Previous versions

Date: Sep 26, 2021, 8:21:57 PM
Date: Sep 26, 2021, 8:31:33 PM
Editor: Cedric
Editor: Cedric
Name: ANSSI-LU - KPI et Recommandations
Name: ANSSI-LU - KPI et Recommandations
Description: ANSSI-LU - KPI et Recommandations
Description: ANSSI-LU - KPI et Recommandations

t1{}t1{
2    "authors": [
3        "Léon TREFF"
4    ],
5    "label": "ANSSI-LU - KPI et Recommandations",
6    "language": "FR",
7    "refs": [
8        ""
9    ],
10    "uuid": "e1fa5a46-c673-4286-b933-2cede3450d6b",
11    "values": [
12        {
13            "code": "KPI-A26 - Efficacité du cours de sensibilisation lié à la sécurité de l'information",
14            "description": "Communiquer à l'entité l'importance d'atteindre les objectifs en matière de sécurité de l'information - Mesuré par des examens périodiques",
15            "importance": 2,
16            "uuid": "00faf1ff-9b20-4f24-b23f-cbb76f0678ef"
17        },
18        {
19            "code": "KPI-A32 - Nombre de comptes d'utilisateurs ayant accès au ressources d'information non-liées au rôle",
20            "description": "S'assurer que les systèmes d'information sont protégés par le principe du moindre privilège - Mesuré par des échantillonnages périodiques",
21            "importance": 2,
22            "uuid": "0370a596-e6bd-4862-a9d4-0b32838acb60"
23        },
24        {
25            "code": "RR-A08 - Implémentation d'un SDLC",
26            "description": "Implémentation des bonnes pratiques de développement de logiciels (SDLC = Software Development Life CYcle)",
27            "importance": 2,
28            "uuid": "0d2c0158-b257-49ef-9bce-d57ae706d2e2"
29        },
30        {
31            "code": "KPI-A18 - Couverture des patches et latence",
32            "description": "Identifier le nombre de jours pendant lesquels les systèmes sont laissés vulnérables et donc la possibilité d'exploiter les vulnérabilités des systèmes d'information",
33            "importance": 2,
34            "uuid": "0f8985e5-2d51-4479-8075-e6330be2e67f"
35        },
36        {
37            "code": "KPI-A02 - Nombre de visites accompagnées des externes et fournisseurs, selon les besoins",
38            "description": "S’assurer que les externes et fournisseurs sont accompagnés là où c'est nécessaire - Mesuré par des échantillonnages périodiques",
39            "importance": 2,
40            "uuid": "119fd0de-c062-4ac4-ae89-aaf193a03c7f"
41        },
42        {
43            "code": "RR-A15 - Absence de protection d'informations secrètes d'authentification",
44            "description": "Implémentation de politques/procédures/outils pour garantir la protection d'informations secrètes d'authentification",
45            "importance": 2,
46            "uuid": "15742beb-5f48-4ff0-95ff-247670b8fcde"
47        },
48        {
49            "code": "KPI-A09 - Revue des accords de service avec les tiers",
50            "description": "S'assurer que les contrats de maintenance sont toujours à jour  - Revue annuelle ou en cas de changement du contrat",
51            "importance": 2,
52            "uuid": "1ac6f84e-cf77-4ef5-9011-9f51b34f3424"
53        },
54        {
55            "code": "KPI-A19 - Nombre de matériel non protégé par un antivirus / Nombre total de matériel",
56            "description": "S'assurer que le parc complet est bien protégé par un anti-virus - Mesuré en nombre de matériel non protégé par un antivirus / Nombre total de matériel",
57            "importance": 2,
58            "uuid": "1fd3ae36-6c0f-4a0e-ad42-a7cd0ba7ce59"
59        },
60        {
61            "code": "KPI-A27 - Couverture des formations sur les matériels ou logiciels utilisés",
62            "description": "Contrôler que les formations couvrent tous matériels et logiciels - Mesuré periodiquement",
63            "importance": 2,
64            "uuid": "20c003e1-cf88-4191-a9da-60b4271b6b9c"
65        },
66        {
67            "code": "KPI-A15 - Revues régulières des droits d'accès",
68            "description": "S'assurer que seulement les personnes ayant les permissions correctes ont accès à l'information à laquelle elles ont droit - Mesuré par des échantillonnages périodiques",
69            "importance": 2,
70            "uuid": "25e779b8-1b3d-4974-9fc3-01f950ee6552"
71        },
72        {
73            "code": "KPI-A13 - Efficacité de la procédure du contrôle d'accès",
