Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ccub:securite_dans_les_projets [2024/09/02 06:37] – - Imported by DokuWiki Advanced Plugin cardynal
+++ ccub:securite_dans_les_projets [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
-====== Sécurité de l'information dans la gestion de projet ======
-===== Identification des projets =====
-Constituent un projet:
-  * La mise en œuvre d'un nouvel environnement pour une organisation cliente
-  * L'adoption de nouveaux logiciels mis à disposition des clients
-  * L'adjonction de nouveaux types de ressources ou de types de ressources connues selon un nouveau procédé
-  * Les modifications substantielles dans la réalisation des services existants
-Les adaptations mineures et corrections d'anomalie ne relèvent pas de cette procédure.
-===== Démarche sécurité pour un projet =====
-La démarche sécurité procède par analyse des écarts au fonctionnement nominal déjà pris en compte dans l'architecture et les processus de fonctionnement:
-  * Identification des risques spécifiques à l'évolution
-  * Identification des flux de données impactés
-  * Définition et mise en œuvre de moyens de contrôle de ces flux
-  * Vérification de la bonne mise en œuvre des moyens spécifiques avant leur mise en production
-Lorsque le projet implique la mise à disposition d'un logiciel spécifique aux utilisateurs, les exigences suivantes s'appliquent:
-  * S'assurer de la provenance du logiciel. Pas de téléchargement sur un site tiers, mais uniquement depuis le site officiel.
-  * Ne jamais installer les logiciels depuis un compte administrateur.
-  * Ne jamais accorder de droits supplémentaires aux applications (via setuid, sudo, ...).
-  * Ne jamais accorder de droits réseaux supplémentaires à une application demandée par un utilisateur. Ces applications devant être confinées sur des serveurs physiques ou virtuels sur des réseaux séparés (DMZ publiques).
-Lorsque le projet implique une modification substantielle de la plateforme d'exécution des applications, les exigence suivantes s'appliquent :
-  * Introduire une nouvelle version de la plateforme dans le gestionnaire de déploiement (xCAT) sans modifications des plateformes existantes.
-  * Sélection d'une ou d'un ensemble de serveurs pour tester le déploiement.
-  * Exécution du déploiement.
-  * Test d'un jeu d'application de référence avec validation par les utilisateurs.
-  * Généralisation par déploiement de la nouvelle version sur l'ensemble des serveurs (serveurs de test compris).
-Lorsque le projet implique une modification substantielle de l'architecture :
-  * Une étude spécifique doit être engagée visant à limiter les risques et les impacts sur les services.
-Un bilan des projets est présenté lors de chaque réunion du COPIL SMSI.
-===== Rôles et responsabilités =====
-Le responsable de l'exécution du SMSI ou, à défaut un membre du COPIL SMSI, qualifie les changements en tant que projet, et s'assure de réalisation de la démarche et de la fiche de sécurité associée.
-===== Enregistrements =====
-Chaque projet fait l'objet d'une fiche de sécurité spécifique. Les fiches de sécurité sont référencées depuis la [[enregistrements:liste_des_projets]].
-La [[scrapbook:securite_dans_la_gestion_des_projets|fiche de sécurité]] comporte a minima:
-  * L'identification du responsable sécurité du projet
-  * La discussion des risques spécifiques
-  * La description des flux nouveaux ou modifiés engendrés par le projet
-  * La liste des procédures ou modes opératoires impactés par le projet
-  * La liste des points de contrôle spécifiques avant mise en production.
-  * Si applicable :
-   * Vérification du contrôle d'accès, de l'authentification, du chiffrement des communications, des autorisation.
-   * Vérification des filtrages réseaux
-   * Vérification de la qualité du code avec un analyseur syntaxique.