{ "authors": [ "L\u00e9on TREFF" ], "label": "ANSSI-LU - KPI et Recommandations", "language": "FR", "refs": [ "" ], "uuid": "e1fa5a46-c673-4286-b933-2cede3450d6b", "values": [ { "code": "KPI-A26 - Efficacit\u00e9 du cours de sensibilisation li\u00e9 \u00e0 la s\u00e9curit\u00e9 de l'information", "description": "Communiquer \u00e0 l'entit\u00e9 l'importance d'atteindre les objectifs en mati\u00e8re de s\u00e9curit\u00e9 de l'information - Mesur\u00e9 par des examens p\u00e9riodiques", "importance": 0, "uuid": "00faf1ff-9b20-4f24-b23f-cbb76f0678ef" }, { "code": "KPI-A32 - Nombre de comptes d'utilisateurs ayant acc\u00e8s au ressources d'information non-li\u00e9es au r\u00f4le", "description": "S'assurer que les syst\u00e8mes d'information sont prot\u00e9g\u00e9s par le principe du moindre privil\u00e8ge - Mesur\u00e9 par des \u00e9chantillonnages p\u00e9riodiques", "importance": 0, "uuid": "0370a596-e6bd-4862-a9d4-0b32838acb60" }, { "code": "RR-A08 - Impl\u00e9mentation d'un SDLC", "description": "Impl\u00e9mentation des bonnes pratiques de d\u00e9veloppement de logiciels (SDLC = Software Development Life CYcle)", "importance": 0, "uuid": "0d2c0158-b257-49ef-9bce-d57ae706d2e2" }, { "code": "KPI-A18 - Couverture des patches et latence", "description": "Identifier le nombre de jours pendant lesquels les syst\u00e8mes sont laiss\u00e9s vuln\u00e9rables et donc la possibilit\u00e9 d'exploiter les vuln\u00e9rabilit\u00e9s des syst\u00e8mes d'information", "importance": 0, "uuid": "0f8985e5-2d51-4479-8075-e6330be2e67f" }, { "code": "KPI-A02 - Nombre de visites accompagn\u00e9es des externes et fournisseurs, selon les besoins", "description": "S\u2019assurer que les externes et fournisseurs sont accompagn\u00e9s l\u00e0 o\u00f9 c'est n\u00e9cessaire - Mesur\u00e9 par des \u00e9chantillonnages p\u00e9riodiques", "importance": 0, "uuid": "119fd0de-c062-4ac4-ae89-aaf193a03c7f" }, { "code": "RR-A15 - Absence de protection d'informations secr\u00e8tes d'authentification", "description": "Impl\u00e9mentation de politques/proc\u00e9dures/outils pour garantir la protection d'informations secr\u00e8tes d'authentification", "importance": 0, "uuid": "15742beb-5f48-4ff0-95ff-247670b8fcde" }, { "code": "KPI-A09 - Revue des accords de service avec les tiers", "description": "S'assurer que les contrats de maintenance sont toujours \u00e0 jour - Revue annuelle ou en cas de changement du contrat", "importance": 0, "uuid": "1ac6f84e-cf77-4ef5-9011-9f51b34f3424" }, { "code": "KPI-A19 - Nombre de mat\u00e9riel non prot\u00e9g\u00e9 par un antivirus / Nombre total de mat\u00e9riel", "description": "S'assurer que le parc complet est bien prot\u00e9g\u00e9 par un anti-virus - Mesur\u00e9 en nombre de mat\u00e9riel non prot\u00e9g\u00e9 par un antivirus / Nombre total de mat\u00e9riel", "importance": 0, "uuid": "1fd3ae36-6c0f-4a0e-ad42-a7cd0ba7ce59" }, { "code": "KPI-A27 - Couverture des formations sur les mat\u00e9riels ou logiciels utilis\u00e9s", "description": "Contr\u00f4ler que les formations