{"id":10904,"date":"2018-06-08T17:54:40","date_gmt":"2018-06-08T16:54:40","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=10904\/"},"modified":"2020-01-02T11:10:11","modified_gmt":"2020-01-02T10:10:11","slug":"administration-securisee-guide-anssi","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2018\/06\/administration-securisee-guide-anssi\/","title":{"rendered":"Administration s\u00e9curis\u00e9e : que dit le nouveau guide ANSSI ?"},"content":{"rendered":"

Fin Avril 2018, l’ANSSI a publi\u00e9 une deuxi\u00e8me version de son guide \u00ab\u00a0Recommandations relatives \u00e0 l’administration s\u00e9curis\u00e9e des syst\u00e8mes d’information\u00a0\u00bb<\/a>.<\/em><\/p>\n

Affirmation des grandes orientations s\u00e9curit\u00e9, pr\u00e9cisions importantes et nouvelles pr\u00e9conisations : cet article propose une synth\u00e8se objective des changements apport\u00e9s dans cette r\u00e9cente version, afin d\u2019en faciliter l\u2019appropriation par les acteurs du SI et de sa s\u00e9curit\u00e9, et guider de potentielles \u00e9volutions dans la pratique de l\u2019administration.<\/em><\/p>\n

Une nouvelle version reposant sur les retours terrains<\/strong><\/h2>\n

L\u2019administration d\u2019un SI est, en raison des missions qui lui sont associ\u00e9es (installation et param\u00e9trage des syst\u00e8mes, mises \u00e0 jour, supervision\u2026) et des capacit\u00e9s qu\u2019elle d\u00e9livre \u00e0 ses ex\u00e9cutants (capacit\u00e9s d\u2019action \u00e9tendues sur les biens, acc\u00e8s direct aux donn\u00e9es sensibles\u2026), une composante fondamentale de la strat\u00e9gie de s\u00e9curisation d\u2019un syst\u00e8me.<\/p>\n

Un premier guide sur le sujet<\/a> fut diffus\u00e9 par l\u2019ANSSI en 2015, et a servi de cadre de r\u00e9f\u00e9rence pour des entreprises et administrations afin d\u2019appuyer leurs chantiers de mise en conformit\u00e9, par exemple dans le cadre des homologations de s\u00e9curit\u00e9 de leur syst\u00e8me. Depuis, l\u2019ANSSI a \u00e9chang\u00e9 avec les diff\u00e9rents acteurs du monde du SI et de sa s\u00e9curit\u00e9, b\u00e9n\u00e9fici\u00e9 de retours d\u2019exp\u00e9rience concernant l\u2019interpr\u00e9tation et l\u2019adoption de ce guide\u00a0et constat\u00e9 sur le terrain (\u00e0 travers audits, entretiens et \u00e9tudes documentaires notamment) son impl\u00e9mentation effective.<\/p>\n

Si elle ne bouleverse pas la ligne directrice, cette nouvelle version apporte de nombreuses clarifications et pr\u00e9cisions d\u2019importance sur les orientations fondamentales de l\u2019ANSSI et couvre certains non-dits, le tout dans une approche plus didactique et claire permettant une meilleure appropriation par les publics vis\u00e9s\u00a0: les sections sont r\u00e9organis\u00e9es, parfois \u00e9pur\u00e9es, et souvent accompagn\u00e9es de sch\u00e9mas de principe facilitant la compr\u00e9hension concr\u00e8te des attendus. Elle propose \u00e9galement quelques compl\u00e9ments sur l\u2019\u00e9tat de l\u2019art et la maturit\u00e9 de certaines solutions sp\u00e9cifiques.<\/p>\n

Des orientations fondamentales confirm\u00e9es
\n<\/strong><\/h2>\n

Au global, les niveaux d\u2019exigence sont conformes \u00e0 ceux de la premi\u00e8re version et les objectifs fondamentaux y sont confirm\u00e9s\u00a0: maximiser la protection du SI d\u2019administration et la protection du SI administr\u00e9 en cas de compromission du SI d\u2019administration, suivant le principe r\u00e9guli\u00e8rement mis en exergue de \u00ab\u00a0d\u00e9fense en profondeur\u00a0\u00bb<\/strong>.<\/p>\n

Entre autres, l\u2019ANSSI r\u00e9affirme la n\u00e9cessit\u00e9\u00a0:<\/p>\n