Description
ANSSI-LU - KPI et Recommandations
Owning organization
Validating JSON schema
Recommendations (provided by MONARC)
Creator
License
Creative Commons Zero v1.0 Universal
Related objects
Definition of the object
{
"authors": [
"Léon TREFF"
],
"label": "ANSSI-LU - KPI et Recommandations",
"language": "FR",
"refs": [
""
],
"uuid": "e1fa5a46-c673-4286-b933-2cede3450d6b",
"values": [
{
"code": "KPI-A26 - Efficacité du cours de sensibilisation lié à la sécurité de l'information",
"description": "Communiquer à l'entité l'importance d'atteindre les objectifs en matière de sécurité de l'information - Mesuré par des examens périodiques",
"importance": 0,
"uuid": "00faf1ff-9b20-4f24-b23f-cbb76f0678ef"
},
{
"code": "KPI-A32 - Nombre de comptes d'utilisateurs ayant accès au ressources d'information non-liées au rôle",
"description": "S'assurer que les systèmes d'information sont protégés par le principe du moindre privilège - Mesuré par des échantillonnages périodiques",
"importance": 0,
"uuid": "0370a596-e6bd-4862-a9d4-0b32838acb60"
},
{
"code": "RR-A08 - Implémentation d'un SDLC",
"description": "Implémentation des bonnes pratiques de développement de logiciels (SDLC = Software Development Life CYcle)",
"importance": 0,
"uuid": "0d2c0158-b257-49ef-9bce-d57ae706d2e2"
},
{
"code": "KPI-A18 - Couverture des patches et latence",
"description": "Identifier le nombre de jours pendant lesquels les systèmes sont laissés vulnérables et donc la possibilité d'exploiter les vulnérabilités des systèmes d'information",
"importance": 0,
"uuid": "0f8985e5-2d51-4479-8075-e6330be2e67f"
},
{
"code": "KPI-A02 - Nombre de visites accompagnées des externes et fournisseurs, selon les besoins",
"description": "S’assurer que les externes et fournisseurs sont accompagnés là où c'est nécessaire - Mesuré par des échantillonnages périodiques",
"importance": 0,
"uuid": "119fd0de-c062-4ac4-ae89-aaf193a03c7f"
},
{
"code": "RR-A15 - Absence de protection d'informations secrètes d'authentification",
"description": "Implémentation de politques/procédures/outils pour garantir la protection d'informations secrètes d'authentification",
"importance": 0,
"uuid": "15742beb-5f48-4ff0-95ff-247670b8fcde"
},
{
"code": "KPI-A09 - Revue des accords de service avec les tiers",
"description": "S'assurer que les contrats de maintenance sont toujours à jour - Revue annuelle ou en cas de changement du contrat",
"importance": 0,
"uuid": "1ac6f84e-cf77-4ef5-9011-9f51b34f3424"
},
{
"code": "KPI-A19 - Nombre de matériel non protégé par un antivirus / Nombre total de matériel",
"description": "S'assurer que le parc complet est bien protégé par un anti-virus - Mesuré en nombre de matériel non protégé par un antivirus / Nombre total de matériel",
"importance": 0,
"uuid": "1fd3ae36-6c0f-4a0e-ad42-a7cd0ba7ce59"
},
{
"code": "KPI-A27 - Couverture des formations sur les matériels ou logiciels utilisés",
"description": "Contrôler que les formations couvrent tous matériels et logiciels - Mesuré periodiquement",
"importance": 0,
"uuid": "20c003e1-cf88-4191-a9da-60b4271b6b9c"
},
{
"code": "KPI-A15 - Revues régulières des droits d'accès",
"description": "S'assurer que seulement les personnes ayant les permissions correctes ont accès à l'information à laquelle elles ont droit - Mesuré par des échantillonnages périodiques",
"importance": 0,
"uuid": "25e779b8-1b3d-4974-9fc3-01f950ee6552"
},
{
"code": "KPI-A13 - Efficacité de la procédure du contrôle d'accès",
"description": "S'assurer que les bons accès sont attribués et adaptés dans les plus brefs délais en cas de changement de service/sortie - Mesuré périodiquement contre la procédure du contrôle d'accès",
"importance": 0,
"uuid": "2841e1ee-fa14-4538-8eb4-3c1bfb97a294"
},
{
"code": "RR-A09 - Pentest des moyens de communications",
"description": "Tester la possibilité d'écoute passive des moyens de communications",
"importance": 0,
"uuid": "2bac0fb6-3a26-42eb-80d8-f479475f2786"
},
{
"code": "RR-A01 Implémentation d'une classification des actifs",
"description": "Implémenter une classification des actifs - Utiliser documents ENR_8-1_Outil_Inventaire_Sources_Actifs et ENR_8-2_Outil_Classification_Inventaire_Actifs",
"importance": 0,
"uuid": "50843dd7-b54d-4e04-aa1d-4e626808cc7e"
},
{
"code": "KPI-A10 - Nombre de personnel stratégique qui ont un suppléant",
"description": "S'assurer que le personnel stratégique a un (des) suppléant(s) pour assurer la continuité des services sous sa responsabilité - Mesuré en ratio du personnel stratégique avec et sans suppléant",
"importance": 0,
"uuid": "510c2894-3fbf-402f-9e3d-c0339fca8358"
},
{
"code": "RR-A05 - Effectuer Pentests",
"description": "Effecteuer des tests d'intrusion dans les systèmes pour évaluer les droits des utilisateurs et contournements",
"importance": 0,
"uuid": "57d2c798-b7e4-41d6-a27a-46a6073e7e22"
},
{
"code": "KPI-A01 - Nombre d’équipements disparus, détruits ou volés",
"description": "Par des externes - Mesuré périodiquement",
"importance": 0,
"uuid": "5d93b3c0-5ca1-43de-8083-143df5c3ecd9"
},
{
"code": "RR-A02 - Implémentation d'une gestion de dimensionnement (Capacity Management)",
"description": "Implémentation d'une gestion de dimensionnement (Capacity Management)",
"importance": 0,
"uuid": "5f39ba19-e231-4dac-a1bc-d4e7f5b8363e"
},
{
"code": "KPI-A06 - Efficacité de la charte de bonne conduite",
"description": "S'assurer que la charte de bonne conduite est connue par le personnel - Mesuré par le nombre de destinataires ayant reçu la charte de bonne conduite. Rappeler chaque année la charte de bonne conduite aux agents.",
"importance": 0,
"uuid": "6f292235-53b5-4c1a-9083-319b97fc5e71"
},
{
"code": "KPI-A30 - Qualité de gestion du niveau de service",
"description": "S'assurer de la qualité du service - Mesuré en nombre de dysfonctionnements/pannes par an",
"importance": 0,
"uuid": "7329bc6f-8f87-47e1-8fa5-44fd6d34822e"
},
{
"code": "KPI-A24 - Nombre de matériel mobile entrant à/sortant de l'entité",
"description": "S'assurer que le matériel mobile entrant à/sortant de l'entité est connu et correct à tout temps - Mesuré par des échantillonnages périodiques",
"importance": 0,
"uuid": "7a191a23-6b75-4ecb-be9a-cea4d4736d1e"
},
{
"code": "KPI-A23 - Nombre de matériel mobile chiffré",
"description": "S'assurer que le matériel mobile traitant de l'information sensible est chiffré - Mesuré par des échantillonnages périodiques",
"importance": 0,
"uuid": "7b5ed417-850a-45df-a9b4-fcee0f8ff71d"
},
{
"code": "KPI-A28 - Nombre d'erreurs d'utilisation en général",
"description": "Mesurer le nombre de tickets générés à cause d'erreurs d'utilisation liées à l'absence de documentation, règles ou procédures",
"importance": 0,
"uuid": "81c05eaf-fc19-4ec3-b5d2-6a6268490cb5"
},
{
"code": "KPI-A22 - Adhérence aux SLA's par le fournisseur",
"description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur",
"importance": 0,
