L’accès aux applications et aux données (fichiers, base de données) qui ont été classifiées comme importantes ou vitales, est réservé aux personnes autorisées et est interdit à toute autre personne, qu’elle soit interne ou externe à “l’organisation”.
e droit d’accès à chacune des ressources est accordé par le responsable des données, tel que défini dans la section 2 “Attributions des responsabilités”. Il définit également le type d’accès aux informations: lecture seule, modification ou droit de suppression.
C’est lui qui peut accorder, faire modifier ou supprimer tout droit d’accès à ces données.
La création du droit d’accès est techniquement mise en œuvre par le responsable de l’informatique.
Avant de créer un compte personnel pour un utilisateur, le responsable informatique s’assure que les gestionnaires des données ont donné leur accord pour l’accès aux différents groupes d’utilisateurs, disques, répertoires et applications. Il en profite pour passer en revue les membres des groupes et leurs droits.
La connexion à des réseaux externes, et en particulier à l’Internet, doit se faire dans des conditions appropriées.
Voici quelques scénarios possibles:
La connexion depuis un réseau extérieur vers les systèmes de “l’organisation” doit être restreinte aux cas indispensables. A ces occasions, la connexion se fait de façon préférentielle via VPN.
Dans le cadre de réseaux plus complexes comprenant différentes zones de sécurité, le pare-feu est utilisé pour séparer ces différents réseaux.
Le pare-feu est configuré de façon à laisser uniquement passer les flux et les utilisateurs autorisés.
Si une machine est trop sensible, elle est isolée du reste des systèmes, physiquement et/ou logiquement.
Voir aussi: La segmentation de réseau
Les écrans d’accueil sur les différents systèmes sont configurés de manière à: