ccub:securite_dans_les_projets

Ceci est une ancienne révision du document !

Sécurité de l'information dans la gestion de projet

Identification des projets

Constituent un projet:

  • La mise en œuvre d'un nouvel environnement pour une organisation cliente
  • L'adoption de nouveaux logiciels mis à disposition des clients
  • L'adjonction de nouveaux types de ressources ou de types de ressources connues selon un nouveau procédé
  • Les modifications substantielles dans la réalisation des services existants

Les adaptations mineures et corrections d'anomalie ne relèvent pas de cette procédure.

Démarche sécurité pour un projet

La démarche sécurité procède par analyse des écarts au fonctionnement nominal déjà pris en compte dans l'architecture et les processus de fonctionnement:

  • Identification des risques spécifiques à l'évolution
  • Identification des flux de données impactés
  • Définition et mise en œuvre de moyens de contrôle de ces flux
  • Vérification de la bonne mise en œuvre des moyens spécifiques avant leur mise en production

Lorsque le projet implique la mise à disposition d'un logiciel spécifique aux utilisateurs, les exigences suivantes s'appliquent:

  • S'assurer de la provenance du logiciel. Pas de téléchargement sur un site tiers, mais uniquement depuis le site officiel.
  • Ne jamais installer les logiciels depuis un compte administrateur.
  • Ne jamais accorder de droits supplémentaires aux applications (via setuid, sudo, …).
  • Ne jamais accorder de droits réseaux supplémentaires à une application demandée par un utilisateur. Ces applications devant être confinées sur des serveurs physiques ou virtuels sur des réseaux séparés (DMZ publiques).

Lorsque le projet implique une modification substantielle de la plateforme d'exécution des applications, les exigence suivantes s'appliquent :

  • Introduire une nouvelle version de la plateforme dans le gestionnaire de déploiement (xCAT) sans modifications des plateformes existantes.
  • Sélection d'une ou d'un ensemble de serveurs pour tester le déploiement.
  • Exécution du déploiement.
  • Test d'un jeu d'application de référence avec validation par les utilisateurs.
  • Généralisation par déploiement de la nouvelle version sur l'ensemble des serveurs (serveurs de test compris).

Lorsque le projet implique une modification substantielle de l'architecture :

  • Une étude spécifique doit être engagée visant à limiter les risques et les impacts sur les services.

Un bilan des projets est présenté lors de chaque réunion du COPIL SMSI.

Rôles et responsabilités

Le responsable de l'exécution du SMSI ou, à défaut un membre du COPIL SMSI, qualifie les changements en tant que projet, et s'assure de réalisation de la démarche et de la fiche de sécurité associée.

Enregistrements

Chaque projet fait l'objet d'une fiche de sécurité spécifique. Les fiches de sécurité sont référencées depuis la liste_des_projets.

La fiche de sécurité comporte a minima:

  • L'identification du responsable sécurité du projet
  • La discussion des risques spécifiques
  • La description des flux nouveaux ou modifiés engendrés par le projet
  • La liste des procédures ou modes opératoires impactés par le projet
  • La liste des points de contrôle spécifiques avant mise en production.
  • Si applicable :
  • Vérification du contrôle d'accès, de l'authentification, du chiffrement des communications, des autorisation.
  • Vérification des filtrages réseaux
  • Vérification de la qualité du code avec un analyseur syntaxique.
  • ccub/securite_dans_les_projets.1725259076.txt.gz
  • Dernière modification : 2024/09/02 06:37
  • de cardynal