PolSec Contrôle d'accès
 

Politique de contrôle d'accès

L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées comme importantes ou vitales, est réservé aux personnes autorisées et est interdit à toute autre personne, qu’elle soit interne ou externe à « l’organisation ».

Le droit d’accès à chacune des ressources est accordé par le responsable des données, tel que défini dans la section 2 « Attributions des responsabilités ». Il définit également le type d’accès aux informations : lecture seule, modification ou droit de suppression.

C’est lui qui peut accorder, faire modifier ou supprimer tout droit d’accès à ces données.

La création du droit d’accès est techniquement mise en œuvre par le responsable de l’informatique.

Gestion des droits d'accès

Avant de créer un compte personnel pour un utilisateur, le responsable informatique s’assure que les gestionnaires des données ont donné leur accord pour l’accès aux différents groupes d’utilisateurs, disques, répertoires et applications. Il en profite pour passer en revue les membres des groupes et leurs droits.

Utilisation de réseaux externes

La connexion à des réseaux externes, et en particulier à l'Internet, doit se faire dans des conditions appropriées.

Voici quelques scénarios possibles :

Connexion de l'extérieur

La connexion depuis un réseau extérieur vers les systèmes de « l’organisation » doit être restreinte aux cas indispensables. A ces occasions, la connexion se fait de façon préférentielle via VPN.

Appliquer des mesures de sécurité pour :

Séparation de réseaux

Dans le cadre de réseaux plus complexes comprenant différentes zones de sécurité, le pare-feu est utilisé pour séparer ces différents réseaux.

Le pare-feu est configuré de façon à laisser uniquement passer les flux et les utilisateurs autorisés.

Si une machine est trop sensible, elle est isolée du reste des systèmes, physiquement et/ou logiquement.

Voir aussi: La segmentation de réseau

Procédures de connexion

Les écrans d’accueil sur les différents systèmes sont configurés de manière à :

  • donner le minimum d’informations, et de préférence aucune sur le système, l’application et « l’organisation », tant que l’utilisateur ne s’est pas correctement identifié ;

  • afficher un message du type « Accès interdit à toute personne non autorisée » ;

  • limiter le nombre de tentatives à 3 essais avant de refuser l’utilisateur ;

  • afficher, si possible, la date et l’heure de la dernière connexion, ainsi que les tentatives de connexion. Ces informations sont à vérifier par l’utilisateur pour s'assurer qu’il n’y a pas eu de connexion frauduleuse à son insu.

Appliquer des mesures de sécurité pour :