74            "description": "S'assurer que les bons accès sont attribués et adaptés dans les plus brefs délais en cas de changement de service/sortie - Mesuré périodiquement contre la procédure du contrôle d'accès",
75            "importance": 2,
76            "uuid": "2841e1ee-fa14-4538-8eb4-3c1bfb97a294"
77        },
78        {
79            "code": "RR-A09 - Pentest des moyens de communications",
80            "description": "Tester la possibilité d'écoute passive des moyens de communications",
81            "importance": 2,
82            "uuid": "2bac0fb6-3a26-42eb-80d8-f479475f2786"
83        },
84        {
85            "code": "RR-A01 Implémentation d'une classification des actifs",
86            "description": "Implémenter une classification des actifs - Utiliser documents ENR_8-1_Outil_Inventaire_Sources_Actifs et ENR_8-2_Outil_Classification_Inventaire_Actifs",
87            "importance": 2,
88            "uuid": "50843dd7-b54d-4e04-aa1d-4e626808cc7e"
89        },
90        {
91            "code": "KPI-A10 - Nombre de personnel stratégique qui ont un suppléant",
92            "description": "S'assurer que le personnel stratégique a un (des) suppléant(s) pour assurer la continuité des services sous sa responsabilité - Mesuré en ratio du personnel stratégique avec et sans suppléant",
93            "importance": 2,
94            "uuid": "510c2894-3fbf-402f-9e3d-c0339fca8358"
95        },
96        {
97            "code": "RR-A05 - Effectuer Pentests",
98            "description": "Effecteuer des tests d'intrusion dans les systèmes pour évaluer les droits des utilisateurs et contournements",
99            "importance": 2,
100            "uuid": "57d2c798-b7e4-41d6-a27a-46a6073e7e22"
101        },
102        {
103            "code": "KPI-A01 - Nombre d’équipements disparus, détruits ou volés",
104            "description": "Par des externes - Mesuré périodiquement",
105            "importance": 2,
106            "uuid": "5d93b3c0-5ca1-43de-8083-143df5c3ecd9"
107        },
108        {
109            "code": "RR-A02 - Implémentation d'une gestion de dimensionnement (Capacity Management)",
110            "description": "Implémentation d'une gestion de dimensionnement (Capacity Management)",
111            "importance": 2,
112            "uuid": "5f39ba19-e231-4dac-a1bc-d4e7f5b8363e"
113        },
114        {
115            "code": "KPI-A06 - Efficacité de la charte de bonne conduite",
116            "description": "S'assurer que la charte de bonne conduite est connue par le personnel - Mesuré par le nombre de destinataires ayant reçu la charte de bonne conduite. Rappeler chaque année la charte de bonne conduite aux agents.",
117            "importance": 2,
118            "uuid": "6f292235-53b5-4c1a-9083-319b97fc5e71"
119        },
120        {
121            "code": "KPI-A30 - Qualité de gestion du niveau de service",
122            "description": "S'assurer de la qualité du service - Mesuré en nombre de dysfonctionnements/pannes par an",
123            "importance": 2,
124            "uuid": "7329bc6f-8f87-47e1-8fa5-44fd6d34822e"
125        },
126        {
127            "code": "KPI-A24 - Nombre de matériel mobile entrant à/sortant de l'entité",
128            "description": "S'assurer que le matériel mobile entrant à/sortant de l'entité est connu et correct à tout temps - Mesuré par des échantillonnages périodiques",
129            "importance": 2,
130            "uuid": "7a191a23-6b75-4ecb-be9a-cea4d4736d1e"
131        },
132        {
133            "code": "KPI-A23 - Nombre de matériel mobile chiffré",
134            "description": "S'assurer que le matériel mobile traitant de l'information sensible est chiffré - Mesuré par des échantillonnages périodiques",
135            "importance": 2,
136            "uuid": "7b5ed417-850a-45df-a9b4-fcee0f8ff71d"
137        },
138        {
139            "code": "KPI-A28 - Nombre d'erreurs d'utilisation en général",
140            "description": "Mesurer le nombre de tickets générés à cause d'erreurs d'utilisation liées à l'absence de documentation, règles ou procédures",
141            "importance": 2,
142            "uuid": "81c05eaf-fc19-4ec3-b5d2-6a6268490cb5"
143        },
144        {
145            "code": "KPI-A22 - Adhérence aux SLA's par le fournisseur",
146            "description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur",
147            "importance": 2,
148            "uuid": "84fd0d9b-24d1-4275-9545-a1e0c653a3aa"
149        },
150        {
151            "code": "KPI-A25 - Temps d'adaptation des permissions",
