Dernière modification : 19 mars 2025

Politique n° 4204 Procédure de sécurité du serveur

• Télécharger le document sur la procédure de sécurité du serveur

Vue d'ensemble

Les serveurs non sécurisés et vulnérables continuent d'être un point d'entrée majeur pour les acteurs malveillants. La cohérence des politiques d'installation, de propriété et de gestion de la configuration des serveurs passe par une bonne application des principes de base.

Objectif

L'objectif de cette procédure est d'établir des normes pour la configuration de base de l'équipement serveur interne détenu et/ou exploité par le PCSD. La mise en œuvre efficace de cette procédure permettra de minimiser l'accès non autorisé aux informations et aux technologies exclusives du PCSD.

Champ d'application

Tous les employés, sous-traitants et consultants doivent respecter cette procédure. Cette procédure s'applique à l'équipement serveur qui est détenu, exploité ou enregistré dans le domaine du réseau interne du PCSD. Cette procédure spécifie les exigences relatives à l'équipement sur le réseau interne.

Procédure

Exigences générales

• Tous les serveurs internes déployés au PCSD doivent appartenir à un groupe opérationnel responsable de l'administration du système. Des guides de configuration des serveurs approuvés doivent être établis et maintenus par chaque groupe opérationnel, sur la base des besoins de l'entreprise et approuvés par l'équipe InfoSec. Les groupes opérationnels doivent contrôler la conformité de la configuration et mettre en œuvre une procédure d'exception adaptée à leur environnement. Chaque groupe opérationnel doit établir un processus de modification des guides de configuration, qui comprend l'examen et l'approbation par l'équipe chargée de la sécurité informatique.
• Les serveurs doivent être enregistrés dans le système de gestion des stocks et un document CSI (Critical System Information) doit être créé. Au minimum, les informations suivantes sont requises :
  • Contact(s) et emplacement du serveur, ainsi qu'un contact et un emplacement de secours
  • Matériel et système d'exploitation/version
  • Principales fonctions et applications, le cas échéant
  • Numéro de série
  • Adresse HW
  • Informations sur les achats
  • Informations sur le soutien
  • Informations sur le fournisseur
• Les informations contenues dans le système de gestion des stocks et le CSI doivent être tenues à jour.
• À des fins de sécurité, de conformité et de maintenance, le personnel autorisé peut surveiller et auditer les équipements, les systèmes, les processus et le trafic réseau conformément à la procédure d'audit.

Exigences de configuration

• La configuration du système d'exploitation doit être conforme aux lignes directrices approuvées en matière de sécurité informatique.
• Les services et applications qui ne seront pas utilisés doivent être désactivés dans la mesure du possible.
• L'accès aux services doit être enregistré et/ou protégé par des méthodes de contrôle d'accès telles qu'un pare-feu d'application web, si possible.
• Les correctifs de sécurité les plus récents doivent être installés sur le système dès que possible, à la seule exception des cas où une application immédiate perturberait l'enseignement et l'instruction.
• Les relations de confiance entre systèmes constituent un risque pour la sécurité et doivent être évitées. N'utilisez pas de relation de confiance lorsqu'une autre méthode de communication est suffisante.
• Utilisez toujours les principes de sécurité standard de l'accès le moins nécessaire pour exécuter une fonction. N'utilisez pas l'utilisateur root lorsqu'un compte non privilégié peut faire l'affaire.
• Si une méthode de connexion par canal sécurisé est disponible (c'est-à-dire si elle est techniquement réalisable), l'accès privilégié doit être effectué par des canaux sécurisés (par exemple, des connexions réseau cryptées utilisant SSH ou IPSec).
• Les serveurs doivent être physiquement situés dans un environnement dont l'accès est contrôlé.
• Il est expressément interdit aux serveurs de fonctionner à partir de dispositifs et de réseaux non autorisés.

Contrôle

• Tous les événements liés à la sécurité des systèmes critiques ou sensibles doivent être enregistrés.
• Les événements liés à la sécurité seront signalés à l'équipe InfoSec, qui examinera les journaux et signalera les incidents à la direction informatique. Des mesures correctives seront prescrites si nécessaire.
• Les événements liés à la sécurité comprennent, mais ne sont pas limités à :
  • Attaques par balayage de port
  • Preuve d'un accès non autorisé à des comptes privilégiés
  • Les événements anormaux qui ne sont pas liés à des applications spécifiques sur l'hôte

Dernière mise à jour Statut :

Mise à jour janvier 2015

Politiques et procédures connexes

• 4204 Utilisation de la technologie
• 4204 Utilisation acceptable
• 4204 Audit
• 4204 Bureau propre
• 4204 Plan de reprise après sinistre
• 4204 Courriel
• 4204 Formation des employés à la sensibilisation à la sécurité
• 4204 Chiffrement
• 4204 Mot de passe
• 4204 Accès à distance
• 4204 Sécurité des routeurs et des commutateurs
• 4204 Sécurité des postes de travail sensibles
• 4204 Plan d'intervention de sécurité
• 4204 Sécurité du serveur
• 4204 Installation du logiciel
• 4204 Services de sécurité des sites web
• 4204 Communication entre dispositifs sans fil
• 4204 Communication d'infrastructure sans fil