Page de titre

  • Site de réalisation

  • Effectué le

  • Propriétaire du système

  • Préparé par

  • Site / Position

Audit de réseaux

Pare-feu

  • L'organisation doit disposer d'un pare-feu ou d'un dispositif équivalent pour protéger son réseau interne et ses appareils contre tout accès non autorisé

  • Le mot de passe de l'appareil de pare-feu doit être modifié pour remplacer le mot de passe par défaut par un autre mot de passe sécurisé

  • Le mot de passe du pare-feu est le suivant :

  • - au moins 8 caractères

  • - différent du nom d'utilisateur

  • - ne contient pas de caractères identiques les uns à côté des autres

  • - n'est pas un terme du dictionnaire

  • - comprend des lettres majuscules et minuscules, des chiffres et des caractères spéciaux

  • - n'a pas été réutilisé pendant une période de temps prédéterminée

  • - n'a pas été utilisé pour un autre compte

  • Chaque règle définie sur le pare-feu doit être approuvée par une personne autorisée et documentée, notamment par une explication de la nécessité professionnelle de cette règle.

  • Les services non approuvés ou vulnérables doivent être bloqués au niveau du pare-feu de la passerelle

  • Toute règle de pare-feu permissive qui n'est plus nécessaire doit être désactivée dès que possible

  • Les paramètres d'administration des limites du pare-feu ne doivent pas être accessibles depuis internet

Ordinateurs et appareils réseau ( notamment les points d'accès sans fil et les routeurs)

  • IMPORTANT : tous les ordinateurs et appareils du réseau doivent être conformes à ce qui suit afin de pouvoir donner une réponse « Oui ».

  • Tous les comptes d'utilisateur, d'invité ou d'administrateur inutiles doivent être supprimés ou désactivés

  • Tous les mots de passe des comptes utilisateurs doivent répondre aux exigences suivantes :

  • - a été modifié par rapport au mot de passe par défaut

  • - au moins 8 caractères de long

  • - pas le même que le nom d'utilisateur

  • - ne contient pas de caractères identiques les uns à côté des autres

  • - n'est pas un terme du dictionnaire

  • - comprend des lettres majuscules et minuscules, des chiffres et des caractères spéciaux

  • - n'a pas été réutilisé pendant une période de temps prédéterminée

  • - n'a jamais été utilisé pour un autre compte

  • Tous les logiciels et utilitaires inutiles doivent être supprimés ou désactivés

  • Toutes les fonctionnalités d'exécution automatique doivent être désactivées, notamment pour les supports de stockage amovibles et les dossiers réseau

  • Un système d'exploitation avec pare-feu intégré doit être utilisé sur les ordinateurs de bureau et les ordinateurs portables et configuré pour bloquer par défaut les connexions non approuvées. Dans les systèmes d'exploitation les plus récents, il est actif et configuré.

Comptes utilisateurs

  • Tous les comptes d'utilisateurs et leurs privilèges doivent être soumis à un processus d'approbation et doivent être documentés

  • Les privilèges administrateurs et tout autre privilège d'accès spécial doivent être réservés aux personnes autorisées et documentés

  • Les comptes administrateurs ne doivent être utilisés que pour effectuer des tâches administratives et non pour un accès quotidien

  • Les comptes administrateurs doivent être configurés de manière à nécessiter un changement de mot de passe tous les 60 jours ou moins

  • Chaque utilisateur individuel doit avoir un nom d'utilisateur et un compte d'utilisateur uniques

  • Chaque mot de passe utilisateur doit répondre aux exigences suivantes :

  • - au moins 8 caractères

  • - pas le même que le nom d'utilisateur

  • - ne contient pas de caractères identiques les uns à côté des autres

  • - n'est pas un terme du dictionnaire

  • - comprend des lettres majuscules et minuscules, des chiffres et des caractères spéciaux

  • - n'a pas été réutilisé pendant une période de temps prédéterminée

  • - n'a pas été utilisé pour un autre compte

  • Tout compte d'utilisateur doté de privilèges spéciaux ou de droits administrateurs doit être supprimé ou désactivé lorsqu'il n'est plus nécessaire, si la personne change de rôle ou quitte l'organisation, ou après une période d'inactivité prédéfinie (par exemple, si le compte n'est pas utilisé pendant 90 jours, il est désactivé)

Protection contre les programmes malveillants

  • Un logiciel de protection contre les logiciels malveillants doit être installé sur tous les ordinateurs qui ont accès ou peuvent accéder à internet

  • Le logiciel de protection contre les programmes malveillants doit être mis à jour quotidiennement

  • Les logiciels de protection contre les programmes malveillants doivent être configurés pour analyser automatiquement les fichiers lors de leur accès et pour analyser les pages Web lorsqu'elles sont consultées via un navigateur Web

  • Le logiciel de protection contre les logiciels malveillants doit être configuré pour effectuer des analyses régulières de tous les fichiers

  • Les logiciels de protection contre les programmes malveillants doivent empêcher les connexions aux sites internet malveillants (par exemple, en utilisant une liste noire de sites web).

Gestion des correctifs logiciels

  • Les logiciels présents sur tous les appareils connectés à internet ou qui peuvent s'y connecter doivent faire l'objet d'une licence et d'une prise en charge afin de garantir l'examen des vulnérabilités et la mise à disposition de correctifs.

  • Toutes les mises à jour de logiciels et les correctifs de sécurité disponibles doivent être installés en temps voulu

  • Tout logiciel non pris en charge doit être supprimé de tout ordinateur ou appareil capable de se connecter à l'internet

Autre

  • Le Wps (Wireless Protected Setup) doit être désactivé sur tous les appareils sans fil

  • Universal Plug n Play (UPnP) à désactiver

  • Un accès WiFi invité sera mis en place pour les visiteurs et les appareils appartenant aux employés

  • Les appareils appartenant aux employés qui peuvent accéder à l'e-mail ou aux informations de l'entreprise doivent être équipés d'un logiciel anti-programmes malveillants

  • Tous les serveurs du réseau doivent disposer d'une solution de sauvegarde automatique quotidienne, les données de sauvegarde devant être stockées en toute sécurité hors site (cryptées)

  • Cryptage de toutes les données sensibles stockées sur les appareils mobiles et les appareils de stockage amovibles

  • Ne laissez pas le personnel utiliser des services de partage de fichiers ou de stockage sur le cloud pour les données de l'entreprise, tels que DropBox, OneDrive, Google Drive, iCloud, sauf s'ils sont autorisés et sécurisés pour votre organisation.

  • Le personnel ne doit pas être autorisé à utiliser des comptes de médias sociaux personnels sur des appareils appartenant à l'organisation ainsi que sur tout appareil connecté au réseau, sauf autorisation expresse.

Achèvement

  • Recommandations

  • Nom et signature

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.