Standards minimaux

Applications

Chaque application hérite du niveau de sensibilité des informations qu’elle génère, traite, stocke, met à disposition et diffuse. Voici les normes minimales de sécurité applicative à appliquer en fonction du niveau de sensibilité ainsi déterminé :

EXIGENCE

DESCRIPTION ET RECOMMANDATIONS

Sensibilité faible

Sensibilité moyenne

Sensibilité élevée

Mise à jour

Utilisez une brique applicative maintenue par l’éditeur.
Sur la base du système de classification CVE/CVSS (Common Vulnerabilities and Exposures), appliquez les correctifs de sécurité critiques (score 9+) sans aucun délai injustifié suivant leur publication et les autres correctifs de sécurité dans un délai raisonnable.
S’il n’est pas possible d’appliquer les correctifs dans les délais, alors des mesures compensatoires doivent être prises.

OUI OUI OUI
Gestion des vulnérabilités

Sur la base des informations transmises par le service de supervision continue des vulnérabilités applicatives et web géré par l’équipe de sécurité du SI (Nessus et Dorkbot), traitez les vulnérabilités Critical sans aucun délai injustifié et les autres vulnérabilités High et Medium dans un délai raisonnable.  
S’il n’est pas possible de traiter les vulnérabilités dans les délais, alors des mesures compensatoires doivent être prises.

 OUI OUI OUI
Inventaire

Maintenez un inventaire des applications sous votre responsabilité. À une application doit être associée l’identité d’un gestionnaire technique et d’un gestionnaire métier.

 OUI OUI OUI
Sauvegarde

Assurez-vous que les configurations et les données de l’application sont sauvegardées. Pour les services numériques essentiels, il faut respecter le plan de sauvegarde défini dans le Plan de Reprise d’Activité (PRA).

OUI OUI OUI
Contrôle d’accès et mots de passe

Paramétrez les accès à l’application en fonction de la matrice des habilitations définie par le propriétaire de l’application. Appliquez les règles de complexité des mots de passe. Vérifiez régulièrement que les comptes et privilèges enregistrés.
Par défaut, les utilisateurs se connectent avec leur compte ISIs en mode SSO (mode web shibboleth).

OUI OUI OUI
Pare-feu

Limitez les services réseau accessibles au strict nécessaire.

OUI OUI OUI
HTTPS

Pour les applications web, sécurisez le protocole HTTPS avec comme objectif la note A+ selon l’outil SSL LABS. Maintenez ce niveau dans le temps.

OUI OUI OUI
Logs

Activez les logs applicatifs en mode production. Enregistrez les événements de sécurité.

 OUI OUI OUI
Développement sécurisé Respectez les recommandations et artefacts du guide de sécurisation des applications.  OUI OUI OUI
Authentification forte

Risque moyen : utilisez l’authentification forte ISIs+ pour les accès des gestionnaires de l’application, si le serveur est dans le cloud
Risque fort : utilisez l’authentification forte ISIs+ pour les gestionnaires et les utilisateurs. Si ceci n’est pas possible techniquement, utilisez un mot de passe distinct du mot de passe ISIs avec des règles de complexité renforcées. (Ex. SAP, Oracle)

  OUI OUI
Administration distante

Si l’application est configurée/administrée par un tiers hors UNIGE, utilisez le VPN Prestataires (avec authentification ISIs+) et le bastion informatique (supervision des sessions).

  OUI OUI
Continuité d’activité

Si l’application fournit un service numérique essentiel selon la directive GCA, alors appliquez les mesures de redondance nécessaires telles que définies dans le Plan de reprise d’activité associé.

  OUI OUI
Centralisation des logs

Transférez les logs applicatifs vers un serveur de centralisation de logs Ex. : ELK DiSTIC, sondes du SOC

    OUI
Station d’administration dédiée Accédez aux fonctions d’administration de l’application seulement à partir d’une station d’administration dédié. Il est possible d’utiliser un serveur de rebond.     OUI
Configuration durcie

Appliquez les recommandations de configuration CIS proposées par la DiSTIC ou votre entité SI de rattachement.

    OUI
Revue

Demandez une revue de sécurité et de conformité avant la mise en production. Une application, même à risque faible, qui doit être exposée sur Internet doit également faire l’objet d’une évaluation sécuritaire préalable.

 (OUI) (OUI) OUI
Lois et règlements spécifiques

Le cas échéant, respectez les mesures de protection spécifiques applicables : données de santé, NIH, RGPD, …

    OUI