couvrent tous mat\u00e9riels et logiciels - Mesur\u00e9 periodiquement", "importance": 0, "uuid": "20c003e1-cf88-4191-a9da-60b4271b6b9c" }, { "code": "KPI-A15 - Revues r\u00e9guli\u00e8res des droits d'acc\u00e8s", "description": "S'assurer que seulement les personnes ayant les permissions correctes ont acc\u00e8s \u00e0 l'information \u00e0 laquelle elles ont droit - Mesur\u00e9 par des \u00e9chantillonnages p\u00e9riodiques", "importance": 0, "uuid": "25e779b8-1b3d-4974-9fc3-01f950ee6552" }, { "code": "KPI-A13 - Efficacit\u00e9 de la proc\u00e9dure du contr\u00f4le d'acc\u00e8s", "description": "S'assurer que les bons acc\u00e8s sont attribu\u00e9s et adapt\u00e9s dans les plus brefs d\u00e9lais en cas de changement de service/sortie - Mesur\u00e9 p\u00e9riodiquement contre la proc\u00e9dure du contr\u00f4le d'acc\u00e8s", "importance": 0, "uuid": "2841e1ee-fa14-4538-8eb4-3c1bfb97a294" }, { "code": "RR-A09 - Pentest des moyens de communications", "description": "Tester la possibilit\u00e9 d'\u00e9coute passive des moyens de communications", "importance": 0, "uuid": "2bac0fb6-3a26-42eb-80d8-f479475f2786" }, { "code": "RR-A01 Impl\u00e9mentation d'une classification des actifs", "description": "Impl\u00e9menter une classification des actifs - Utiliser documents ENR_8-1_Outil_Inventaire_Sources_Actifs et ENR_8-2_Outil_Classification_Inventaire_Actifs", "importance": 0, "uuid": "50843dd7-b54d-4e04-aa1d-4e626808cc7e" }, { "code": "KPI-A10 - Nombre de personnel strat\u00e9gique qui ont un suppl\u00e9ant", "description": "S'assurer que le personnel strat\u00e9gique a un (des) suppl\u00e9ant(s) pour assurer la continuit\u00e9 des services sous sa responsabilit\u00e9 - Mesur\u00e9 en ratio du personnel strat\u00e9gique avec et sans suppl\u00e9ant", "importance": 0, "uuid": "510c2894-3fbf-402f-9e3d-c0339fca8358" }, { "code": "RR-A05 - Effectuer Pentests", "description": "Effecteuer des tests d'intrusion dans les syst\u00e8mes pour \u00e9valuer les droits des utilisateurs et contournements", "importance": 0, "uuid": "57d2c798-b7e4-41d6-a27a-46a6073e7e22" }, { "code": "KPI-A01 - Nombre d\u2019\u00e9quipements disparus, d\u00e9truits ou vol\u00e9s", "description": "Par des externes - Mesur\u00e9 p\u00e9riodiquement", "importance": 0, "uuid": "5d93b3c0-5ca1-43de-8083-143df5c3ecd9" }, { "code": "RR-A02 - Impl\u00e9mentation d'une gestion de dimensionnement (Capacity Management)", "description": "Impl\u00e9mentation d'une gestion de dimensionnement (Capacity Management)", "importance": 0, "uuid": "5f39ba19-e231-4dac-a1bc-d4e7f5b8363e" }, { "code": "KPI-A06 - Efficacit\u00e9 de la charte de bonne conduite", "description": "S'assurer que la charte de bonne conduite est connue par le personnel - Mesur\u00e9 par le nombre de destinataires ayant re\u00e7u la charte de bonne conduite. Rappeler chaque ann\u00e9e la charte de bonne conduite aux agents.", "importance": 0, "uuid": "6f292235-53b5-4c1a-9083-319b97fc5e71" }, { "code": "KPI-A30 - Qualit\u00e9 de gestion du niveau de