DESCRIPTION ET RECOMMANDATIONS

Sensibilité faible

Sensibilité moyenne

Sensibilité élevée

Utilisez une brique applicative maintenue par l’éditeur.
Sur la base du système de classification CVE/CVSS (Common Vulnerabilities and Exposures), appliquez les correctifs de sécurité critiques (score 9+) sans aucun délai injustifié suivant leur publication et les autres correctifs de sécurité dans un délai raisonnable.
S’il n’est pas possible d’appliquer les correctifs dans les délais, alors des mesures compensatoires doivent être prises.

Sur la base des informations transmises par le service de supervision continue des vulnérabilités applicatives et web géré par l’équipe de sécurité du SI (Nessus et Dorkbot), traitez les vulnérabilités Critical sans aucun délai injustifié et les autres vulnérabilités High et Medium dans un délai raisonnable.  
S’il n’est pas possible de traiter les vulnérabilités dans les délais, alors des mesures compensatoires doivent être prises.

Maintenez un inventaire des applications sous votre responsabilité. À une application doit être associée l’identité d’un gestionnaire technique et d’un gestionnaire métier.

Assurez-vous que les configurations et les données de l’application sont sauvegardées. Pour les services numériques essentiels, il faut respecter le plan de sauvegarde défini dans le Plan de Reprise d’Activité (PRA).

Paramétrez les accès à l’application en fonction de la matrice des habilitations définie par le propriétaire de l’application. Appliquez les règles de complexité des mots de passe. Vérifiez régulièrement que les comptes et privilèges enregistrés.
Par défaut, les utilisateurs se connectent avec leur compte ISIs en mode SSO (mode web shibboleth).

Limitez les services réseau accessibles au strict nécessaire.

Pour les applications web, sécurisez le protocole HTTPS avec comme objectif la note A+ selon l’outil SSL LABS. Maintenez ce niveau dans le temps.

Activez les logs applicatifs en mode production. Enregistrez les événements de sécurité.

Sensibilité moyenne -> utilisez l’authentification forte ISIs+ pour les accès des gestionnaires de l’application, si le serveur est dans le cloud
Sensibilité forte -> utilisez l’authentification forte ISIs+ pour les gestionnaires et les utilisateurs. Si ceci n’est pas possible techniquement, utilisez un mot de passe distinct du mot de passe ISIs avec des règles de complexité renforcées. (Ex. SAP, Oracle)

Si l’application est configurée/administrée par un tiers hors UNIGE, utilisez le VPN Prestataires (avec authentification ISIs+) et le bastion informatique (supervision des sessions).

Si l’application fournit un service numérique essentiel selon la directive GCA, alors appliquez les mesures de redondance nécessaires telles que définies dans le Plan de reprise d’activité associé.

Transférez les logs applicatifs vers un serveur de centralisation de logs Ex. : ELK DiSTIC, sondes du SOC

Appliquez les recommandations de configuration CIS proposées par la DiSTIC ou votre entité SI de rattachement.

Demandez une revue de sécurité et de conformité avant la mise en production.
* Une application, même à sensibilité faible ou moyenne, qui doit être exposée sur Internet doit également faire l’objet d’une évaluation sécuritaire préalable.

Le cas échéant, respectez les mesures de protection spécifiques applicables : données de santé, NIH, RGPD, …