillants, ou ne pas bénéficier des mises à jour nécessaires, augmentant ainsi les vulnérabilités exploitables. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Systèmes + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-022_R9-.md b/_adrela/PA-022_R9-.md new file mode 100644 index 0000000..b585da8 --- /dev/null +++ b/_adrela/PA-022_R9-.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser un poste d'administration multi-niveaux +Recommandation: | + À défaut d’un poste d’administration physiquement dédié, l’emploi de technologies de virtualisation ou de conteneurisation pour obtenir un système multi-niveaux peut être envisagé, dans la mesure où le cloisonnement des environnements est réalisé par des mécanismes évalués comme étant de confiance au niveau système. +Titre_Vuln: | + Absence de mécanismes fiables pour cloisonner les environnements virtuels +Vulnerabilit_: | + L'absence de mécanismes de cloisonnement fiables dans un poste d'administration multi-niveaux expose les systèmes à des escalades de privilèges ou des brèches entre environnements. Une vulnérabilité dans un environnement bureautique pourrait compromettre l'environnement d'administration, mettant en danger la sécurité globale du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Politiques +livrables: + - ANSSI-PA-022 +sources: + - https://cyber.gouv.fr/publications/recommandations-relatives-ladministration-securisee-des-si +--- diff --git a/_adrela/PA-085_R1.md b/_adrela/PA-085_R1.md new file mode 100644 index 0000000..c28ecaa --- /dev/null +++ b/_adrela/PA-085_R1.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Modifier les éléments de configuration par défaut +Recommandation: | + Lors de l’installation ou de la réinstallation des services et équipements du SIE, il est fortement recommandé que l’opérateur modifie les éléments de configuration fixés par défaut dès lors qu’ils sont exploitables par un attaquant.
En particulier, l’opérateur doit modifier les éléments secrets d’authentification pour les comptes techniques ou les comptes d’administration (section 5.2.1). +Titre_Vuln: | + Présence de configurations par défaut exploitables par un attaquant +Vulnerabilit_: | + La persistance de configurations par défaut sur les équipements ou services du SIE augmente les risques de compromission. Un attaquant peut facilement exploiter ces paramètres standards, tels que des mots de passe par défaut ou des ports ouverts, pour accéder au système et compromettre sa sécurité. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Systèmes +livrables: + - ANSSI-PA-085 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-la-protection-des-systemes-dinformation-essentiels +--- diff --git a/_adrela/PA-085_R2-.md b/_adrela/PA-085_R2-.md new file mode 100644 index 0000000..a7a1670 --- /dev/null +++ b/_adrela/PA-085_R2-.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Pallier l’impossibilité de désinstaller un service non indispensable +Recommandation: | + Lorsqu’il n’est pas possible de désinstaller les services et fonctionnalités qui ne sont pas utilisés sur le SIE, l’opérateur doit désactiver ces services et fonctionnalités ou empêcher leur accès.
L’opérateur doit verser au dossier d’homologation la liste des services et fonctionnalités inutiles qu’il n’a pas été possible de désinstaller. Les raisons et les mesures de réduction de risque sont également précisées dans le dossier d’homologation. +Titre_Vuln: | + Présence de services ou fonctionnalités non indispensables sur le SIE +Vulnerabilit_: | + La présence de services ou fonctionnalités inutilisés et non désinstallables augmente la surface d’attaque du SIE. Ces services peuvent être exploités par des attaquants pour contourner les mécanismes de sécurité ou compromettre l’intégrité du système, mettant en péril la sécurité globale du SI. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Systèmes + - Gestion des Menaces +livrables: + - ANSSI-PA-085 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-la-protection-des-systemes-dinformation-essentiels +--- diff --git a/_adrela/PA-085_R2.md b/_adrela/PA-085_R2.md new file mode 100644 index 0000000..67bed3d --- /dev/null +++ b/_adrela/PA-085_R2.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Installer uniquement les services ou fonctionnalités indispensables +Recommandation: | + L’opérateur doit installer les seuls services et fonctionnalités indispensables au fonctionnement ou à la sécurité du SIE, afin de limiter la surface d’attaque exploitable par un attaquant.
Si des services ou fonctionnalités non indispensables sont installés par défaut, l’opérateur les désinstalle. +Titre_Vuln: | + Présence de services ou fonctionnalités non nécessaires sur le SIE +Vulnerabilit_: | + L’installation de services ou fonctionnalités non indispensables expose le SIE à des vulnérabilités supplémentaires, augmentant ainsi la surface d’attaque exploitable. Ces services inutiles peuvent contenir des failles de sécurité ou être utilisés comme points d’entrée par des attaquants, compromettant l’intégrité et la disponibilité du système. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - Gestion des Menaces +livrables: + - ANSSI-PA-085 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-la-protection-des-systemes-dinformation-essentiels +--- diff --git a/_adrela/PA-085_R3.md b/_adrela/PA-085_R3.md new file mode 100644 index 0000000..b0840ea --- /dev/null +++ b/_adrela/PA-085_R3.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Définir et utiliser des configurations de référence +Recommandation: | + Il est recommandé que l’opérateur définisse une ou plusieurs configurations de référence sécurisées, expurgées de tous les éléments inutiles et qu’il les utilise lorsqu’il installe un nouvel élément du SIE.
Il est recommandé que l’opérateur maintienne ces configurations de référence à jour dans la durée.
Il est recommandé que les écarts entre les configurations en production et les configurations de référence fassent l’objet d’un suivi régulier, afin de les identifier au plus tôt. +Titre_Vuln: | + Absence de configurations de référence sécurisées pour le SIE +Vulnerabilit_: | + L’absence de configurations de référence sécurisées expose le SIE à des incohérences et des failles de sécurité potentielles. Sans configurations standardisées, les équipements ou services nouvellement installés pourraient inclure des éléments inutiles ou vulnérables, augmentant la surface d’attaque et compromettant la sécurité du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - Politiques +livrables: + - ANSSI-PA-085 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-la-protection-des-systemes-dinformation-essentiels +--- diff --git a/_adrela/PA-085_R4.md b/_adrela/PA-085_R4.md new file mode 100644 index 0000000..b032c23 --- /dev/null +++ b/_adrela/PA-085_R4.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Établir un inventaire technique des éléments et des accès au SIE +Recommandation: | + Il est fortement recommandé que l’opérateur établisse un inventaire technique des éléments composant le SIE et des éléments qui peuvent y être connectés (postes de travail, équipements, matériels périphériques, supports amovibles, etc.), physiquement ou à distance.
Dans le cas où une tierce partie se connecte au SIE, il est recommandé que l’opérateur le note dans sa cartographie et en tienne compte dans l’analyse de risque. +Titre_Vuln: | + Absence d'inventaire technique des éléments et des accès au SIE +Vulnerabilit_: | + L’absence d’un inventaire technique détaillé expose le SIE à des risques de méconnaissance des équipements connectés, rendant difficile la détection d’intrusions ou d’équipements non autorisés. Cela peut également compliquer la gestion des vulnérabilités, augmentant les risques de compromission. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - Gestion des Menaces +livrables: + - ANSSI-PA-085 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-la-protection-des-systemes-dinformation-essentiels +--- diff --git a/_adrela/PA-085_R5.md b/_adrela/PA-085_R5.md new file mode 100644 index 0000000..152b58f --- /dev/null +++ b/_adrela/PA-085_R5.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser uniquement des équipements maîtrisés +Recommandation: | + L’opérateur doit s’assurer que seuls des équipements maîtrisés et indispensables au fonctionnement ou à la sécurité du SIE sont utilisés sur le SIE. Cela inclut les postes de travail, serveurs, équipements réseau, périphériques amovibles, etc. L’opérateur doit interdire l’utilisation de tout autre équipement.
Cette politique doit couvrir les activités des salariés internes comme celles des prestataires, que les connexions au SIE soient locales ou distantes. +Titre_Vuln: | + Présence d'équipements non maîtrisés sur le SIE +Vulnerabilit_: | + L’utilisation d’équipements non maîtrisés sur le SIE accroît les risques de compromission en introduisant des éléments potentiellement vulnérables ou mal sécurisés. Ces équipements peuvent servir de vecteurs d’attaques, faciliter des fuites de données ou compromettre l’intégrité des systèmes. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - Réseaux +livrables: + - ANSSI-PA-085 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-la-protection-des-systemes-dinformation-essentiels +--- diff --git a/_adrela/PG-075_R1.md b/_adrela/PG-075_R1.md new file mode 100755 index 0000000..1516573 --- /dev/null +++ b/_adrela/PG-075_R1.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Trier le patrimoine informationnel par niveau de sensibilité +Recommandation: | + Une entité publique ou privée doit trier son patrimoine informationnel. Pour ce faire, elle conduit une analyse des risques visant à exprimer les besoins de protection en confidentialité des informations 3. Ces besoins peuvent être positionnés sur une échelle croissante de protection en confidentialité allant d’un besoin faible pour des informations publiques à un besoin fort pour des informations sensibles ou DR. +Titre_Vuln: | + Absence de classification du patrimoine informationnel +Vulnerabilit_: | + L'absence de tri du patrimoine informationnel en fonction de la sensibilité des données expose l'entité à des risques importants de fuite d'informations. Lorsque les informations sensibles ou critiques ne sont pas correctement identifiées et protégées, elles peuvent être accidentellement divulguées, accédées par des personnes non autorisées, ou compromises par des cyberattaques. Sans une classification adéquate, il devient difficile de mettre en place des mesures de protection adaptées, augmentant ainsi la vulnérabilité de l'organisation. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R10.md b/_adrela/PG-075_R10.md new file mode 100755 index 0000000..33b55c0 --- /dev/null +++ b/_adrela/PG-075_R10.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Sécuriser les interconnexions de SI sensibles. +Recommandation: | + Il est fortement recommandé que les interconnexions de SI sensibles soient sécurisées au moyen de tunnels VPN garantissant la protection de tous les flux échangés (confidentialité, intégrité, anti-rejeu, authentification mutuelle des extrémités). Il est également recommandé que les équipements permettant d’établir ces tunnels VPN disposent d’un visa de sécurité ANSSI. +Titre_Vuln: | + Absence de sécurisation des interconnexions de SI sensibles +Vulnerabilit_: | + L'absence de sécurisation des interconnexions de SI sensibles via des tunnels VPN approuvés expose les systèmes à de nombreux risques de compromission. En l'absence de protection adéquate, les données échangées peuvent être interceptées, modifiées ou exploitées par des acteurs malveillants. Cela compromet la confidentialité, l'intégrité et l'authenticité des informations circulant entre ces systèmes sensibles. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- \ No newline at end of file diff --git a/_adrela/PG-075_R11.md b/_adrela/PG-075_R11.md new file mode 100755 index 0000000..94ff7f5 --- /dev/null +++ b/_adrela/PG-075_R11.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Filtrer les flux des interconnexions de SI sensibles. +Recommandation: | + Il est recommandé que deux entités juridiques souhaitant interconnecter leurs SI sensibles mettent chacune en œuvre, sous leur contrôle respectif, des dispositifs de filtrage, en amont et en aval des chiffreurs. Il est recommandé que ces dispositifs soient qualifiés. +Titre_Vuln: | + Absence de filtrage des flux dans les interconnexions de SI sensibles +Vulnerabilit_: | + L'absence de dispositifs de filtrage qualifiés avant et après les chiffreurs dans les interconnexions de SI sensibles expose les systèmes à des risques d'attaques. Sans ce contrôle, des flux malveillants ou non autorisés peuvent pénétrer ou sortir des réseaux sensibles, compromettant ainsi la sécurité, l'intégrité et la confidentialité des systèmes et des données échangées entre les entités. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R12.md b/_adrela/PG-075_R12.md new file mode 100755 index 0000000..d6950ba --- /dev/null +++ b/_adrela/PG-075_R12.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer les recommandations de l'ANSSI relatives à l'interconnexion d'un SI à Internet. +Recommandation: | + Il est fortement recommandé que l’interconnexion d’un SI sensible de classe 1 avec Internet respecte au minimum les bonnes pratiques de l’ANSSI, en particulier celles listées dans le guide relatif aux architectures d’interconnexion à Internet. +Titre_Vuln: | + Absence de respect des bonnes pratiques de l'ANSSI pour l'interconnexion d'un SI sensible à Internet +Vulnerabilit_: | + Le non-respect des bonnes pratiques de l'ANSSI pour l'interconnexion d'un SI sensible de classe 1 à Internet expose le système à des risques importants. Sans l'application de ces mesures, le SI sensible peut être vulnérable à des attaques extérieures, compromettant la confidentialité, l'intégrité, et la disponibilité des données et services critiques. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + + - https://www.ssi.gouv.fr/guide/definition-dune-architecture-de-passerelle-dinterconnexion-securisee/ +--- \ No newline at end of file diff --git a/_adrela/PG-075_R13.md b/_adrela/PG-075_R13.md new file mode 100755 index 0000000..4a305a9 --- /dev/null +++ b/_adrela/PG-075_R13.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Passerelle de classe 1: mettre en œuvre au moins un pare-feu qualifié. +Recommandation: | + L’entité responsable d’un SI DR doit mettre en œuvre un dispositif de filtrage qualifié au niveau standard en coupure de tous les flux depuis et vers le SI de classe 0. Il est fortement conseillé d’appliquer cette recommandation aux SI sensibles. +Titre_Vuln: | + Absence de dispositif de filtrage qualifié entre un SI DR et un SI de classe 0 +Vulnerabilit_: | + L'absence de pare-feu ou de dispositif de filtrage qualifié pour contrôler les flux entre un SI DR et un SI de classe 0 expose l'infrastructure à des risques importants de compromission. Sans ce filtrage, des attaques ou des accès non autorisés peuvent cibler les systèmes critiques, compromettant la sécurité des données et des services essentiels. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R14.md b/_adrela/PG-075_R14.md new file mode 100755 index 0000000..7cc20d8 --- /dev/null +++ b/_adrela/PG-075_R14.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Passerelle de classe 1: mettre en œuvre au moins un dispositif de rupture de flux. +Recommandation: | + L’entité responsable d’un SI DR doit mettre en œuvre un ou plusieurs dispositifs de rupture des flux depuis et vers le SI de classe 0, si possible qualifiés. Ces dispositifs doivent être positionnés entre deux dispositifs de filtrage. Il est conseillé d’appliquer cette recommandation aux SI sensibles. +Titre_Vuln: | + Absence de dispositifs de rupture de flux dans les interconnexions avec un SI de classe 0 +Vulnerabilit_: | + L'absence de dispositifs de rupture de flux dans les interconnexions avec un SI de classe 0 expose les systèmes à des attaques directes ou des infiltrations via des canaux non sécurisés. Ces vulnérabilités peuvent permettre à des flux malveillants ou non contrôlés de traverser les couches de protection, compromettant ainsi la sécurité des données et des services critiques. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R15.md b/_adrela/PG-075_R15.md new file mode 100755 index 0000000..30b9ca2 --- /dev/null +++ b/_adrela/PG-075_R15.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Passerelle de classe 1: mettre en œuvre un système de détection. +Recommandation: | + L’entité responsable d’un SI DR doit mettre en œuvre un système de détection, incluant une sonde qualifiée, au sein de chacune des passerelles de classe 1 de manière à contrôler l’ensemble des flux entrants et sortants du SI DR. Il est conseillé d’appliquer cette recommandation aux SI sensibles. Au minimum, un système de détection doit être mis en place sur les SI sensibles, même s’il n’est pas qualifié. +Titre_Vuln: | + Absence de système de détection sur les flux des passerelles de classe 1 +Vulnerabilit_: | + L'absence d'un système de détection, tel qu'une sonde qualifiée, dans les passerelles de classe 1 expose le SI DR à des risques d'intrusion et d'attaques non détectées. Sans cette mesure, les activités malveillantes ou anormales peuvent passer inaperçues, compromettant la sécurité des données et des services critiques du SI. Les SI sensibles sans un tel dispositif sont également vulnérables à des cyberattaques sophistiquées. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Surveillance + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R16.md b/_adrela/PG-075_R16.md new file mode 100755 index 0000000..be1a98e --- /dev/null +++ b/_adrela/PG-075_R16.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Passerelle de classe 1: mettre en œuvre des taps qualifiés passifs. +Recommandation: | + Il est recommandé que l’entité responsable d’un SI DR mette en œuvre des taps passifs pour alimenter en flux réseau la ou les sondes de détection. Il est recommandé que ces équipements soient qualifiés par l’ANSSI. +Titre_Vuln: | + Absence de taps passifs pour alimenter les sondes de détection +Vulnerabilit_: | + L'absence de taps passifs qualifiés pour alimenter en flux réseau les sondes de détection dans un SI DR expose les systèmes à des risques de surveillance insuffisante. Sans ces dispositifs, les sondes de détection ne peuvent pas analyser efficacement le trafic réseau en temps réel, laissant passer des attaques ou des anomalies non détectées, ce qui compromet la sécurité des SI sensibles. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Réseaux + - Surveillance + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R17.md b/_adrela/PG-075_R17.md new file mode 100755 index 0000000..e38c4a5 --- /dev/null +++ b/_adrela/PG-075_R17.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Passerelle de classe 1: faire porter les fonctions de sécurité par des dispositifs distincts. +Recommandation: | + Il est recommandé que les fonctions de sécurité des pare-feux, des dispositifs de rupture de flux et des sondes de la passerelle de classe 1 soient portées par des matériels physiquement distincts. +Titre_Vuln: | + Consolidation des fonctions de sécurité sur un seul dispositif au lieu de matériels distincts +Vulnerabilit_: | + La consolidation des fonctions de sécurité (pare-feu, rupture de flux, sondes) sur un seul dispositif dans une passerelle de classe 1 réduit la résilience et augmente le risque de compromission en cas d'attaque ou de dysfonctionnement. Si un seul dispositif est compromis ou défaillant, toutes les fonctions de sécurité peuvent être neutralisées, exposant le SI DR ou les SI sensibles à des cyberattaques ou des anomalies non détectées. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R18--.md b/_adrela/PG-075_R18--.md new file mode 100755 index 0000000..025ffe7 --- /dev/null +++ b/_adrela/PG-075_R18--.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Permettre la navigation Web sans postes de rebond. +Recommandation: | + Pour les SI sensibles de classe 1, si le déploiement d’une infrastructure de postes de rebond dédiés à la navigation Web n’est pas possible, l’accès à Internet peut être autorisé depuis les postes de travail sensibles au moyen de serveurs mandataires cloisonnés du SI sensible. Cette solution n’est pas optimale d’un point de vue sécurité et il est fortement recommandé de la mettre en œuvre avec des serveurs mandataires qualifiés (se reporter à la recommandation R14). Les autorisations d’accès au service de navigation sont limitées au strict besoin opérationnel. +Titre_Vuln: | + Utilisation de serveurs mandataires non cloisonnés pour la navigation Web dans un SI sensible +Vulnerabilit_: | + L'absence de postes de rebond dédiés et l'utilisation de serveurs mandataires non cloisonnés pour la navigation Web dans un SI sensible de classe 1 présentent un risque accru pour la sécurité. Cette configuration peut permettre à des flux malveillants ou des vulnérabilités d'affecter directement les postes de travail sensibles, compromettant ainsi la sécurité et l'intégrité du SI sensible. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R18-.md b/_adrela/PG-075_R18-.md new file mode 100755 index 0000000..0c07e65 --- /dev/null +++ b/_adrela/PG-075_R18-.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Permettre la navigation Web depuis des postes de rebond. +Recommandation: | + Pour les SI sensibles de classe 1, il est fortement recommandé de déployer une infrastructure de postes de rebond dédiés à la navigation Web. Cette infrastructure est cloisonnée du SI sensible. Les utilisateurs se connectent par accès à distance depuis leurs postes de travail sensibles à cette infrastructure. Seuls ces postes de rebond permettent la navigation Web depuis le SI sensible et les autorisations d’accès au service sont limitées au strict besoin opérationnel. +Titre_Vuln: | + Absence d'infrastructure de postes de rebond pour la navigation Web +Vulnerabilit_: | + L'absence d'infrastructure de postes de rebond dédiés pour la navigation Web dans un SI sensible de classe 1 expose le système à des risques accrus. Les utilisateurs qui accèdent directement au Web depuis leurs postes sensibles peuvent être vulnérables à des attaques, compromettant ainsi la sécurité du SI. Le manque de cloisonnement entre les activités de navigation et le SI sensible augmente les risques d'intrusion et d'exploitation des failles. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R18.md b/_adrela/PG-075_R18.md new file mode 100755 index 0000000..134c5c2 --- /dev/null +++ b/_adrela/PG-075_R18.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Interdire la navigation Web depuis les SI sensibles. +Recommandation: | + La navigation Web est impossible depuis les SI sensibles de classe 2. Pour les SI sensibles de classe 1, il est recommandé d’interdire l’accès au service de navigation Web. Si le service de navigation est nécessaire, il doit être mis à disposition des utilisateurs depuis un SI dédié à cet usage. +Titre_Vuln: | + Accès à la navigation Web depuis un SI sensible +Vulnerabilit_: | + Autoriser la navigation Web depuis un SI sensible de classe 1 ou 2 expose le système à des risques élevés d'infection par des malwares, de phishing ou d'autres cyberattaques via des sites malveillants. Sans une séparation stricte ou une interdiction, des vulnérabilités peuvent être exploitées pour compromettre la sécurité, l'intégrité et la confidentialité des données sensibles. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R19.md b/_adrela/PG-075_R19.md new file mode 100755 index 0000000..cd0d43a --- /dev/null +++ b/_adrela/PG-075_R19.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Chiffrer les informations DR transférées via des SI de classe 0. +Recommandation: | + Les informations DR échangées entre deux SI DR au travers d’un SI de classe 0 doivent être chiffrées au moyen de produits de sécurité agréés DR. +Titre_Vuln: | + Absence de chiffrement des informations DR échangées via un SI de classe 0 +Vulnerabilit_: | + L'absence de chiffrement des informations DR échangées entre deux SI DR via un SI de classe 0 expose les données sensibles à des interceptions, compromettant leur confidentialité et leur intégrité. Sans l'utilisation de produits de sécurité agréés DR, ces échanges peuvent être vulnérables aux cyberattaques, mettant en danger la sécurité des informations critiques. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R20.md b/_adrela/PG-075_R20.md new file mode 100755 index 0000000..c3931ae --- /dev/null +++ b/_adrela/PG-075_R20.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Chiffrer les informations sensibles transférées via des SI de classe 0. +Recommandation: | + Les informations sensibles échangées entre deux SI sensibles au travers d’un SI de classe 0 doivent être chiffrées. Il est recommandé pour ce faire d’utiliser un produit disposant d’un visa de sécurité. +Titre_Vuln: | + Absence de chiffrement des informations sensibles échangées via un SI de classe 0 +Vulnerabilit_: | + L'absence de chiffrement des informations sensibles échangées entre deux SI sensibles via un SI de classe 0 expose ces données à des interceptions non autorisées, compromettant leur confidentialité et leur intégrité. Sans l'utilisation de produits disposant d'un visa de sécurité, les échanges peuvent être vulnérables à des cyberattaques, mettant en péril les informations critiques. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R21.md b/_adrela/PG-075_R21.md new file mode 100755 index 0000000..bf94783 --- /dev/null +++ b/_adrela/PG-075_R21.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Interdire l'accès aux applications sensibles depuis les SI non homologués. +Recommandation: | + L’accès à toute application sensible (ou DR) depuis un SI non homologué au niveau sensible (respectivement depuis un SI non homologué au niveau DR) est interdit. +Titre_Vuln: | + Accès aux applications sensibles depuis des SI non homologués +Vulnerabilit_: | + Permettre l'accès aux applications sensibles ou DR depuis des SI non homologués expose le système à de graves vulnérabilités. Les SI non homologués peuvent ne pas respecter les standards de sécurité requis, facilitant ainsi les attaques et compromissions, ce qui pourrait affecter la confidentialité, l'intégrité et la disponibilité des données critiques. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R22.md b/_adrela/PG-075_R22.md new file mode 100755 index 0000000..5248465 --- /dev/null +++ b/_adrela/PG-075_R22.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Cloisonner l'infrastructure de mise à disposition sur Internet d'informations sensibles. +Recommandation: | + L’infrastructure de mise à disposition d’informations sensibles, accessibles depuis Internet, doit être cloisonnée dans une DMZ, au sein d’une passerelle de classe 1. Elle est accessible soit depuis un autre SI sensible via une interconnexion « point à point » telle que décrite à la section 4.2, soit depuis un équipement d’accès nomade attaché au SI sensible. +Titre_Vuln: | + Absence de cloisonnement de l'infrastructure de mise à disposition d'informations sensibles +Vulnerabilit_: | + L'absence de cloisonnement dans une DMZ pour l'infrastructure de mise à disposition d'informations sensibles accessibles depuis Internet expose ces données à des cyberattaques directes. Sans cette séparation, les informations sensibles peuvent être vulnérables à des accès non autorisés, compromettant la confidentialité et l'intégrité des données, ainsi que la sécurité du SI sensible. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R23.md b/_adrela/PG-075_R23.md new file mode 100755 index 0000000..e7b0ad6 --- /dev/null +++ b/_adrela/PG-075_R23.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Maîtriser les interconnexions descendantes des SI de classe 2. +Recommandation: | + Dans un SI de classe 2, il est recommandé de préférer une interconnexion « descendante » mettant en œuvre des supports amovibles plutôt qu’une interconnexion via le réseau. Les conditions d’emploi de ces supports amovibles doivent être strictement définies. +Titre_Vuln: | + Utilisation non maîtrisée des supports amovibles pour les interconnexions descendantes dans un SI de classe 2 +Vulnerabilit_: | + L'utilisation non maîtrisée de supports amovibles pour les interconnexions descendantes dans un SI de classe 2 expose le système à des risques d'introduction de malwares ou de pertes de données sensibles. Sans des conditions d'emploi strictes, ces supports peuvent être compromis, mettant en danger l'intégrité et la confidentialité des données du SI sensible. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R24.md b/_adrela/PG-075_R24.md new file mode 100755 index 0000000..105d5d1 --- /dev/null +++ b/_adrela/PG-075_R24.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + N'autoriser que des protocoles de transfert vers le système d'échanges sécurisés. +Recommandation: | + Seuls les services et les protocoles permettant le transfert de données vers le système d’échanges sécurisés doivent être autorisés ; les flux doivent toujours être à l’initiative des clients situés en dehors du système d’échanges. +Titre_Vuln: | + Autorisation de protocoles non sécurisés ou non restreints vers le système d'échanges +Vulnerabilit_: | + L'autorisation de protocoles non sécurisés ou non restreints pour le transfert de données vers le système d'échanges sécurisés expose le système à des risques d'intrusions, d'attaques par des tiers non autorisés, ou de compromissions de données sensibles. Des flux initiés par des entités non contrôlées peuvent également perturber le système, compromettant la sécurité et l'intégrité des échanges. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R25.md b/_adrela/PG-075_R25.md new file mode 100755 index 0000000..df319a4 --- /dev/null +++ b/_adrela/PG-075_R25.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Système d'échanges sécurisés: restreindre les accès aux seuls utilisateurs autorisés. +Recommandation: | + Il est recommandé de restreindre l’accès au système d’échanges sécurisés uniquement aux postes et aux utilisateurs qui en ont le besoin. +Titre_Vuln: | + Accès non contrôlé ou non restreint au système d'échanges sécurisés +Vulnerabilit_: | + L'absence de restriction d'accès au système d'échanges sécurisés expose ce dernier à des accès non autorisés, augmentant les risques de compromission, de fuite d'informations sensibles, et d'actions malveillantes. Sans un contrôle strict des utilisateurs et des postes ayant accès, la sécurité et l'intégrité des échanges peuvent être gravement compromises. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Réseaux + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R26.md b/_adrela/PG-075_R26.md new file mode 100755 index 0000000..a2366d7 --- /dev/null +++ b/_adrela/PG-075_R26.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Système d'échanges sécurisés: authentifier les utilisateurs avec un compte non sensible. +Recommandation: | + Les utilisateurs ne doivent pas s’authentifier avec un compte du SI sensible sur le système d’échanges sécurisés, considéré comme de moindre confiance. Si l’authentification de l’utilisateur s’appuie sur un mot de passe, il doit être différent des autres mots de passe utilisés par l’utilisateur sur d’autres SI, y compris le SI sensible. De plus, le mot de passe ne doit pas pouvoir être déduit de la connaissance d’autres mots de passe de l’utilisateur. +Titre_Vuln: | + Utilisation d'un compte du SI sensible pour s'authentifier sur le système d'échanges sécurisés +Vulnerabilit_: | + L'utilisation de comptes du SI sensible pour l'authentification sur un système d'échanges sécurisés, considéré comme moins fiable, expose ces comptes à des risques de compromission. Cela peut entraîner des accès non autorisés au SI sensible. Si les mots de passe ne sont pas suffisamment distincts entre les systèmes, un attaquant pourrait facilement déduire ou exploiter ces informations, mettant en péril la sécurité globale. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R27.md b/_adrela/PG-075_R27.md new file mode 100755 index 0000000..9f86e3e --- /dev/null +++ b/_adrela/PG-075_R27.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Système d'échanges sécurisés: analyser le contenu des données échangées. +Recommandation: | + Toutes les données transitant par le système d’échanges sécurisés doivent être soumises systématiquement à une analyse de contenu pour la recherche de codes malveillants. +Titre_Vuln: | + Absence d'analyse de contenu des données transitant par le système d'échanges sécurisés +Vulnerabilit_: | + L'absence d'analyse systématique des données échangées via le système d'échanges sécurisés expose le SI à des risques d'introduction de malwares, rendant possible des attaques internes ou la propagation de logiciels malveillants. Sans un filtrage adéquat, la sécurité des systèmes et des données sensibles peut être compromise. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Surveillance + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R28.md b/_adrela/PG-075_R28.md new file mode 100755 index 0000000..aabc4a1 --- /dev/null +++ b/_adrela/PG-075_R28.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Système d'échanges sécurisés: journaliser et imputer les données échangées. +Recommandation: | + Toutes les données transitant par le système d’échanges sécurisés doivent être tracées et imputables à un utilisateur identifié. +Titre_Vuln: | + Absence de traçabilité des données transitant par le système d'échanges sécurisés +Vulnerabilit_: | + L'absence de journalisation et d'imputabilité des données échangées via le système d'échanges sécurisés empêche l'identification des actions malveillantes ou des incidents de sécurité. Sans une traçabilité adéquate, il devient difficile de remonter à l'origine d'une fuite de données ou d'une violation, compromettant ainsi la sécurité et la responsabilité des utilisateurs. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Surveillance + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R29.md b/_adrela/PG-075_R29.md new file mode 100755 index 0000000..fe0c5d6 --- /dev/null +++ b/_adrela/PG-075_R29.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Recourir à des prestataires de services SSI disposant d'un visa de sécurité ANSSI. +Recommandation: | + Il est fortement recommandé de recourir à des prestataires de sécurité disposant d’un visa de sécurité ANSSI. Dans le cas où les prestations externalisées concernent des SI DR, le contrat liant le commanditaire au prestataire de services doit garantir l’obligation pour le prestataire de respecter les mesures de sécurité de l’II 901. Il est fortement recommandé que la prestation s’effectue depuis le territoire national. +Titre_Vuln: | + Externalisation des services de sécurité à des prestataires non qualifiés +Vulnerabilit_: | + Recourir à des prestataires de services de sécurité sans visa ANSSI expose les SI DR à des risques accrus de compromission. Les prestataires non qualifiés peuvent ne pas respecter les mesures de sécurité adéquates, compromettant ainsi la protection des données sensibles. De plus, l'absence d'une localisation sur le territoire national peut augmenter les risques juridiques et opérationnels liés à la prestation. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Politique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R3.md b/_adrela/PG-075_R3.md new file mode 100755 index 0000000..49987c7 --- /dev/null +++ b/_adrela/PG-075_R3.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Déterminer le régime de protection des informations sensibles +Recommandation: | + Une entité qui met en œuvre un SI sensible doit déterminer le régime de protection à appliquer aux informations qu’elle va manipuler. En fonction des cas, ce régime de protection est soit imposé par la réglementation (ou par une entité tierce), soit laissé à la discrétion de l’entité. In fine, les informations sensibles sont hébergées sur des SI sensibles ou DR et les informations DR sont obligatoirement hébergées sur des SI DR. +Titre_Vuln: | + Absecnde de détermination du régime de protection des informations sensibles +Vulnerabilit_: | + L'absence de détermination adéquate du régime de protection pour les informations sensibles peut entraîner une exposition à des risques réglementaires et de sécurité. Sans un cadre de protection clair, il est possible que des informations critiques ne bénéficient pas des mesures de sécurité appropriées, ce qui peut conduire à des violations de données, des contraventions et des atteintes à la réputation de l'entité. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- \ No newline at end of file diff --git a/_adrela/PG-075_R30.md b/_adrela/PG-075_R30.md new file mode 100755 index 0000000..ae438b0 --- /dev/null +++ b/_adrela/PG-075_R30.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Acquérir des produits de sécurité disposant d'un visa de sécurité ANSSI. +Recommandation: | + Dès qu’ils existent, les produits de sécurité qualifiés doivent être utilisés. Un produit qualifié par l’ANSSI doit être préféré à un produit certifié. Cette mesure s’applique aussi bien aux produits de sécurisation d’un SI sensible qu’aux moyens mis en œuvre pour le contrôle d’accès physique aux éléments dont il est constitué. Les qualifications ayant toujours une durée de validité, il appartient au responsable d’un SI de veiller à ce que les qualifications des versions déployées des produits de sécurité soient toujours valides. Enfin, l’usage d’un produit qualifié doit être compatible avec le périmètre d’évaluation ayant conduit à délivrer la qualification. +Titre_Vuln: | + Utilisation de produits de sécurité non qualifiés ou expirés +Vulnerabilit_: | + L'usage de produits de sécurité non qualifiés ou dont la qualification a expiré expose les SI sensibles à des risques de compromission. Les produits non qualifiés peuvent ne pas offrir un niveau de sécurité suffisant pour répondre aux menaces actuelles. De plus, l'utilisation de produits dont la qualification a expiré peut entraîner des failles non corrigées, compromettant la sécurité globale du SI. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R31.md b/_adrela/PG-075_R31.md new file mode 100755 index 0000000..06505f9 --- /dev/null +++ b/_adrela/PG-075_R31.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Respecter les conditions d'emploi des équipements de sécurité agréés. +Recommandation: | + Lorsqu’un produit de sécurité agréé DR est mis en œuvre sur un SI DR, les conditions d’emploi accompagnant ce produit doivent être mises en œuvre par le responsable de ce SI. Les preuves de conformité doivent être versées au dossier d’homologation du SI ou de l’interconnexion. +Titre_Vuln: | + Non-respect des conditions d'emploi des équipements de sécurité agréés +Vulnerabilit_: | + Le non-respect des conditions d'emploi des équipements de sécurité agréés DR sur un SI DR expose le système à des risques de non-conformité et de vulnérabilités exploitables. Sans l'application rigoureuse des conditions d'utilisation, les équipements peuvent ne pas fonctionner de manière optimale, compromettant la sécurité des interconnexions et des données échangées. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Systèmes + - SI sensible + - SI DR +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R32.md b/_adrela/PG-075_R32.md new file mode 100755 index 0000000..88be4cc --- /dev/null +++ b/_adrela/PG-075_R32.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Cloisonner le SI sensible en zones ayant des niveaux de sécurité homogènes. +Recommandation: | + Un SI sensible doit être cloisonné en différentes zones de confiance, homogènes du point de vue de leurs besoins de sécurité et de leur exposition. Ce cloisonnement doit faire l’objet d’une segmentation réfléchie du réseau, complétée par un filtrage fin des flux au niveau des pare-feux. +Titre_Vuln: | + Absence de cloisonnement adéquat en zones de sécurité homogènes +Vulnerabilit_: | + L'absence de cloisonnement et de segmentation des réseaux au sein d'un SI sensible expose le système à des risques accrus d'intrusion et de propagation d'attaques. Sans une segmentation réfléchie et un filtrage fin des flux, les zones à exposition moindre peuvent être compromises et servir de point d'entrée pour des attaques ciblant l'ensemble du SI sensible. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R34.md b/_adrela/PG-075_R34.md new file mode 100755 index 0000000..5251d37 --- /dev/null +++ b/_adrela/PG-075_R34.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Bloquer les communications latérales. +Recommandation: | + Afin de limiter les risques de propagation latérale d’une attaque, le responsable d’un SI sensible doit définir et mettre en œuvre une stratégie de blocage des communications latérales. Cette stratégie concerne en premier lieu les moyens distribués mais aussi les serveurs. +Titre_Vuln: | + Absence de stratégie de blocage des communications latérales +Vulnerabilit_: | + L'absence de blocage des communications latérales dans un SI sensible expose le système à des risques accrus de propagation d'attaques entre différentes parties du réseau. Les attaquants peuvent exploiter ces communications pour se déplacer latéralement et compromettre d'autres éléments du SI, augmentant ainsi la portée et les dégâts causés par l'attaque. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R35.md b/_adrela/PG-075_R35.md new file mode 100755 index 0000000..5c076e7 --- /dev/null +++ b/_adrela/PG-075_R35.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Durcir la configuration des matériels et des logiciels utilisés sur les SI sensibles. +Recommandation: | + Avant leur mise en exploitation, l’intégrité des matériels et des logiciels d’un SI sensible doit être vérifiée et leur configuration doit être durcie. Cette recommandation s’applique à chacun des composants du SI sensible: serveurs, postes de travail, équipements réseau (commutateurs, routeurs...) et matériels. Une attention particulière doit être apportée aux postes de travail qui constituent souvent le point d’entrée privilégié pour compromettre un SI. +Titre_Vuln: | + Absence de durcissement des matériels et logiciels +Vulnerabilit_: | + L'absence de durcissement des matériels et logiciels utilisés dans un SI sensible expose le système à des vulnérabilités exploitables. Sans vérification de l'intégrité et renforcement des configurations, les équipements et les logiciels peuvent être compromis, permettant à des attaquants de s'introduire dans le système, notamment par les postes de travail, souvent ciblés en premier. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R36.md b/_adrela/PG-075_R36.md new file mode 100755 index 0000000..bd02dc4 --- /dev/null +++ b/_adrela/PG-075_R36.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Marquer les informations sensibles. +Recommandation: | + Il est fortement recommandé que l’entité mettant en œuvre un SI sensible se dote des moyens permettant le marquage des fichiers sensibles (tampons, conventions de nommage...) et des applications sensibles (bannières, adaptation de l’interface homme-machine...). Elle doit en outre sensibiliser les utilisateurs du SI sensible à l’importance de marquer les informations dès leur création. Les informations DR doivent être marquées avec la mention DIFFUSION RESTREINTE. +Titre_Vuln: | + Absence de marquage des informations sensibles +Vulnerabilit_: | + L'absence de marquage des informations sensibles expose le SI à un risque de mauvaise gestion des données, pouvant entraîner des fuites ou un partage non autorisé. Sans marquage clair, les utilisateurs peuvent ne pas comprendre la sensibilité des fichiers, ce qui accroît les risques de manipulation inappropriée des informations, notamment celles de type DR (Diffusion Restreinte). +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Information sensible + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R37.md b/_adrela/PG-075_R37.md new file mode 100755 index 0000000..1447313 --- /dev/null +++ b/_adrela/PG-075_R37.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Marquer les supports stockant des informations sensibles. +Recommandation: | + Il est fortement recommandé de marquer les supports physiques de stockage de ces informations. +Titre_Vuln: | + Absence de marquage des supports sensibles. +Vulnerabilit_: | + L'absence de marquage des supports physiques contenant des informations sensibles augmente le risque d'utilisation inappropriée, de perte ou de vol de ces supports. Cela peut entraîner des fuites d'informations, compromettant leur confidentialité et leur sécurité. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Information sensible + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R38.md b/_adrela/PG-075_R38.md new file mode 100755 index 0000000..773b617 --- /dev/null +++ b/_adrela/PG-075_R38.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Adopter un code couleur pour le câblage des équipements. +Recommandation: | + Il est recommandé de distinguer visuellement les câbles réseaux ayant des niveaux de sensibilité différents, par exemple par l’utilisation de câbles de différentes couleurs. +Titre_Vuln: | + Absence de distinction visuelle des câbles réseau sensibles. +Vulnerabilit_: | + L'absence de distinction visuelle pour les câbles réseau connectant des équipements sensibles peut entraîner des erreurs de manipulation ou de maintenance, augmentant les risques de compromission accidentelle ou intentionnelle des flux sensibles. +Impact: + - 2 +Probabilit_: + - 2 +tags: + - Physique + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R39.md b/_adrela/PG-075_R39.md new file mode 100755 index 0000000..18783b6 --- /dev/null +++ b/_adrela/PG-075_R39.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Activer une authentification initiale forte. +Recommandation: | + L’authentification initiale d’un utilisateur sur un SI sensible doit être une authentification multifacteur à l’état de l’art. +Titre_Vuln: | + Absence d'authentification multifacteur pour les SI sensibles. +Vulnerabilit_: | + L'absence d'authentification forte expose les SI sensibles à des risques d'accès non autorisé, notamment en cas de compromission d'un mot de passe unique. Cela augmente les risques d'intrusion et de compromission des données sensibles. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Authentification + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R4.md b/_adrela/PG-075_R4.md new file mode 100755 index 0000000..394e385 --- /dev/null +++ b/_adrela/PG-075_R4.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Homologuer tout SI sensible avant sa mise en production +Recommandation: | + Tout SI sensible doit être homologué. Toutes les interconnexions de ce SI doivent également être homologuées. Les risques pesant sur un SI sensible doivent, en outre, être périodiquement réévalués dans une démarche d’amélioration continue et d’adaptation permanente à l’évolution de la menace. +Titre_Vuln: | + Absence d'homologation des systèmes d'information sensibles +Vulnerabilit_: | + Ne pas homologuer un SI sensible avant sa mise en production peut entraîner des vulnérabilités non identifiées et une exposition accrue aux menaces. Les interconnexions non homologuées augmentent le risque d'accès non autorisé et d'intrusions. Sans réévaluation périodique des risques, le système peut devenir obsolète face aux nouvelles menaces, compromettant ainsi la sécurité et l'intégrité des informations sensibles. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R40.md b/_adrela/PG-075_R40.md new file mode 100755 index 0000000..3b6df95 --- /dev/null +++ b/_adrela/PG-075_R40.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Trier le patrimoine informationnel par niveau de sensibilité. +Recommandation: | + Une entité publique ou privée doit trier son patrimoine informationnel. Pour ce faire, elle conduit une analyse des risques visant à exprimer les besoins de protection en confidentialité des informations. Ces besoins peuvent être positionnés sur une échelle croissante de protection en confidentialité allant d’un besoin faible pour des informations publiques à un besoin fort pour des informations sensibles ou DR. +Titre_Vuln: | + Absence de classification des données selon leur niveau de sensibilité. +Vulnerabilit_: | + L'absence de tri du patrimoine informationnel empêche de prioriser les efforts de sécurité, exposant les données sensibles ou DR à des risques de fuite, d'accès non autorisé ou d'altération. Un manque de catégorisation limite également l'efficacité des politiques de gestion des données. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Politique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R41.md b/_adrela/PG-075_R41.md new file mode 100755 index 0000000..cdd16af --- /dev/null +++ b/_adrela/PG-075_R41.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Gérer avec rigueur l'affectation des droits d'accès logiques des comptes informatiques. +Recommandation: | + La gestion des droits sur un SI sensible doit faire l’objet d’une procédure permettant d’imputer les affectations, les modifications et les suppressions de droits, tout au long du cycle de vie des comptes informatiques. Une revue périodique des droits logiques doit en outre être réalisée annuellement. Pour les SI sensibles très étendus, l’utilisation d’outils de gestion des identités, de l’authentification unique et des autorisations est fortement recommandée. +Titre_Vuln: | + Absence de gestion rigoureuse des droits d'accès logiques. +Vulnerabilit_: | + Une gestion inadéquate des droits d'accès expose le SI sensible à des risques de privilèges excessifs ou non justifiés, augmentant les probabilités de compromission interne ou externe. L'absence de révision périodique peut entraîner la persistance de droits inutiles ou inappropriés. +Impact: + - 3 +Probabilit_: + - 3 +tags: + - Authentifcation + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R42.md b/_adrela/PG-075_R42.md new file mode 100755 index 0000000..5017527 --- /dev/null +++ b/_adrela/PG-075_R42.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Protéger le SI sensible des codes malveillants. +Recommandation: | + Des logiciels antivirus doivent être installés sur l’ensemble des serveurs applicatifs, sur les postes de travail et sur les moyens permettant l’interconnexion du SI sensible avec d’autres SI. Dans la mesure du possible, il est recommandé de diversifier les technologies de protection contre les codes malveillants sur ces différents systèmes. +Titre_Vuln: | + Absence de protection adéquate contre les codes malveillants. +Vulnerabilit_: | + Une absence ou une insuffisance de protection contre les codes malveillants expose le SI sensible à des infections pouvant compromettre l’intégrité, la disponibilité et la confidentialité des données critiques. La diversité des technologies est essentielle pour renforcer la résilience face aux attaques ciblées. +Impact: + - 3 +Probabilit_: + - 3 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R44.md b/_adrela/PG-075_R44.md new file mode 100755 index 0000000..79a4356 --- /dev/null +++ b/_adrela/PG-075_R44.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Déployer des outils révélant des activités suspectes. +Recommandation: | + Il est recommandé d’installer des outils de détection des comportements suspects et que les journaux qu’ils génèrent alimentent le système de supervision mis en œuvre sur le SI sensible. Cette recommandation concerne en premier lieu les postes de travail. +Titre_Vuln: | + Absence d’outils de détection des activités suspectes. +Vulnerabilit_: | + L’absence d’outils de détection des comportements suspects peut conduire à une incapacité de repérer et de réagir aux activités anormales ou malveillantes sur le SI sensible. Cela peut permettre à des attaques de rester non détectées, augmentant les risques de compromission et d’impact sur la confidentialité, l'intégrité et la disponibilité du SI. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Surveillance + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R45.md b/_adrela/PG-075_R45.md new file mode 100755 index 0000000..a3d4bc1 --- /dev/null +++ b/_adrela/PG-075_R45.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Supports amovibles: limiter leur usage au strict besoin opérationnel. +Recommandation: | + Il est fortement recommandé que l’entité mettant en œuvre un SI sensible réduise le nombre de supports amovibles au strict besoin opérationnel et préfère des solutions d’échange via le réseau. +Titre_Vuln: | + Usage excessif de supports amovibles. +Vulnerabilit_: | + Un usage excessif des supports amovibles peut entraîner des risques accrus de perte, de vol ou de compromission des données sensibles. De plus, cela facilite la propagation des codes malveillants, réduisant ainsi la sécurité globale du SI. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R47.md b/_adrela/PG-075_R47.md new file mode 100755 index 0000000..f66e917 --- /dev/null +++ b/_adrela/PG-075_R47.md @@ -0,0 +1,28 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Supports amovibles: privilégier l'utilisation de supports en lecture seule. +Recommandation: | + Dans la mesure du possible, il est recommandé de privilégier l’usage de supports amovibles ou de dispositifs permettant de garantir que seule l’importation de données est possible sur le SI sensible. +Titre_Vuln: | + Absence de contrôle sur les supports amovibles. +Vulnerabilit_: | + L'utilisation de supports amovibles sans restriction de droits d'écriture peut faciliter l'introduction de données malveillantes ou non vérifiées dans le SI sensible. Une mauvaise configuration ou un usage inapproprié augmente le risque de compromission. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Physique + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +legaux: + - non +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R48.md b/_adrela/PG-075_R48.md new file mode 100755 index 0000000..657d469 --- /dev/null +++ b/_adrela/PG-075_R48.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Supports amovibles: utiliser des solutions de dépollution des supports de stockage. +Recommandation: | + Il est fortement recommandé d’utiliser une solution dédiée à la dépollution (p. ex. sas, station blanche...) pour les échanges de données avec un SI sensible réalisés au moyen de supports amovibles qui ne sont ni fournis ni administrés directement par l’entité (supports gérés par une entité tierce), ou pour lesquels il existe des doutes quant à l’innocuité de leur contenu. Si cette solution met elle-même en œuvre des supports amovibles, il est recommandé que ceux-ci soient dédiés à cet usage et que des mesures techniques ou organisationnelles permettent d’assurer leur innocuité au cours du temps. +Titre_Vuln: | + Absence de dépollution des supports amovibles. +Vulnerabilit_: | + L'absence de dépollution des supports amovibles peut entraîner l'introduction de codes malveillants dans le SI sensible. Cela expose le SI à des risques d'exfiltration de données, de propagation de malwares ou de compromission. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Physique + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R49.md b/_adrela/PG-075_R49.md new file mode 100755 index 0000000..ca5d396 --- /dev/null +++ b/_adrela/PG-075_R49.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Maîtriser les moyens informatiques affectés aux utilisateurs d'un SI sensible. +Recommandation: | + Des mesures techniques et organisationnelles permettent à l’entité responsable d’un SI sensible de maîtriser les moyens informatiques mis à la disposition des utilisateurs, de façon à notamment réduire le risque d’atteinte à l’intégrité des postes de travail sensibles. En particulier, les utilisateurs ne disposent pas de droits d’administration locaux et ceux-ci sont réservés aux administrateurs en charge de l’exploitation et du support des postes de travail. Les moyens informatiques confiés aux utilisateurs sont réservés à un usage professionnel. +Titre_Vuln: | + Droits d'administration locaux accessibles aux utilisateurs. +Vulnerabilit_: | + L'accès des utilisateurs aux droits d'administration locaux expose le SI sensible à des risques accrus de compromission, notamment par l'installation non contrôlée de logiciels malveillants ou par des modifications non autorisées des configurations système. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R5-.md b/_adrela/PG-075_R5-.md new file mode 100755 index 0000000..fb396bf --- /dev/null +++ b/_adrela/PG-075_R5-.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Cloisonner logiquement les données sensibles au sein d'un SI sensible +Recommandation: | + À défaut de mettre en œuvre un SI sensible physiquement isolé ou physiquement cloisonné, les entités ayant un niveau de maturité SSI élevé peuvent envisager de mettre en place un SI sensible et de ne pas créer de SI usuel. Les ressources usuelles doivent alors être incluses dans le périmètre d’homologation II 901 du SI sensible. Au sein de ce SI sensible, les données sensibles doivent être cloisonnées logiquement des données usuelles. Dans cette architecture, le SI unique est un SI de classe 1 interconnecté à Internet au moyen d’une passerelle Internet sécurisée qui intègre l’ensemble des dispositifs de sécurité définissant une passerelle de classe 1. Si le service de navigation Web est nécessaire, il est fortement recommandé qu’il soit rendu au travers d’une infrastructure de postes utilisateur de rebond (voir la recommandation R18-). +Titre_Vuln: | + Absence de cloisonnement logique des données sensibles +Vulnerabilit_: | + L'absence de cloisonnement logique entre les données sensibles et les données usuelles dans un SI sensible peut entraîner des fuites de données, une exposition à des cyberattaques et une compromission de la sécurité des informations critiques. Sans des mesures de cloisonnement appropriées, les données sensibles peuvent être accessibles par des utilisateurs ou des processus non autorisés, augmentant ainsi le risque de violations de sécurité. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R5.md b/_adrela/PG-075_R5.md new file mode 100755 index 0000000..2771dae --- /dev/null +++ b/_adrela/PG-075_R5.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Cloisonner physiquement le SI sensible et le SI usuel +Recommandation: | + À défaut de mettre en œuvre un SI physiquement isolé, il est possible de construire deux SI (un SI sensible et un SI usuel) physiquement cloisonnés et interconnectés par une passerelle bidirectionnelle conforme à l’II 901. Dans ce cas, le SI sensible est un SI de classe 1 interconnecté indirectement à Internet. +Titre_Vuln: | + Absence de Cloisonnement Physique des Systèmes d'Information +Vulnerabilit_: | + L'absence de cloisonnement physique entre le SI sensible et le SI usuel peut entraîner une contamination croisée des données et un risque d'accès non autorisé. Sans une passerelle bidirectionnelle conforme aux normes de sécurité, les informations sensibles peuvent être exposées à des menaces externes, compromettant ainsi la confidentialité et l'intégrité des données critiques. +Impact: + - 3 +Probabilit_: + - 3 +tags: + - Physique + - SI sensible + - SI usuel +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R50-.md b/_adrela/PG-075_R50-.md new file mode 100755 index 0000000..e4f7bdb --- /dev/null +++ b/_adrela/PG-075_R50-.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Connecter les ressources sensibles sur un réseau logique dédié. +Recommandation: | + Une mesure de sécurité dégradée de la recommandation R50 consiste à déployer les ressources sensibles sur un réseau logique dédié à cet usage et protégé à l’aide du protocole IPsec. En complément, des mécanismes de segmentation logique (VLAN) et de filtrage réseau sont recommandés pour limiter l’exposition du concentrateur VPN IPsec aux seuls moyens distribués sensibles. Pour la mise en œuvre du protocole IPsec, les recommandations du guide de l’ANSSI [17] doivent être appliquées. +Titre_Vuln: | + Absence de réseau logique dédié pour les ressources sensibles. +Vulnerabilit_: | + L'absence de réseau logique dédié pour les ressources sensibles expose ces dernières à des risques de compromission accrus, notamment par des attaques réseau ciblant des équipements insuffisamment isolés ou protégés. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R50.md b/_adrela/PG-075_R50.md new file mode 100755 index 0000000..3f24638 --- /dev/null +++ b/_adrela/PG-075_R50.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Connecter les ressources sensibles sur un réseau physique dédié. +Recommandation: | + Il est fortement recommandé de déployer les ressources d’un SI sensible sur un réseau physique dédié à cet usage. +Titre_Vuln: | + Absence de réseau physique dédié pour les ressources sensibles. +Vulnerabilit_: | + L'absence de réseau physique dédié pour les ressources sensibles expose ces dernières à des risques de compromission accrus par l'intermédiaire d'équipements partagés ou de vecteurs d'attaque communs. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R51.md b/_adrela/PG-075_R51.md new file mode 100755 index 0000000..617f92d --- /dev/null +++ b/_adrela/PG-075_R51.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Authentifier les ressources sensibles vis-à-vis du réseau. +Recommandation: | + Il est fortement recommandé que les ressources d’un SI sensible, et en premier lieu les moyens distribués, soient authentifiés, avant de pouvoir bénéficier d’une connectivité sur le réseau local sensible. +Titre_Vuln: | + Absence d'authentification des ressources sensibles vis-à-vis du réseau. +Vulnerabilit_: | + L'absence d'authentification des ressources sensibles vis-à-vis du réseau augmente le risque d'accès non autorisé, de compromission des données sensibles, et d'intrusion dans le SI sensible via des équipements non authentifiés. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Authentification + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R52--.md b/_adrela/PG-075_R52--.md new file mode 100755 index 0000000..d7ab2b4 --- /dev/null +++ b/_adrela/PG-075_R52--.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Séparer les usages des postes sensibles et des postes usuels. +Recommandation: | + À défaut d’un poste sensible physiquement distinct du poste usuel ou d’un poste utilisateur multiniveau de confiance, une solution d’un niveau de sécurité moindre peut consister à ce que les utilisateurs du SI sensible:
- disposent d’un poste de travail physique pour accéder au SI sensible ;
- accèdent, par connexion à distance uniquement, à un poste usuel (physique ou virtuel, par exemple: Virtual Desktop Infrastructure) depuis le poste sensible.
Dans tous les cas, les fonctions permettant un échange d’informations entre les deux SI doivent être désactivées. +Titre_Vuln: | + Absence de séparation des usages entre postes sensibles et postes usuels. +Vulnerabilit_: | + L'absence de séparation des usages entre postes sensibles et postes usuels peut permettre des interactions non contrôlées entre les SI sensibles et non sensibles, augmentant les risques de compromission, de fuite ou de contamination des données. +Impact: + - 4 +Probabilit_: + - 2 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R52-.md b/_adrela/PG-075_R52-.md new file mode 100755 index 0000000..6ffb1f2 --- /dev/null +++ b/_adrela/PG-075_R52-.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser un poste utilisateur multiniveau. +Recommandation: | + À défaut d’un poste utilisateur sensible physiquement dédié, l’emploi de technologies de virtualisation ou de conteneurisation pour obtenir un système multiniveau peut être envisagé, dans la mesure où le cloisonnement des environnements est réalisé par des mécanismes au niveau système évalués comme étant de confiance. +Titre_Vuln: | + Absence de postes multiniveaux pour la gestion des environnements sensibles et usuels. +Vulnerabilit_: | + L'absence de postes multiniveaux entraîne une exposition accrue aux risques de compromission des environnements sensibles. Sans séparation fiable, un acteur malveillant peut exploiter les failles des environnements usuels pour accéder aux données sensibles. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R52.md b/_adrela/PG-075_R52.md new file mode 100755 index 0000000..9ef2f1e --- /dev/null +++ b/_adrela/PG-075_R52.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser un poste utilisateur sensible dédié. +Recommandation: | + Il est recommandé de mettre en œuvre des postes de travail sensibles physiquement distincts de tout autre SI. +Titre_Vuln: | + Absence de postes utilisateurs dédiés pour les environnements sensibles. +Vulnerabilit_: | + L'absence de postes dédiés pour les environnements sensibles augmente le risque de compromission en cas d'incident affectant un autre SI. Ce manque de séparation physique peut faciliter les attaques latérales ou l'exfiltration de données sensibles. +Impact: + - 5 +Probabilit_: + - 2 +tags: + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R53.md b/_adrela/PG-075_R53.md new file mode 100755 index 0000000..b5c2c4f --- /dev/null +++ b/_adrela/PG-075_R53.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Utiliser un poste utilisateur multiniveau. +Recommandation: | + À défaut d’un poste utilisateur sensible physiquement dédié, l’emploi de technologies de virtualisation ou de conteneurisation pour obtenir un système multiniveau peut être envisagé, dans la mesure où le cloisonnement des environnements est réalisé par des mécanismes au niveau système évalués comme étant de confiance. +Titre_Vuln: | + Absence de cloisonnement fiable dans les postes multiniveaux. +Vulnerabilit_: | + L'absence d'un cloisonnement robuste dans les environnements multiniveaux peut conduire à une compromission croisée entre différents niveaux de sensibilité, augmentant les risques de fuite de données ou d'attaques latérales. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R54.md b/_adrela/PG-075_R54.md new file mode 100755 index 0000000..642ede7 --- /dev/null +++ b/_adrela/PG-075_R54.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Protéger physiquement les équipements d'accès nomade. +Recommandation: | + Les équipements d’accès nomade sensibles doivent être dotés de dispositifs physiques de protection (câble antivol, filtre de confidentialité). Ils ne doivent pas être laissés sans surveillance en dehors de leur période d’utilisation. +Titre_Vuln: | + Absence de protection physique des équipements d'accès nomade. +Vulnerabilit_: | + L'absence de mesures de protection physique expose les équipements nomades sensibles au risque de vol ou d'accès non autorisé, compromettant ainsi la sécurité des données et du SI sensible. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R56.md b/_adrela/PG-075_R56.md new file mode 100755 index 0000000..1573cf3 --- /dev/null +++ b/_adrela/PG-075_R56.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Sécuriser les canaux d'interconnexion nomades des SI sensibles. +Recommandation: | + Il est recommandé de sécuriser le canal d’interconnexion entre un équipement d’accès nomade sensible, et une passerelle d’interconnexion permettant l’accès au SI sensible, au moyen de produits de sécurité disposant d’un visa de sécurité. +Titre_Vuln: | + Absence de sécurisation des canaux d'interconnexion des équipements nomades sensibles. +Vulnerabilit_: | + L'absence de sécurisation des canaux d'interconnexion des équipements nomades sensibles expose le SI à des risques de compromission, tels que l'interception de données sensibles ou des intrusions non autorisées. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R57.md b/_adrela/PG-075_R57.md new file mode 100755 index 0000000..6d498c8 --- /dev/null +++ b/_adrela/PG-075_R57.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Chiffrer les données DR stockées sur des supports amovibles. +Recommandation: | + Les données DR stockées sur un support amovible doivent être chiffrées au moyen de produits de sécurité agréés DR. +Titre_Vuln: | + Absence de chiffrement des données DR sur supports amovibles. +Vulnerabilit_: | + L'absence de chiffrement des données DR sur supports amovibles expose ces données à des risques de compromission, comme la perte, le vol ou l'accès non autorisé à des informations sensibles. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Information sensible + - Physique + - SI DR +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R58.md b/_adrela/PG-075_R58.md new file mode 100755 index 0000000..d8711a2 --- /dev/null +++ b/_adrela/PG-075_R58.md @@ -0,0 +1,26 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Chiffrer les données sensibles stockées sur des supports amovibles. +Recommandation: | + Les données sensibles stockées sur un support amovible doivent être chiffrées au moyen de produits de sécurité disposant d’un visa de sécurité. +Titre_Vuln: | + Absence de chiffrement des données sensibles sur supports amovibles. +Vulnerabilit_: | + L'absence de chiffrement des données sensibles sur supports amovibles expose ces données à des risques de perte, de vol ou d'accès non autorisé, compromettant ainsi leur confidentialité et leur intégrité. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Information sensible + - Physique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R59.md b/_adrela/PG-075_R59.md new file mode 100755 index 0000000..8f3f41b --- /dev/null +++ b/_adrela/PG-075_R59.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Chiffrer les flux réseau d'un équipement d'accès nomade sensible en toute circonstance. +Recommandation: | + Il est fortement recommandé que tous les flux réseau nomades d’un SI sensible transitent par des concentrateurs VPN dédiés et soient encapsulés dans un tunnel VPN agréé DR (cas des SI DR) ou disposant d’un visa de sécurité ANSSI (cas des SI sensibles), que l’équipement d’accès nomade soit connecté directement au réseau local de son SI sensible d’appartenance ou indirectement, à distance. Le pare-feu local de l’équipement d’accès nomade doit bloquer tous les flux, à l’exception des flux nécessaires à l’établissement du tunnel, et la fonctionnalité split-tunneling doit être désactivée par configuration des concentrateurs VPN sensibles. +Titre_Vuln: | + Flux réseau non chiffrés ou mal sécurisés. +Vulnerabilit_: | + L'absence de chiffrement ou une mauvaise sécurisation des flux réseau expose les communications sensibles à des risques d'interception, compromettant la confidentialité et l'intégrité des données échangées. +Impact: + - 5 +Probabilit_: + - 3 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- \ No newline at end of file diff --git a/_adrela/PG-075_R6.md b/_adrela/PG-075_R6.md new file mode 100755 index 0000000..8b4a19e --- /dev/null +++ b/_adrela/PG-075_R6.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer le principe de défense en profondeur en cas de mutualisation de ressources +Recommandation: | + Le concept de défense en profondeur est un principe stratégique de l’II 901. En particulier, quand la mutualisation de ressources d’un SI sensible avec un autre SI est envisagée, l’entité doit systématiquement mettre en œuvre le concept de défense en profondeur pour réduire les risques induits par cette mutualisation. +Titre_Vuln: | + Absence de mise en œuvre du principe de défense en profondeur +Vulnerabilit_: | + L'absence de mise en œuvre du principe de défense en profondeur lors de la mutualisation de ressources entre un SI sensible et un autre SI peut accroître les risques de sécurité. Sans cette stratégie, les systèmes peuvent devenir vulnérables aux attaques, compromettant la confidentialité, l'intégrité et la disponibilité des informations sensibles. La défense en profondeur implique l'utilisation de plusieurs couches de sécurité pour protéger les ressources critiques, et son absence peut exposer l'organisation à des menaces accrues. +Impact: + - 3 +Probabilit_: + - 2 +tags: + - Systèmes + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- diff --git a/_adrela/PG-075_R60.md b/_adrela/PG-075_R60.md new file mode 100755 index 0000000..c064959 --- /dev/null +++ b/_adrela/PG-075_R60.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Mettre en place une architecture de réseau sans fil cloisonnée du SI sensible. +Recommandation: | + La mise en œuvre des technologies de réseaux sans fil doit être justifiée par des impératifs opérationnels. Les flux sans fil doivent être sécurisés à l’aide d’un tunnel disposant d’un visa de sécurité ANSSI (cas des SI sensibles), ou d’un agrément ANSSI (cas des SI DR), et doivent transiter par une passerelle nomade suivant les recommandations de l’ANSSI portant sur le nomadisme numérique. +Titre_Vuln: | + Réseaux sans fil exposés ou mal configurés. +Vulnerabilit_: | + Un réseau sans fil non sécurisé ou insuffisamment cloisonné peut permettre des intrusions, compromettant la confidentialité et l'intégrité des données échangées. +Impact: + - 5 +Probabilit_: + - 4 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R61.md b/_adrela/PG-075_R61.md new file mode 100755 index 0000000..fcb0cc3 --- /dev/null +++ b/_adrela/PG-075_R61.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Bloquer l'accès aux portails captifs depuis des équipements d'accès nomades sensibles. +Recommandation: | + L’accès aux portails captifs publics doit être bloqué sur tout équipement d’accès nomade appartenant à un SI sensible. +Vulnerabilit_: | + L'absence de blocage des portails captifs publics expose les équipements à des risques de compromission, tels que l'interception de communications ou l'installation de logiciels malveillants via des portails non sécurisés. +Titre_Vuln: | + Présence de connexions autorisées à des portails captifs publics. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- \ No newline at end of file diff --git a/_adrela/PG-075_R62.md b/_adrela/PG-075_R62.md new file mode 100755 index 0000000..6bcb3c4 --- /dev/null +++ b/_adrela/PG-075_R62.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Appliquer les recommandations de l'ANSSI relatives à l'administration sécurisée des SI. +Recommandation: | + Le responsable d’un SI sensible doit respecter les recommandations du guide relatif à l’administration sécurisée des SI. +Titre_Vuln: | + Absence de mise en œuvre des recommandations de sécurisation des SI sensibles. +Vulnerabilit_: | + L'absence d'une administration sécurisée peut entraîner des expositions critiques, notamment des intrusions, des exfiltrations de données ou des altérations malveillantes des systèmes. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R63.md b/_adrela/PG-075_R63.md new file mode 100755 index 0000000..d87fb1d --- /dev/null +++ b/_adrela/PG-075_R63.md @@ -0,0 +1,22 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Gérer les administrateurs d'un SI sensible +Recommandation: | + La liste des administrateurs autorisés à opérer sur un SI sensible doit être limitée au juste besoin, connue et validée par l’autorité d’homologation. Il est en outre recommandé que les administrateurs d’un SI DR soient détenteurs d’une habilitation individuelle, d’un niveau permettant l’accès à des informations relevant du secret de la défense nationale, en particulier si leurs privilèges sur le SI sont étendus. +Titre_Vuln: | + Absence de gestion stricte des administrateurs +Vulnerabilit_: | + L'absence de gestion stricte des administrateurs peut entraîner un accès non autorisé aux ressources sensibles, compromettant leur intégrité et leur confidentialité. +tags: + - Authentification + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R64-.md b/_adrela/PG-075_R64-.md new file mode 100755 index 0000000..3931322 --- /dev/null +++ b/_adrela/PG-075_R64-.md @@ -0,0 +1,21 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Maîtriser les systèmes de télémaintenance connectés à des SI sensibles +Recommandation: | + Les interconnexions de télémaintenance font l’objet d’une analyse des risques spécifique et des mesures de réduction des risques sont mises en œuvre. +Titre_Vuln: | + Absence de contrôle des interconnexions de télémaintenance +Vulnerabilit_: | + L’absence d’analyse et de maîtrise des interconnexions de télémaintenance peut exposer le SI sensible à des risques d’intrusion ou de compromission. +tags: + - Politique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R65.md b/_adrela/PG-075_R65.md new file mode 100755 index 0000000..6548e88 --- /dev/null +++ b/_adrela/PG-075_R65.md @@ -0,0 +1,24 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Définir et appliquer une politique de maintien en condition de sécurité (MCS) +Recommandation: | + Le responsable d’un SI sensible établit une politique permettant le maintien en condition de sécurité des composants du SI et de son SI d’administration. Cette politique précise notamment les fréquences de déploiement et les procédures de test des mises à jour de sécurité. Il est recommandé de déployer les mises à jour de sécurité critiques sous un délai d’une semaine et les autres mises à jour de sécurité sous un délai de quatre semaines. Cette politique, pour être efficace, suppose que l’entité responsable du SI sensible en maintienne à jour la cartographie, incluant l’inventaire des ressources mises en œuvre. +Titre_Vuln: | + Absence de politique de maintien en condition de sécurité +Vulnerabilit_: | + L’absence d’une politique claire de maintien en condition de sécurité expose le SI sensible à des vulnérabilités non corrigées, augmentant les risques d’intrusion ou de compromission. +Impact: + - 3 +Probabilit_: + - 3 +tags: + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- diff --git a/_adrela/PG-075_R66.md b/_adrela/PG-075_R66.md new file mode 100755 index 0000000..6acf974 --- /dev/null +++ b/_adrela/PG-075_R66.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Isoler les systèmes obsolètes +Recommandation: | + Les systèmes obsolètes conservés en production pour répondre à des besoins métier justifiés doivent être isolés du SI sensible. La manière de réaliser cette isolation doit faire l’objet d’une étude spécifique. +Titre_Vuln: | + Absence d'isolation des systèmes obsolètes +Vulnerabilit_: | + Le maintien de systèmes obsolètes non isolés augmente les risques d'intrusions, de compromissions et de propagation d'attaques dans le SI sensible. +Impact: + - 4 +Probabilit_: + - 4 +tags: + - Systèmes + - Réseaux + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- diff --git a/_adrela/PG-075_R68.md b/_adrela/PG-075_R68.md new file mode 100755 index 0000000..920a045 --- /dev/null +++ b/_adrela/PG-075_R68.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Conserver les journaux d'un SI sensible pendant 12 mois +Recommandation: | + Les journaux des évènements de sécurité doivent être conservés pendant douze mois glissants, hors contraintes légales et réglementaires particulières imposant des durées de conservation spécifiques. +Titre_Vuln: | + Non-conservation des journaux de sécurité sur une période adéquate +Vulnerabilit_: | + L'absence de conservation suffisante des journaux d'événements de sécurité peut nuire à la capacité d'audit et d'investigation en cas d'incident de sécurité. +Impact: + - 2 +Probabilit_: + - 3 +tags: + - Surveillance + - Politiques + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- diff --git a/_adrela/PG-075_R7.md b/_adrela/PG-075_R7.md new file mode 100755 index 0000000..439ae3e --- /dev/null +++ b/_adrela/PG-075_R7.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Cloisonner les annuaires sensible et usuel +Recommandation: | + Dans le contexte de la recommandation dégradée R5-, il est fortement recommandé que l’entité mette en œuvre des annuaires distincts: au minimum, un annuaire est déployé pour les utilisateurs et ressources sensibles et un deuxième pour les utilisateurs et ressources usuelles. +Titre_Vuln: | + Absence de cloisonnement des annuaires sensibles et usuels +Vulnerabilit_: | + L'absence de cloisonnement entre les annuaires sensibles et usuels peut entraîner un mélange d'accès et de droits entre les utilisateurs, augmentant le risque de compromission des données sensibles. Sans des annuaires distincts, les utilisateurs non autorisés peuvent potentiellement accéder à des ressources critiques, ce qui pourrait conduire à des violations de sécurité, à une perte de confidentialité et à un impact sur l'intégrité des informations. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Systèmes + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R70.md b/_adrela/PG-075_R70.md new file mode 100755 index 0000000..78114b3 --- /dev/null +++ b/_adrela/PG-075_R70.md @@ -0,0 +1,20 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Formaliser une procédure de déclaration des incidents de sécurité à l’ANSSI +Recommandation: | + Le responsable d’un SI sensible doit formaliser une procédure de déclaration des incidents de sécurité à l’ANSSI. Ces déclarations concernent en particulier les incidents dépassant ou susceptibles de dépasser le périmètre du SI sensible et ceux relatifs à des alertes de sécurité (notamment les alertes émises par le CERT-FR). +Titre_Vuln: | + Manque de procédure de déclaration des incidents de sécurité à l’ANSSI +Vulnerabilit_: | + L'absence de procédure formalisée pour la déclaration des incidents de sécurité pourrait entraîner un retard dans la prise en charge des incidents, compromettant ainsi la sécurité du SI sensible. +tags: + - Politique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr +--- diff --git a/_adrela/PG-075_R8.md b/_adrela/PG-075_R8.md new file mode 100755 index 0000000..ddc5e65 --- /dev/null +++ b/_adrela/PG-075_R8.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Définir une stratégie d'homologation pour chaque interconnexion de SI sensible +Recommandation: | + L’interconnexion de deux SI sensibles doit faire l’objet d’une homologation spécifique où chacune des parties s’assure que l’impact sur la sécurité de l’interconnexion est compatible avec les besoins de sécurité exprimés dans le dossier d’homologation du SI dont elle a la responsabilité. +Titre_Vuln: | + Absence de stratégie d'homologation pour les interconnexions de SI sensibles +Vulnerabilit_: | + L'absence de stratégie d'homologation pour les interconnexions de SI sensibles peut entraîner des failles de sécurité non détectées, compromettant la confidentialité, l'intégrité et la disponibilité des données. Sans homologation spécifique, il est difficile de garantir que l'interconnexion respecte les exigences de sécurité nécessaires, augmentant ainsi le risque de cyberattaques et de violations de données sensibles. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Politique + - SI sensible +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_adrela/PG-075_R9.md b/_adrela/PG-075_R9.md new file mode 100755 index 0000000..2b195fe --- /dev/null +++ b/_adrela/PG-075_R9.md @@ -0,0 +1,25 @@ +--- +Auteur: Dacodhack +Version: 1.0 +Relecture: True +Titre_Reco: | + Sécuriser les interconnexions de SI DR +Recommandation: | + Les interconnexions de SI DR doivent être sécurisées au moyen de tunnels VPN garantissant la protection de tous les flux échangés (confidentialité, intégrité, antirejeu, authentification mutuelle des extrémités). Les équipements permettant d’établir ces tunnels VPN doivent être agréés par l’ANSSI. +Titre_Vuln: | + Absence de sécurisation des interconnexions de SI DR +Vulnerabilit_: | + L'absence de sécurisation des interconnexions de SI DR à l'aide de tunnels VPN approuvés par l'ANSSI expose les systèmes à des risques de compromission. Sans protection adéquate, les données échangées peuvent être interceptées, modifiées ou exploitées par des tiers non autorisés, ce qui compromet la confidentialité, l'intégrité et l'authenticité des informations échangées entre les systèmes. +Impact: + - 4 +Probabilit_: + - 3 +tags: + - Réseaux + - SI DR +livrables: + - ANSSI-PG-075 +sources: + - https://cyber.gouv.fr/publications/recommandations-pour-les-architectures-des-si-sensibles-ou-dr + +--- diff --git a/_data/livrables.yml b/_data/livrables.yml index 437bfb7..caa8028 100644 --- a/_data/livrables.yml +++ b/_data/livrables.yml @@ -1,4 +1,18 @@ ANSSI-PA-022: label: ANSSI-PA-022 - description: Recommandations relatives à l’administration sécurisée des systèmes d’information - + descrption: Recommandations relatives à l'administration sécurisée des SI +ANSSI-PA-085: + label: ANSSI-PA-085 + descrption: Recommandations pour la protection des systèmes d'information essentiels +ANSSI-PA-099: + label: ANSSI-PA-099 + description: Recommandations relatives à l’administration sécurisée des systèmes d’information reposant sur Microsoft Active Directory +ANSSI-PA-101: + label: ANSSI-PA-101 + description: Recommandations pour les architectures des interconnexions multiniveaux +ANSSI-PA-102: + label: ANSSI-PA-102 + description: Recommandations de sécurité pour un système d’IA générative +ANSSI-PG-075: + label: ANSSI-PG-075 + description: Recommandations pour les architectures des systèmes d'information sensibles ou Diffusion Restreinte - v1.2 diff --git a/_includes/bin_table.html b/_includes/bin_table.html index 2ad137a..37eb68a 100644 --- a/_includes/bin_table.html +++ b/_includes/bin_table.html @@ -42,7 +42,7 @@

Livrable de la recommandation:

{% assign sites = site.adrela | reverse %} {% for file in sites %} -
{{ file.recommandation | escape }}
Copy

{% include filter_list.html bin=file %}

+
{{ file.Titre_Reco | escape }}
Copy

{% include filter_list.html bin=file %}

{% endfor %} diff --git a/_includes/filter_list.html b/_includes/filter_list.html index 5e42171..9bd885b 100644 --- a/_includes/filter_list.html +++ b/_includes/filter_list.html @@ -4,7 +4,7 @@ {% assign livrable_id = livrable_pair[0] %} {% assign livrable = livrable_pair[1] %} {% if include.bin.livrables contains livrable_id %} -
  • {{ livrable.label }}
    • +
  • {{ livrable.label }}
    • {% endif %} {% endfor %} @@ -12,7 +12,7 @@ {% assign tag_id = tag_pair[0] %} {% assign tag = tag_pair[1] %} {% if include.bin.tags contains tag_id %} -
  • {{ tag.label }}
    • +
  • {{ tag.label }}
    • {% endif %} {% endfor %} diff --git a/_layouts/bin.html b/_layouts/bin.html index bb73c73..e308efd 100644 --- a/_layouts/bin.html +++ b/_layouts/bin.html @@ -5,23 +5,55 @@ {% capture bin_name %}{% include get_bin_name path=page.path %}{% endcapture %} {% include page_title.html title=bin_name %} {% include filter_list.html bin=page %} -

    Recommandation:

    -Copy

    Description

    -{{ page.description | markdownify | newline_to_br }} +{{ page.Recommandation | markdownify | newline_to_br }} + +

    Tags

    +{% include filter_list.html bin=page %} -

    Tags:

    -{% for tag in page.tags %} -{{ tag }} -{% endfor %} + +

    Vulnérabilité

    +
    +
    +
    + Vulnérabilité : +
    +
    + Copy + {{ page.Titre_Vuln | escape }} +
    +
    +
    +
    Description :
    +
    + {{ page.Vulnerabilit_ | escape }} +
    +
    +
    +
    +
    +
    Impact :
    +
    +
    {{ page.Impact }}
    +
    +
    +
    +
    Probabilité :
    +
    +
    {{ page.Probabilit_ }}
    +
    +
    +
    +
    +

    Sources:

    {% for source in page.sources %} @@ -29,16 +61,27 @@

    Sources:



    {% endfor %} + diff --git a/assets/style.scss b/assets/style.scss index a78cbfc..7f3ea6f 100644 --- a/assets/style.scss +++ b/assets/style.scss @@ -1,10 +1,10 @@ --- --- -$accent: #01b9c5; -$lighter: #c4defc; -$marked: #b4d7ff; -$hover: #01b9c5; +$accent: #003b55; +$lighter: #46c6ff; +$marked: #46c6ff; +$hover: #003b55; // layout @@ -176,7 +176,6 @@ h2, h3, h4, h5, h5 { li { display: inline-block; - a { display: inline-block; padding: 0.25em 0.5em; @@ -335,3 +334,48 @@ h2, h3, h4, h5, h5 { .slider.round:before { border-radius: 50%; } + + // vuln + .container { + width: 600px; + border: 2px solid #f44; + padding: 20px; + box-sizing: border-box; + font-family: Arial, sans-serif; + background-color: #fefefe; + margin: 20px auto; + border-radius: 8px; +} +.section { + margin-bottom: 15px; +} +.section-title { + font-weight: bold; + color: #f44; /* Couleur rouge */ + margin-bottom: 5px; +} +.section-content { + border: 1px solid #f44; /* Bordure rouge */ + padding: 10px; + border-radius: 4px; + background-color: #fff3f3; /* Fond rose clair */ +} +.risques{ + display: flex; +} +.bloc{ + flex: content; +} +.impact-probability { + display: flex; + justify-content: space-between; + font-weight: bold; +} +.impact-probability div { + padding: 5px; + border: 1px solid #f44; /* Bordure rouge */ + border-radius: 4px; + background-color: #fff3f3; /* Fond rose clair */ + width: 45%; + text-align: center; +} \ No newline at end of file diff --git a/assets/styleDark.scss b/assets/styleDark.scss index 3a06063..cd3c207 100644 --- a/assets/styleDark.scss +++ b/assets/styleDark.scss @@ -1,13 +1,14 @@ --- --- -$accent: #01b9c5; -$lighter: #f4fff4; -$marked: #b4d7ff; -$hover: #46c6ff; + +$accent: #003b55; +$lighter: #46c6ff; +$marked: #46c6ff; +$hover: #003b55; $dark: #292a2d; $darkText: #a9a9b3; $test: #ff0000; -$blueColor: #01b9c5; +$greenColor: #003b55; // layout $column-width: 800px; @@ -43,7 +44,7 @@ body { code { padding: 0.15em 0.25em; border-radius: 0.25em; - color: $blueColor; + color: $greenColor; } pre { @@ -58,7 +59,7 @@ pre { } a:link, a:visited { - color: $blueColor; + color: $greenColor; } a:hover { @@ -180,7 +181,6 @@ h2, h3, h4, h5, h5 { li { display: inline-block; - a { display: inline-block; padding: 0.25em 0.5em; @@ -189,7 +189,7 @@ h2, h3, h4, h5, h5 { } a:link, a:visited { - color: $blueColor; + color: $greenColor; text-decoration: none; } @@ -208,7 +208,7 @@ h2, h3, h4, h5, h5 { margin: 0.2em 0; border: 1px solid $accent; background: $marked; - color: $blueColor; + color: $greenColor; text-decoration: none; }