service", "description": "S'assurer de la qualit\u00e9 du service - Mesur\u00e9 en nombre de dysfonctionnements/pannes par an", "importance": 0, "uuid": "7329bc6f-8f87-47e1-8fa5-44fd6d34822e" }, { "code": "KPI-A24 - Nombre de mat\u00e9riel mobile entrant \u00e0/sortant de l'entit\u00e9", "description": "S'assurer que le mat\u00e9riel mobile entrant \u00e0/sortant de l'entit\u00e9 est connu et correct \u00e0 tout temps - Mesur\u00e9 par des \u00e9chantillonnages p\u00e9riodiques", "importance": 0, "uuid": "7a191a23-6b75-4ecb-be9a-cea4d4736d1e" }, { "code": "KPI-A23 - Nombre de mat\u00e9riel mobile chiffr\u00e9", "description": "S'assurer que le mat\u00e9riel mobile traitant de l'information sensible est chiffr\u00e9 - Mesur\u00e9 par des \u00e9chantillonnages p\u00e9riodiques", "importance": 0, "uuid": "7b5ed417-850a-45df-a9b4-fcee0f8ff71d" }, { "code": "KPI-A28 - Nombre d'erreurs d'utilisation en g\u00e9n\u00e9ral", "description": "Mesurer le nombre de tickets g\u00e9n\u00e9r\u00e9s \u00e0 cause d'erreurs d'utilisation li\u00e9es \u00e0 l'absence de documentation, r\u00e8gles ou proc\u00e9dures", "importance": 0, "uuid": "81c05eaf-fc19-4ec3-b5d2-6a6268490cb5" }, { "code": "KPI-A22 - Adh\u00e9rence aux SLA's par le fournisseur", "description": "S'assurer que les contrats sont bien suivis/adapt\u00e9s aux besoins de l'entit\u00e9 - Mesur\u00e9 en suivant toutes les interventions par un fournisseur", "importance": 0, "uuid": "84fd0d9b-24d1-4275-9545-a1e0c653a3aa" }, { "code": "KPI-A25 - Temps d'adaptation des permissions", "description": "S'assurer que les proc\u00e9dures d'embauche et de changement de service sont effectifs (permissions) - Mesur\u00e9 en temps \u00e9coul\u00e9 entre demande et impl\u00e9mentation", "importance": 0, "uuid": "8af4cf63-898b-4e6a-89a7-85370b9f7bef" }, { "code": "KPI-A04 - Nombre d\u2019\u00e9quipements disparus, d\u00e9truits ou vol\u00e9s", "description": "Par des internes - Mesur\u00e9 p\u00e9riodiquement", "importance": 0, "uuid": "8b973a45-11d7-424a-a502-b114fbd30558" }, { "code": "RR-A07 - Pentest d\u00e9veloppement", "description": "Effectuer des revues de code et des tests d'intrusion", "importance": 0, "uuid": "930b6b9a-d30f-43ff-8f6d-11c9cad6a0ea" }, { "code": "RR-A10 - Cloisonner les environnements de d\u00e9veloppement, de test et de production", "description": "Diminuer le risque d'erreurs (I) et de divulgation d'information (C)", "importance": 0, "uuid": "957e3193-5261-47ea-aad0-c61093e3b9fa" }, { "code": "KPI-A20 - Proc\u00e9dures li\u00e9es au traitement des syst\u00e8mes d'information", "description": "S'assurer du fonctionnement correct et s\u00e9curis\u00e9 des installations de traitement de l'information - Mesur\u00e9 entre le nombre de processus et le nombre de proc\u00e9dures", "importance": 0, "uuid": "99bc0901-baa8-485a-b722-08bb2540d2b1" }, { "code": "RR-A18 - Minimaliser la possibilit\u00e9 d'administrer le syst\u00e8me \u00e0 distance", "description": "Analyser les syst\u00e8mes ayant la possibilit\u00e9 d\u2019\u00eatre administr\u00e9s \u00e0 distance - Retirer cette possibilit\u00e9 ou, en cas de n\u00e9cessit\u00e9, produire, revoir et suivre de pr\u00e8s l'application des proc\u00e9dures", "importance": 0, "uuid": "a18ded3f-c4af-4c48-a8bc-e8b576da4344" }, { "code": "KPI-A12 - Taux de r\u00e9alisation des revues d'habilitations", "description": "S'assurer que les revues des acc\u00e8s se font comme planifi\u00e9es - Mesur\u00e9 en nombre de revues d\u2019habilitations r\u00e9alis\u00e9es/ Nombre de revues d\u2019habilitations planifi\u00e9es", "importance": 0, "uuid": "a341c0d0-6f80-4e41-b8fa-339b45850a6a" }, { "code": "RR-A06 - Impl\u00e9mentation d'une gestion de backups", "description": "Impl\u00e9menter des bonnes pratiques de stockage des sauvegardes", "importance": 0, "uuid": "a512ebca-5daf-4a4e-ac8f-d26d2cec04fd" }, { "code": "KPI-A29 - Suivi du progr\u00e8s de continuit\u00e9 (BCM)", "description": "Existence, tests et revue du plan de reprise", "importance": 0, "uuid": "ab7535d6-068b-4f9b-bce5-dc5b1fa2e072" }, { "code": "KPI-A21 - Efficacit\u00e9 de la proc\u00e9dure de mise au rebut", "description": "S'assurer que les syst\u00e8mes et supports d'information n'ont plus de donn\u00e9es r\u00e9siduelles pr\u00e9sentes - Mesur\u00e9 periodiquement", "importance": 0, "uuid": "afc62888-4f29-4215-b668-5cc1de8b9f02" }, { "code": "KPI-A08 - Ergonomie des logiciels d'acc\u00e8s", "description": "S'assurer de la facilit\u00e9 d'utilisation des logiciels d'acc\u00e8s - Mesur\u00e9 par le nombre de tickets g\u00e9n\u00e9r\u00e9s \u00e0 cause d'erreurs d'utilisation des logiciels d'acc\u00e8s", "importance": 0, "uuid": "b6028245-2dc3-431d-b710-722911e1d839" }, { "code": "RR-A14 - Adoption/Cr\u00e9ation d'une charte de bonne conduite", "description": "Instaurer une culture autour de la s\u00e9curit\u00e9 de l'information", "importance": 0, "uuid": "c1db8f23-d3e6-428f-a5df-67b7514af5d4" }, { "code": "KPI-A17 - Qualit\u00e9 de gestion du niveau de service", "description": "S'assurer de la qualit\u00e9 du niveau de service - Mesur\u00e9 en nombre de dysfonctionnements/pannes par an", "importance": 0, "uuid": "c4822528-8211-4959-ade2-ebb5458ff8fd" }, { "code": "RR-A17 - Effectuer une \u00e9tude de continuit\u00e9 (BCM)", "description": "Effectuer une \u00e9tude BCM (Business Continuity Management) pour analyser les \u00e9carts et besoins en continuit\u00e9 des services", "importance": 0, "uuid": "c631a084-db8e-4356-a4cd-de7ff06b0856" }, { "code": "KPI-A05 - Nombre de NDA\u2019s sign\u00e9s dans le d\u00e9lai pr\u00e9vu", "description": "S\u2019assurer que les externes et fournisseurs sont au courant des exigences de l\u2019entit\u00e9 - Mesur\u00e9 par des \u00e9chantillonnages p\u00e9riodiques", "importance": 0, "uuid": "ca954180-92b7-49fe-b66c-ca219c15bba8" }, { "code": "RR-A12 - Enlever les droits d'administrateur local", "description": "\u00c9viter que les utilisateurs peuvent installer des programmes eux-m\u00eames", "importance": 0, "uuid": "ccba1e3b-1058-4d67-aec6-d9ee0eea5b10" }, { "code": "KPI-A03 - Revue r\u00e9guli\u00e8re des acc\u00e8s physiques", "description": "S'assurer qu'il y a un suivi stricte des acc\u00e8s physiques - Mesur\u00e9 p\u00e9riodiquement en % de non-conformit\u00e9", "importance": 0, "uuid": "dab1f8e6-12a3-428e-abd4-352fa6e5880f" }, { "code": "KPI-A14 - Conservation mensuelle des journaux", "description": "S\u2019assurer de la r\u00e9ception et revue des journaux d\u2019acc\u00e8s, au moins une fois par mois - Contr\u00f4le ponctuel des syst\u00e8mes pour assurer une gestion d\u2019acc\u00e8s stricte.", "importance": 0, "uuid": "e4cb6ee9-b764-4e18-b3a7-78291c674020" }, { "code": "RR-A04 - D\u00e9placement des actifs critiques", "description": "D\u00e9placement des actifs critiques vers des zones s\u00e9curis\u00e9es", "importance": 0, "uuid": "e7bac196-04c8-4a72-b6b7-3bb6dd3d983a" }, { "code": "RR-A13 - Adoption/Cr\u00e9ation d'une politique de s\u00e9curit\u00e9 de l'information", "description": "Impl\u00e9menter les r\u00e8gles g\u00e9n\u00e9rales de la s\u00e9curit\u00e9 de l'information", "importance": 0, "uuid": "e85b7b66-6cf1-47d8-bda4-b13c9ca4b8bb" }, { "code": "KPI-A16 - Taux de sets de documentation \u00e0 jour", "description": "S'assurer que les sets de documentation sont \u00e0 jour - Prendre un portrait instantan\u00e9 de l'\u00e9tat (en %) des politiques et proc\u00e9dures termin\u00e9es qui appuient les logiciels d'acc\u00e8s", "importance": 0, "uuid": "eb2122db-d3b2-4fe4-af4c-7666f9ca8a15" }, { "code": "KPI-A07 - Nombre de fois que le fournisseur n'a pas respect\u00e9 le SLA", "description": "S'assurer que les contrats sont bien suivis/adapt\u00e9s aux besoins de l'entit\u00e9 - Mesur\u00e9 en suivant toutes les interventions par un fournisseur", "importance": 0, "uuid": "eb76ecb8-3a73-4c66-82f8-4db735965746" }, { "code": "RR-A03 - Impl\u00e9mentation d'une gestion des changements (Change Management)", "description": "Impl\u00e9mentation d'une gestion des changements (Change Management)", "importance": 0, "uuid": "f0080535-125b-4e19-8943-f3a7bd4770a9" }, { "code": "RR-A11 - Appliquer la PSI / charte de bonne conduite", "description": "D\u00e9motiver l'installation d'applications sans contr\u00f4le", "importance": 0, "uuid": "f73ec6ae-4384-412d-b2cd-fb308ac89420" }, { "code": "KPI-A11 - Qualit\u00e9 des backups", "description": "S\u2019assurer de la fonctionnalit\u00e9 et qualit\u00e9 des backups - Mesur\u00e9 par ex\u00e9cution de tests de backups et de restauration de backups", "importance": 0, "uuid": "f89598a0-b77e-47bf-aabc-83f335304848" }, { "code": "RR-A16 - Absence de d\u00e9finition des responsabilit\u00e9s", "description": "Impl\u00e9mentation et approbation d'un tableau RACI", "importance": 0, "uuid": "fd5e7bd0-e54d-49a5-9237-b5f645a1e4ef" }, { "code": "KPI-A31 - Suivi mensuel des journaux", "description": "S\u2019assurer de la r\u00e9ception et revue des journaux d\u2019acc\u00e8s, au moins une fois par mois", "importance": 0, "uuid": "fe7caa31-f67f-41fc-94f5-d2f769e01fb0" } ], "version": 0 }