Norme de gestion des vulnérabilités

Sujets:

Standards

9 mai 2012

Remonter

But

Cette norme établit les exigences minimales en matière de gestion des vulnérabilités des systèmes informatiques étatiques.

Remonter

Aperçu

L’État de l’Iowa conserve diverses données dans ses systèmes informatiques, notamment des informations confidentielles sur ses clients. Afin de protéger ces données et ces systèmes, il est indispensable d’identifier et de corriger les vulnérabilités. L’analyse des vulnérabilités permet de repérer les failles de sécurité et d’allouer les ressources aux domaines les plus critiques. La correction rapide des vulnérabilités est essentielle pour garantir la disponibilité, la confidentialité et l’intégrité des systèmes informatiques.

Remonter

Portée

Cette norme s'applique à tous les organismes tels que définis par le chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont encouragés à suivre les directives de cette norme et des autres normes d'entreprise.
Remonter

Définitions

Certains termes utilisés dans la norme de gestion des vulnérabilités d'entreprise sont définis ci-dessous :

  • Analyse authentifiée : Analyse de vulnérabilité effectuée à l’aide des identifiants système.
  • Vulnérabilités critiques : Vulnérabilités identifiées comme critiques par les fournisseurs de logiciels/matériels, l'outil d'analyse EVMS ; ou vulnérabilités avec une note CVSS1 de 9,0 ou plus.
  • Système de gestion des vulnérabilités d'entreprise (EVMS) : Système à l'échelle de l'entreprise permettant de :

    • Inventaire des logiciels et matériels déployés au sein d'une agence,

    • Identifier les vulnérabilités du logiciel/matériel ; et

    • Rédiger un rapport sur les vulnérabilités en utilisant un format commun.

  • Analyse externe : Analyse de vulnérabilité effectuée depuis l’extérieur du pare-feu périmétrique de l’organisation.
  • Analyse interne : Analyse des vulnérabilités effectuée depuis le pare-feu périmétrique de l’organisation.
  • Remédiation : Correction de la vulnérabilité ou élimination de la menace. Exemples de mesures correctives : installation d’un correctif logiciel, modification d’un paramètre de configuration ou suppression du logiciel affecté.
  • Vulnérabilité : Défaut logiciel ou erreur de configuration entraînant une faille dans la sécurité d’un système. Une entité malveillante peut exploiter une vulnérabilité pour enfreindre les politiques de sécurité, par exemple pour obtenir des droits d’accès ou des autorisations supérieurs à ceux autorisés sur un ordinateur.
  • Analyse de vulnérabilité : analyse visant à identifier les hôtes/attributs d’hôtes et les vulnérabilités associées. Système commun de notation des vulnérabilités (CVSS) : http://nvd.nist.gov/cvss.cfm
Remonter

Éléments

Voici les éléments de la norme de sécurité de gestion des vulnérabilités d'entreprise.

  1. Inventaire : Les organismes doivent tenir un inventaire du matériel, des systèmes d'exploitation et des applications logicielles utilisés au sein de l'organisme.
  2. Surveillance : Les agences doivent surveiller les sources de sécurité pour prendre connaissance des annonces de vulnérabilités, des notifications de correctifs et des menaces émergentes.
  3. Analyses : Les organismes doivent effectuer des analyses de vulnérabilité de leur réseau à l'aide d'un système de gestion des vulnérabilités d'entreprise (EVMS).
    a. Des analyses externes, internes et authentifiées doivent être effectuées.
    b. Des analyses doivent être effectuées au moins une fois par semaine.
    c. Les nouveaux systèmes et applications doivent être analysés avant leur mise en production.
  4. Accès : Les administrateurs de serveurs doivent fournir un accès administratif suffisant pour permettre au moteur d'analyse des vulnérabilités d'analyser tous les services fournis via leurs systèmes.
  5. Exceptions\Identifiants : Les exceptions de pare-feu et les identifiants utilisés par l'EVMS pour effectuer des analyses de vulnérabilité doivent être désactivés lorsqu'ils ne sont pas utilisés.
  6. Correction : Les agences doivent corriger les vulnérabilités identifiées (par le biais d'analyses, d'alertes de fournisseurs ou de la base de données nationale sur les vulnérabilités) comme suit :
    a. Vulnérabilités critiques à haut risque avec exploitation active : Dans les 5 jours ouvrables suivant la découverte/notification ;
    b. Vulnérabilités critiques à haut risque sans exploitation active : dans les 10 jours ouvrables suivant la découverte/notification ;
    c. Vulnérabilités à risque moyen : Dans les 30 jours ouvrables suivant la découverte/notification.
    d. Tous les autres : Conformément au calendrier de gestion des correctifs/remédiations de l'agence.
  7. Vulnérabilités : Les organismes doivent tenir une liste des vulnérabilités non corrigées.
    a. Les agences doivent informer mensuellement le Bureau de la sécurité de l'information des vulnérabilités non corrigées.
    b. Les organismes doivent assumer la responsabilité de toute vulnérabilité non corrigée dans leurs systèmes.
  8. Formation : Les agences doivent former les administrateurs système à la surveillance et à la correction des vulnérabilités.
Remonter

Mises à jour

Ce document devra être revu au moins tous les deux ans et mis à jour au besoin.

Remonter

Date d'entrée en vigueur

Cette norme entrera en vigueur le 30 septembre 2012.

Remonter

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Remonter

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.

Remonter