Applications
Chaque application hérite du niveau de sensibilité des informations qu’elle génère, traite, stocke, met à disposition et diffuse. Voici les normes minimales de sécurité applicative à appliquer en fonction du niveau de sensibilité ainsi déterminé :
EXIGENCE |
DESCRIPTION ET RECOMMANDATIONS |
Sensibilité faible |
Sensibilité moyenne |
Sensibilité élevée |
Mise à jour |
Utilisez une brique applicative maintenue par l’éditeur. |
ü | ü | ü |
Gestion des vulnérabilités |
Sur la base des informations transmises par le service de supervision continue des vulnérabilités applicatives et web géré par l’équipe de sécurité du SI (Nessus et Dorkbot), traitez les vulnérabilités Critical sans aucun délai injustifié et les autres vulnérabilités High et Medium dans un délai raisonnable. |
ü | ü | ü |
Inventaire |
Maintenez un inventaire des applications sous votre responsabilité. À une application doit être associée l’identité d’un gestionnaire technique et d’un gestionnaire métier. |
ü | ü | ü |
Sauvegarde |
Assurez-vous que les configurations et les données de l’application sont sauvegardées. Pour les services numériques essentiels, il faut respecter le plan de sauvegarde défini dans le Plan de Reprise d’Activité (PRA). |
ü | ü | ü |
Contrôle d’accès et mots de passe |
Paramétrez les accès à l’application en fonction de la matrice des habilitations définie par le propriétaire de l’application. Appliquez les règles de complexité des mots de passe. Vérifiez régulièrement que les comptes et privilèges enregistrés. |
ü | ü | ü |
Pare-feu |
Limitez les services réseau accessibles au strict nécessaire. |
ü | ü | ü |
HTTPS |
Pour les applications web, sécurisez le protocole HTTPS avec comme objectif la note A+ selon l’outil SSL LABS. Maintenez ce niveau dans le temps. |
ü | ü | ü |
Logs |
Activez les logs applicatifs en mode production. Enregistrez les événements de sécurité. |
ü | ü | ü |
Développement sécurisé | Respectez les recommandations et artefacts du guide de sécurisation des applications. | ü | ü | ü |
Authentification forte |
Sensibilité moyenne -> utilisez l’authentification forte ISIs+ pour les accès des gestionnaires de l’application, si le serveur est dans le cloud |
ü | ü | |
Administration distante |
Si l’application est configurée/administrée par un tiers hors UNIGE, utilisez le VPN Prestataires (avec authentification ISIs+) et le bastion informatique (supervision des sessions). |
ü | ü | |
Continuité d’activité |
Si l’application fournit un service numérique essentiel selon la directive GCA, alors appliquez les mesures de redondance nécessaires telles que définies dans le Plan de reprise d’activité associé. |
ü | ü | |
Centralisation des logs |
Transférez les logs applicatifs vers un serveur de centralisation de logs Ex. : ELK DiSTIC, sondes du SOC |
ü | ||
Station d’administration dédiée | Accédez aux fonctions d’administration de l’application seulement à partir d’une station d’administration dédié. Il est possible d’utiliser un serveur de rebond. | ü | ||
Configuration durcie |
Appliquez les recommandations de configuration CIS proposées par la DiSTIC ou votre entité SI de rattachement. |
ü | ||
Revue |
Demandez une revue de sécurité et de conformité avant la mise en production. |
ü* | ü* | ü |
Lois et règlements spécifiques |
Le cas échéant, respectez les mesures de protection spécifiques applicables : données de santé, NIH, RGPD, … |
ü |