"uuid": "84fd0d9b-24d1-4275-9545-a1e0c653a3aa"
},
{
"code": "KPI-A25 - Temps d'adaptation des permissions",
"description": "S'assurer que les procédures d'embauche et de changement de service sont effectifs (permissions) - Mesuré en temps écoulé entre demande et implémentation",
"importance": 0,
"uuid": "8af4cf63-898b-4e6a-89a7-85370b9f7bef"
},
{
"code": "KPI-A04 - Nombre d’équipements disparus, détruits ou volés",
"description": "Par des internes - Mesuré périodiquement",
"importance": 0,
"uuid": "8b973a45-11d7-424a-a502-b114fbd30558"
},
{
"code": "RR-A07 - Pentest développement",
"description": "Effectuer des revues de code et des tests d'intrusion",
"importance": 0,
"uuid": "930b6b9a-d30f-43ff-8f6d-11c9cad6a0ea"
},
{
"code": "RR-A10 - Cloisonner les environnements de développement, de test et de production",
"description": "Diminuer le risque d'erreurs (I) et de divulgation d'information (C)",
"importance": 0,
"uuid": "957e3193-5261-47ea-aad0-c61093e3b9fa"
},
{
"code": "KPI-A20 - Procédures liées au traitement des systèmes d'information",
"description": "S'assurer du fonctionnement correct et sécurisé des installations de traitement de l'information - Mesuré entre le nombre de processus et le nombre de procédures",
"importance": 0,
"uuid": "99bc0901-baa8-485a-b722-08bb2540d2b1"
},
{
"code": "RR-A18 - Minimaliser la possibilité d'administrer le système à distance",
"description": "Analyser les systèmes ayant la possibilité d’être administrés à distance - Retirer cette possibilité ou, en cas de nécessité, produire, revoir et suivre de près l'application des procédures",
"importance": 0,
"uuid": "a18ded3f-c4af-4c48-a8bc-e8b576da4344"
},
{
"code": "KPI-A12 - Taux de réalisation des revues d'habilitations",
"description": "S'assurer que les revues des accès se font comme planifiées - Mesuré en nombre de revues d’habilitations réalisées/ Nombre de revues d’habilitations planifiées",
"importance": 0,
"uuid": "a341c0d0-6f80-4e41-b8fa-339b45850a6a"
},
{
"code": "RR-A06 - Implémentation d'une gestion de backups",
"description": "Implémenter des bonnes pratiques de stockage des sauvegardes",
"importance": 0,
"uuid": "a512ebca-5daf-4a4e-ac8f-d26d2cec04fd"
},
{
"code": "KPI-A29 - Suivi du progrès de continuité (BCM)",
"description": "Existence, tests et revue du plan de reprise",
"importance": 0,
"uuid": "ab7535d6-068b-4f9b-bce5-dc5b1fa2e072"
},
{
"code": "KPI-A21 - Efficacité de la procédure de mise au rebut",
"description": "S'assurer que les systèmes et supports d'information n'ont plus de données résiduelles présentes - Mesuré periodiquement",
"importance": 0,
"uuid": "afc62888-4f29-4215-b668-5cc1de8b9f02"
},
{
"code": "KPI-A08 - Ergonomie des logiciels d'accès",
"description": "S'assurer de la facilité d'utilisation des logiciels d'accès - Mesuré par le nombre de tickets générés à cause d'erreurs d'utilisation des logiciels d'accès",
"importance": 0,
"uuid": "b6028245-2dc3-431d-b710-722911e1d839"
},
{
"code": "RR-A14 - Adoption/Création d'une charte de bonne conduite",
"description": "Instaurer une culture autour de la sécurité de l'information",
"importance": 0,
"uuid": "c1db8f23-d3e6-428f-a5df-67b7514af5d4"
},
{
"code": "KPI-A17 - Qualité de gestion du niveau de service",
"description": "S'assurer de la qualité du niveau de service - Mesuré en nombre de dysfonctionnements/pannes par an",
"importance": 0,
"uuid": "c4822528-8211-4959-ade2-ebb5458ff8fd"
},
{
"code": "RR-A17 - Effectuer une étude de continuité (BCM)",
