Standards minimaux

Serveurs

Chaque serveur hérite du niveau de sensibilité des informations qu’il génère, traite, stocke, et diffuse, sauvegarde, archive. Le cas échéant, il hérite également de fait du niveau de sensibilité des applications et des informations qu’elles manipulent. Voici les normes minimales de sécurité à appliquer en fonction du niveau de sensibilité du serveur ainsi déterminé :

EXIGENCE

DESCRIPTION ET RECOMMANDATIONS

Sensibilité faible

Sensibilité moyenne

Sensibilité élevée

Mise à jour

Utilisez une version de système d'exploitation maintenue par l’éditeur.
Sur la base du système de classification CVE/CVSS (Common Vulnerabilities and Exposures), appliquez les correctifs de sécurité critiques (score 9+) sans aucun délai injustifié suivant leur publication et les autres correctifs de sécurité dans un délai raisonnable.
S’il n’est pas possible d’appliquer les correctifs dans les délais, alors des mesures compensatoires doivent être prises.

OUI OUI OUI
Gestion des vulnérabilités Sur la base des informations transmises par le service de supervision continue des vulnérabilités géré par l’équipe de sécurité du SI (Nessus), traitez les vulnérabilités Critical sans aucun délai injustifié et les autres vulnérabilités High dans un délai raisonnable.  
S’il n’est pas possible de traiter les vulnérabilités dans les délais, alors des mesures compensatoires doivent être prises.
 OUI OUI OUI
Inventaire Ajoutez le serveur dans le système d’inventaire de votre entité SI de rattachement. À un serveur doit être associé l’identité d’un gestionnaire SI ou de l’équipe SI gestionnaire du serveur.
Privilégiez un système d’inventaire automatisé (ex. GLPI pour la DiSTIC) et un enregistrement automatisé dans la CMDB.
 OUI OUI OUI
Sauvegarde Sauvegardez les données de configuration du serveur.
Utilisez les outils mis à disposition tels que TSM.
OUI OUI OUI
Contrôle d’accès et mots de passe Limitez les accès aux seuls gestionnaires utiles. Appliquez les règles de complexité des mots de passe. Vérifiez régulièrement les comptes et privilèges enregistrés OUI OUI OUI
Pare-feu Activez le pare-feu système, en mode deny all par défaut. Puis autorisez les services nécessaires. OUI OUI OUI
Logs Activez les logs en mode production. Enregistrez les événements de sécurité OUI OUI OUI
Contrôle d’accès physique Installez le serveur dans un datacenter de l’UNIGE   OUI OUI
Protection antimalware Activez une protection antimalware. OUI OUI OUI
Détection d’intrusion En complément des systèmes de détection d’intrusion (IDS) du SOC (mode réseau), vous pouvez activer un IDS (host) sur le serveur. Ex. : Tripwire   OUI OUI
Authentification forte Risque moyen : utilisez l’authentification forte ISIs+ pour les accès administrateurs, si le serveur est dans le cloud
Risque fort : utilisez l’authentification forte ISIs+. Si ceci n’est pas possible techniquement, encadrez les accès administrateur pour minimiser les risques. Utilisez des comptes locaux hors AD/Isis.
  OUI OUI
Centralisation des logs Transférez les logs vers un serveur de centralisation de logs
Ex. : ELK DiSTIC, sondes du SOC
  OUI OUI
Administration distante Si le serveur est configuré/administré par un tiers hors UNIGE, utilisez le VPN Prestataires (avec authentification forte ISIs+) et le bastion informatique (supervision des sessions)   OUI OUI
Continuité d’activité Si le serveur héberge un service numérique essentiel selon la directive GCA, alors appliquez les mesures de redondance nécessaires telles que définies dans le Plan de reprise d’activité associé.   OUI OUI
Station d’administration dédiée Accédez aux fonctions d’administration du serveur seulement à partir d’une station d’administration dédié / un serveur de rebond.     OUI
Système durci Appliquez les recommandations de configuration CIS / utilisez les images systèmes sécurisées proposées par la DiSTIC ou votre entité SI de rattachement.     OUI
Revue Demandez une revue de sécurité et de conformité avant la mise en production     OUI
Lois et règlements spécifiques Le cas échéant, respectez les mesures de protection spécifiques applicables : données de santé, NIH, RGPD, …     OUI