Serveurs
Chaque serveur hérite du niveau de sensibilité des informations qu’il génère, traite, stocke, et diffuse, sauvegarde, archive. Le cas échéant, il hérite également de fait du niveau de sensibilité des applications et des informations qu’elles manipulent. Voici les normes minimales de sécurité à appliquer en fonction du niveau de sensibilité du serveur ainsi déterminé :
| EXIGENCE |
DESCRIPTION ET RECOMMANDATIONS |
Sensibilité faible |
Sensibilité moyenne |
Sensibilité élevée |
| Mise à jour |
Utilisez une version de système d'exploitation maintenue par l’éditeur. |
ü | ü | ü |
| Gestion des vulnérabilités | Sur la base des informations transmises par le service de supervision continue des vulnérabilités géré par l’équipe de sécurité du SI (Nessus), traitez les vulnérabilités Critical sans aucun délai injustifié et les autres vulnérabilités High dans un délai raisonnable. S’il n’est pas possible de traiter les vulnérabilités dans les délais, alors des mesures compensatoires doivent être prises. |
ü | ü | ü |
| Inventaire | Ajoutez le serveur dans le système d’inventaire de votre entité SI de rattachement. À un serveur doit être associé l’identité d’un gestionnaire SI ou de l’équipe SI gestionnaire du serveur. Privilégiez un système d’inventaire automatisé (ex. GLPI pour la DiSTIC) et un enregistrement automatisé dans la CMDB. |
ü | ü | ü |
| Sauvegarde | Sauvegardez les données de configuration du serveur. Utilisez les outils mis à disposition tels que TSM. |
ü | ü | ü |
| Contrôle d’accès et mots de passe | Limitez les accès aux seuls gestionnaires utiles. Appliquez les règles de complexité des mots de passe. Vérifiez régulièrement les comptes et privilèges enregistrés | ü | ü | ü |
| Pare-feu | Activez le pare-feu système, en mode deny all par défaut. Puis autorisez les services nécessaires. | ü | ü | ü |
| Logs | Activez les logs en mode production. Enregistrez les événements de sécurité | ü | ü | ü |
| Contrôle d’accès physique | Installez le serveur dans un datacenter de l’UNIGE | ü | ü | |
| Protection antimalware | Activez une protection antimalware. | ü | ü | ü |
| Détection d’intrusion | En complément des systèmes de détection d’intrusion (IDS) du SOC (mode réseau), vous pouvez activer un IDS (host) sur le serveur. Ex. : Tripwire | ü | ü | |
| Authentification forte | Sensi moyenne -> utilisez l’authentification forte ISIs+ pour les accès administrateurs, si le serveur est dans le cloud Sensi forte -> utilisez l’authentification forte ISIs+. Si ceci n’est pas possible techniquement, encadrez les accès administrateur pour minimiser les risques. Utilisez des comptes locaux hors AD/ISIs. |
ü | ü | |
| Centralisation des logs | Transférez les logs vers un serveur de centralisation de logs Ex. : ELK DiSTIC, sondes du SOC |
ü | ü | |
| Administration distante | Si le serveur est configuré/administré par un tiers hors UNIGE, utilisez le VPN Prestataires (avec authentification forte ISIs+) et le bastion informatique (supervision des sessions) | ü | ü | |
| Continuité d’activité | Si le serveur héberge un service numérique essentiel selon la directive GCA, alors appliquez les mesures de redondance nécessaires telles que définies dans le Plan de reprise d’activité associé. | ü | ü | |
| Station d’administration dédiée | Accédez aux fonctions d’administration du serveur seulement à partir d’une station d’administration dédié / un serveur de rebond. | ü | ||
| Système durci | Appliquez les recommandations de configuration CIS / utilisez les images systèmes sécurisées proposées par la DiSTIC ou votre entité SI de rattachement. | ü | ||
| Revue |
Demandez une revue de sécurité et de conformité avant la mise en production |
ü* | ü* | ü |
| Lois et règlements spécifiques | Le cas échéant, respectez les mesures de protection spécifiques applicables : données de santé, NIH, RGPD, … | ü |