152            "description": "S'assurer que les procédures d'embauche et de changement de service sont effectifs (permissions) - Mesuré en temps écoulé entre demande et implémentation",
153            "importance": 2,
154            "uuid": "8af4cf63-898b-4e6a-89a7-85370b9f7bef"
155        },
156        {
157            "code": "KPI-A04 - Nombre d’équipements disparus, détruits ou volés",
158            "description": "Par des internes - Mesuré périodiquement",
159            "importance": 2,
160            "uuid": "8b973a45-11d7-424a-a502-b114fbd30558"
161        },
162        {
163            "code": "RR-A07 - Pentest développement",
164            "description": "Effectuer des revues de code et des tests d'intrusion",
165            "importance": 2,
166            "uuid": "930b6b9a-d30f-43ff-8f6d-11c9cad6a0ea"
167        },
168        {
169            "code": "RR-A10 - Cloisonner les environnements de développement, de test et de production",
170            "description": "Diminuer le risque d'erreurs (I) et de divulgation d'information (C)",
171            "importance": 3,
172            "uuid": "957e3193-5261-47ea-aad0-c61093e3b9fa"
173        },
174        {
175            "code": "KPI-A20 - Procédures liées au traitement des systèmes d'information",
176            "description": "S'assurer du fonctionnement correct et sécurisé des installations de traitement de l'information - Mesuré entre le nombre de processus et le nombre de procédures",
177            "importance": 2,
178            "uuid": "99bc0901-baa8-485a-b722-08bb2540d2b1"
179        },
180        {
181            "code": "RR-A18 - Minimaliser la possibilité d'administrer le système à distance",
182            "description": "Analyser les systèmes ayant la possibilité d’être administrés à distance - Retirer cette possibilité ou, en cas de nécessité, produire, revoir et suivre de près l'application des procédures",
183            "importance": 3,
184            "uuid": "a18ded3f-c4af-4c48-a8bc-e8b576da4344"
185        },
186        {
187            "code": "KPI-A12 - Taux de réalisation des revues d'habilitations",
188            "description": "S'assurer que les revues des accès se font comme planifiées - Mesuré en nombre de revues d’habilitations réalisées/ Nombre de revues d’habilitations planifiées",
189            "importance": 2,
190            "uuid": "a341c0d0-6f80-4e41-b8fa-339b45850a6a"
191        },
192        {
193            "code": "RR-A06 - Implémentation d'une gestion de backups",
194            "description": "Implémenter des bonnes pratiques de stockage des sauvegardes",
195            "importance": 2,
196            "uuid": "a512ebca-5daf-4a4e-ac8f-d26d2cec04fd"
197        },
198        {
199            "code": "KPI-A29 - Suivi du progrès de continuité (BCM)",
200            "description": "Existence, tests et revue du plan de reprise",
201            "importance": 3,
202            "uuid": "ab7535d6-068b-4f9b-bce5-dc5b1fa2e072"
203        },
204        {
205            "code": "KPI-A21 - Efficacité de la procédure de mise au rebut",
206            "description": "S'assurer que les systèmes et supports d'information n'ont plus de données résiduelles présentes - Mesuré periodiquement",
207            "importance": 2,
208            "uuid": "afc62888-4f29-4215-b668-5cc1de8b9f02"
209        },
210        {
211            "code": "KPI-A08 - Ergonomie des logiciels d'accès",
212            "description": "S'assurer de la facilité d'utilisation des logiciels d'accès - Mesuré par le nombre de tickets générés à cause d'erreurs d'utilisation des logiciels d'accès",
213            "importance": 2,
214            "uuid": "b6028245-2dc3-431d-b710-722911e1d839"
215        },
216        {
217            "code": "RR-A14 - Adoption/Création d'une charte de bonne conduite",
218            "description": "Instaurer une culture autour de la sécurité de l'information",
219            "importance": 2,
220            "uuid": "c1db8f23-d3e6-428f-a5df-67b7514af5d4"
221        },
222        {
223            "code": "KPI-A17 - Qualité de gestion du niveau de service",
224            "description": "S'assurer de la qualité du niveau de service - Mesuré en nombre de dysfonctionnements/pannes par an",
225            "importance": 2,
226            "uuid": "c4822528-8211-4959-ade2-ebb5458ff8fd"
227        },
228        {
229            "code": "RR-A17 - Effectuer une étude de continuité (BCM)",