"description": "Effectuer une étude BCM (Business Continuity Management) pour analyser les écarts et besoins en continuité des services",
"importance": 0,
"uuid": "c631a084-db8e-4356-a4cd-de7ff06b0856"
},
{
"code": "KPI-A05 - Nombre de NDA’s signés dans le délai prévu",
"description": "S’assurer que les externes et fournisseurs sont au courant des exigences de l’entité - Mesuré par des échantillonnages périodiques",
"importance": 0,
"uuid": "ca954180-92b7-49fe-b66c-ca219c15bba8"
},
{
"code": "RR-A12 - Enlever les droits d'administrateur local",
"description": "Éviter que les utilisateurs peuvent installer des programmes eux-mêmes",
"importance": 0,
"uuid": "ccba1e3b-1058-4d67-aec6-d9ee0eea5b10"
},
{
"code": "KPI-A03 - Revue régulière des accès physiques",
"description": "S'assurer qu'il y a un suivi stricte des accès physiques - Mesuré périodiquement en % de non-conformité",
"importance": 0,
"uuid": "dab1f8e6-12a3-428e-abd4-352fa6e5880f"
},
{
"code": "KPI-A14 - Conservation mensuelle des journaux",
"description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois - Contrôle ponctuel des systèmes pour assurer une gestion d’accès stricte.",
"importance": 0,
"uuid": "e4cb6ee9-b764-4e18-b3a7-78291c674020"
},
{
"code": "RR-A04 - Déplacement des actifs critiques",
"description": "Déplacement des actifs critiques vers des zones sécurisées",
"importance": 0,
"uuid": "e7bac196-04c8-4a72-b6b7-3bb6dd3d983a"
},
{
"code": "RR-A13 - Adoption/Création d'une politique de sécurité de l'information",
"description": "Implémenter les règles générales de la sécurité de l'information",
"importance": 0,
"uuid": "e85b7b66-6cf1-47d8-bda4-b13c9ca4b8bb"
},
{
"code": "KPI-A16 - Taux de sets de documentation à jour",
"description": "S'assurer que les sets de documentation sont à jour - Prendre un portrait instantané de l'état (en %) des politiques et procédures terminées qui appuient les logiciels d'accès",
"importance": 0,
"uuid": "eb2122db-d3b2-4fe4-af4c-7666f9ca8a15"
},
{
"code": "KPI-A07 - Nombre de fois que le fournisseur n'a pas respecté le SLA",
"description": "S'assurer que les contrats sont bien suivis/adaptés aux besoins de l'entité - Mesuré en suivant toutes les interventions par un fournisseur",
"importance": 0,
"uuid": "eb76ecb8-3a73-4c66-82f8-4db735965746"
},
{
"code": "RR-A03 - Implémentation d'une gestion des changements (Change Management)",
"description": "Implémentation d'une gestion des changements (Change Management)",
"importance": 0,
"uuid": "f0080535-125b-4e19-8943-f3a7bd4770a9"
},
{
"code": "RR-A11 - Appliquer la PSI / charte de bonne conduite",
"description": "Démotiver l'installation d'applications sans contrôle",
"importance": 0,
"uuid": "f73ec6ae-4384-412d-b2cd-fb308ac89420"
},
{
"code": "KPI-A11 - Qualité des backups",
"description": "S’assurer de la fonctionnalité et qualité des backups - Mesuré par exécution de tests de backups et de restauration de backups",
"importance": 0,
"uuid": "f89598a0-b77e-47bf-aabc-83f335304848"
},
{
"code": "RR-A16 - Absence de définition des responsabilités",
"description": "Implémentation et approbation d'un tableau RACI",
"importance": 0,
"uuid": "fd5e7bd0-e54d-49a5-9237-b5f645a1e4ef"
},
{
"code": "KPI-A31 - Suivi mensuel des journaux",
"description": "S’assurer de la réception et revue des journaux d’accès, au moins une fois par mois",
"importance": 0,
"uuid": "fe7caa31-f67f-41fc-94f5-d2f769e01fb0"
}
],
"version": 0
}