3.3.3 Accès internes à un SIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.4 Filtrage réseau (règle 10) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.1 Points de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.2 Besoins de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.4.3 Règles de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.4 Mise en œuvre du filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.4.1 Choix et mutualisation des dispositifs de filtrage . . . . . . . . . . . . 47
3.4.4.2 Listes d’autorisation et d’interdiction . . . . . . . . . . . . . . . . . . . 49
4 Sécurité de l’administration (règles 11 et 12) 50
4.1 Actions d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.2 Comptes d’administration (règle 11) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.2.1 Usage des comptes d’administration . . . . . . . . . . . . . . . . . . . . . . . . 51
4.2.2 Protection des comptes d’administration . . . . . . . . . . . . . . . . . . . . . . 54
4.3 Systèmes d’information d’administration (règle 12) . . . . . . . . . . . . . . . . . . . 56
4.3.1 Maîtrise des ressources d’administration . . . . . . . . . . . . . . . . . . . . . . 57
4.3.2 Un système d’information dédié aux actions d’administration . . . . . . . . . . 57
4.3.3 Poste d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.4 Réseau d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.5 Protocoles d’administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.3.6 Administration de plusieurs SI . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5 Gestion des identités et des accès (règles 13 à 15) 67
5.1 Identification (règle 13) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
5.1.1 Utilisation de comptes individuels . . . . . . . . . . . . . . . . . . . . . . . . . 67
5.1.2 Comptes inutilisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.1.3 Revues de comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2 Authentification (règle 14) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5.2.1 Secret d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
5.2.1.1 Sécurité du mécanisme d’authentification . . . . . . . . . . . . . . . . 71
5.2.1.2 Partage de secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.2.2 Renforcement de l’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 73
5.2.2.1 Cas des comptes privilégiés . . . . . . . . . . . . . . . . . . . . . . . . 73
5.2.3 Renouvellement des secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
5.2.3.1 Renouvellement régulier des secrets . . . . . . . . . . . . . . . . . . . 74
5.2.3.2 Renouvellement ponctuel des secrets . . . . . . . . . . . . . . . . . . 75
5.3 Droits d’accès (règle 15) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.3.1 Attribution des droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
5.3.2 Revue des droits d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
6 Maintien en conditions de sécurité (règle 16) 79
6.1 Procédure de maintien en conditions de sécurité . . . . . . . . . . . . . . . . . . . . . 79
6.2 Application des mises à jour de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . 80
6.2.1 Téléchargement de mises à jour fiables . . . . . . . . . . . . . . . . . . . . . . . 81
6.2.2 Application des mises à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.2.3 Gestion des systèmes obsolètes . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Annexe A Correspondance des règles NIS et LPM 83
RECOMMANDATIONS POUR LA PROTECTION DES SYSTÈMES D'INFORMATION ESSENTIELS –3
..