230            "description": "Effectuer une étude BCM (Business Continuity Management) pour analyser les écarts et besoins en continuité des services",
231            "importance": 3,
232            "uuid": "c631a084-db8e-4356-a4cd-de7ff06b0856"
233        },
234        {
235            "code": "KPI-A05 - Nombre de NDA’s signés dans le délai prévu",
236            "description": "S’assurer que les externes et fournisseurs sont au courant des exigences de l’entité - Mesuré par des échantillonnages périodiques",
237            "importance": 2,
238            "uuid": "ca954180-92b7-49fe-b66c-ca219c15bba8"
239        },
240        {
241            "code": "RR-A12 - Enlever les droits d'administrateur local",
242            "description": "Éviter que les utilisateurs peuvent installer des programmes eux-mêmes",
243            "importance": 2,
244            "uuid": "ccba1e3b-1058-4d67-aec6-d9ee0eea5b10"
245        },
246        {
247            "code": "KPI-A03 - Revue régulière des accès physiques",
248            "description": "S'assurer qu'il y a un suivi stricte des accès physiques - Mesuré périodiquement en % de non-conformité",
249            "importance": 2,
250            "uuid": "dab1f8e6-12a3-428e-abd4-352fa6e5880f"
251        },
252        {
253            "code": "KPI-A14 - Conservation mensuelle des journaux",
254            "description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois - Contrôle ponctuel des systèmes pour assurer une gestion d’accès stricte.",
255            "importance": 2,
256            "uuid": "e4cb6ee9-b764-4e18-b3a7-78291c674020"
257        },
258        {
259            "code": "RR-A04 - Déplacement des actifs critiques",
260            "description": "Déplacement des actifs critiques vers des zones sécurisées",
261            "importance": 2,
262            "uuid": "e7bac196-04c8-4a72-b6b7-3bb6dd3d983a"
263        },
264        {
265            "code": "RR-A13 - Adoption/Création d'une politique de sécurité de l'information",
266            "description": "Implémenter les règles générales de la sécurité de l'information",
267            "importance": 2,
268            "uuid": "e85b7b66-6cf1-47d8-bda4-b13c9ca4b8bb"
269        },
270        {
271            "code": "KPI-A16 - Taux de sets de documentation à jour",
272            "description": "S'assurer que les sets de documentation sont à jour - Prendre un portrait instantané de l'état (en %) des politiques et procédures terminées qui appuient les logiciels d'accès",
273            "importance": 2,
274            "uuid": "eb2122db-d3b2-4fe4-af4c-7666f9ca8a15"
275        },
276        {
277            "code": "KPI-A07 - Nombre de fois que le fournisseur n'a pas respecté le SLA",
278            "description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur",
279            "importance": 2,
280            "uuid": "eb76ecb8-3a73-4c66-82f8-4db735965746"
281        },
282        {
283            "code": "RR-A03 - Implémentation d'une gestion des changements (Change Management)",
284            "description": "Implémentation d'une gestion des changements (Change Management)",
285            "importance": 2,
286            "uuid": "f0080535-125b-4e19-8943-f3a7bd4770a9"
287        },
288        {
289            "code": "RR-A11 - Appliquer la PSI / charte de bonne conduite",
290            "description": "Démotiver l'installation d'applications sans contrôle",
291            "importance": 2,
292            "uuid": "f73ec6ae-4384-412d-b2cd-fb308ac89420"
293        },
294        {
295            "code": "KPI-A11 - Qualité des backups",
296            "description": "S’assurer de la fonctionnalité et qualité des backups  - Mesuré par exécution de tests de backups et de restauration de backups",
297            "importance": 2,
298            "uuid": "f89598a0-b77e-47bf-aabc-83f335304848"
299        },
300        {
301            "code": "RR-A16 - Absence de définition des responsabilités",
302            "description": "Implémentation et approbation d'un tableau RACI",
303            "importance": 3,
304            "uuid": "fd5e7bd0-e54d-49a5-9237-b5f645a1e4ef"
305        },
306        {
307            "code": "KPI-A31 - Suivi mensuel des journaux",
308            "description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois",
309            "importance": 2,
310            "uuid": "fe7caa31-f67f-41fc-94f5-d2f769e01fb0"
311        }
312    ],
313    "version": 0
314}