www.silicon.fr Open in urlscan Pro
158.58.181.221  Public Scan

Form analysis
1 forms found in the DOM

GET https://www.silicon.fr/

<form role="search" class="searchSubmitForm search-form" method="get" action="https://www.silicon.fr/">
  <input type="search" class="search-field" placeholder="" value="" name="s" title="Rechercher&nbsp;:">
  <input type="submit" class="search-submit" value="Rechercher">
</form>

Text Content

Continuer sans accepter →

Avec votre accord, nos partenaires et nous utilisons des cookies ou technologies
similaires pour stocker et accéder à des informations personnelles comme votre
visite sur ce site. Vous pouvez retirer votre consentement ou vous opposer aux
traitements basés sur l'intérêt légitime à tout moment en cliquant sur "En
savoir plus" ou dans notre politique de confidentialité sur ce site.

Avec nos partenaires, nous traitons les données suivantes :Cookies Publicitaires
et de personnalisation, Données de géolocalisation précises et identification
par analyse du terminal, Publicités et contenu personnalisés, mesure de
performance des publicités et du contenu, données d’audience et développement de
produit, Stocker et/ou accéder à des informations sur un terminal

En savoir plus →Accepter & Fermer




 * Cloud
   * Datacenters
   * IAAS
   * IOT
   * Cloud Management
   * PAAS
   * SaaS
   * Serveurs
   * Virtualisation
 * Blockchain
 * Cybersécurité
   * Authentification
   * Cyberguerre
   * Firewall
   * Malwares
   * Politique de sécurité
   * Ransomware
   * Surveillance
 * MOBILITÉ / RESEAUX
   * 4G
   * Apps
   * Mobilité
   * Geolocalisation
   * Portables
   * Tablettes
   * Wifi
 * WORKPLACE
   * Chromebook
   * Composants
   * Imprimantes
   * Mac
   * OS
   * PC
 * Logiciels
   * Bureautique
   * Collaboration
   * ERP
   * Middleware
   * Open Source
   * Ressources Humaines
 * Data & Stockage
   * Bases de données
   * Big Data
   * Business Intelligence
   * Dataviz
   * Deep Learning
   * Machine Learning
   * RGPD
   * Stockage
 * Green IT


 * Webinars
 * Events
 * Livres blancs
 * Dossiers
 * Insight center
 * Fiches Pratiques
 * Avis d’experts
 * J’ai testé

 * 
 * 
 * 
 * S’abonner


 * Cloud
    * Datacenters
    * IOT
    * PAAS
    * Serveurs
   
    * IAAS
    * Cloud Management
    * SaaS
    * Virtualisation
   
   En version numérique
   
   Ne rien manquer de vos actualités préférées
   
   Je m'abonne
 * Blockchain
 * Cybersécurité
    * Authentification
    * Firewall
    * Politique de sécurité
    * Surveillance
   
    * Cyberguerre
    * Malwares
    * Ransomware
   
   En version numérique
   
   Ne rien manquer de vos actualités préférées
   
   Je m'abonne
 * MOBILITÉ / RESEAUX
    * 4G
    * Mobilité
    * Portables
    * Wifi
   
    * Apps
    * Geolocalisation
    * Tablettes
   
   En version numérique
   
   Ne rien manquer de vos actualités préférées
   
   Je m'abonne
 * WORKPLACE
    * Chromebook
    * Imprimantes
    * OS
   
    * Composants
    * Mac
    * PC
   
   En version numérique
   
   Ne rien manquer de vos actualités préférées
   
   Je m'abonne
 * Logiciels
    * Bureautique
    * ERP
    * Open Source
   
    * Collaboration
    * Middleware
    * Ressources Humaines
   
   En version numérique
   
   Ne rien manquer de vos actualités préférées
   
   Je m'abonne
 * Data & Stockage
    * Bases de données
    * Business Intelligence
    * Deep Learning
    * RGPD
   
    * Big Data
    * Dataviz
    * Machine Learning
    * Stockage
   
   En version numérique
   
   Ne rien manquer de vos actualités préférées
   
   Je m'abonne
 * Green IT

S’abonner


Publicité

Accueil > Actualités Cybersécurité


INTÉGRATION DE LOGICIELS NON MAÎTRISÉS : LES BONNES PRATIQUES DE SÉCURITÉ

Clément Bohic, 9 décembre 2022, 9:22

Facebook
Twitter
Linkedin




Quelles précautions prendre lorsqu’on intègre, notamment sur obligation
réglementaire, des logiciels non maîtrisés ? C’est l’objet d’un guide ANSSI.

« Au-delà de la Russie, l’ANSSI regarde vers la Chine. » Ainsi
rebondissions-nous, en début d’année, sur la publication du « panorama de la
menace informatique 2021 » du CERT-FR.





Le CSIRT gouvernemental français y évoquait, entre autres, le risque de
détournement de cadres juridiques étrangers liés à la cybersécurité. Et
mentionnait, en exemple, le logiciel GoldenTax, imposé à certains clients de
banques chinoises. Une portée dérobée s’était retrouvée dans plusieurs versions.





Il est à nouveau question de GoldenTax dans un rapport publié récemment. Le
sujet : les problématiques liées à l’intégration de logiciels maîtrisés. Le
contenu : des recommandations pour l’installation de ces logiciels.





En tête de liste, installer le logiciel dans une zone isolée du SI. De
préférence avec des équipements dédiés et affectés à cet usage.
Puis filtrer les flux réseau entrants et sortants, en évitant dans la mesure du
possible les flux dirigés de la zone isolée vers le SI.
Le pare-feu sera distinct de la machine sur lequel se trouve le logiciel, pour
éviter que ce dernier soit en mesure de le désactiver.





Si la sensibilité de la donnée manipulée le permet et qu’une connexion vers le
SI interne n’est pas nécessaire, on peut tout à fait externaliser la zone. Dans
ce cas, on utilisera un compte cloud dédié. Autant éviter la latéralisation que
les risques d’élévation de privilèges pouvant affecter d’autres ressources. Et
on n’exploitera pas de services d’infrastructure communs (authentification,
DNS…).





Sur l’ensemble des services et équipements, on appliquera le principe du moindre
privilège. Pour les opérations d’exploitation comme d’administration. En
s’appuyant systématiquement sur des comptes locaux.






LIMITER LES CAPACITÉS DES OUTILS D’ACCÈS À DISTANCE

Dans le cas d’une interaction à distance avec la zone isolée, on désactivera,
sur la solution d’accès, le partage du presse-papiers et la redirection de
disque.





En cas de nécessité d’échanger des fichiers entre le SI interne et la machine
hébergeant le logiciel, on envisagera un espace de stockage partagé hébergé dans
la zone isolée.
Même emplacement s’il est nécessaire de communiquer entre le SI interne et la
zone isolée ; ou bien on pourra utiliser un service SaaS, opérant une séparation
de fait.






SI VOUS N’UTILISEZ PAS, ÉTEIGNEZ

Pour ce qui est du maintien en conditions de sécurité, on administrera
manuellement la zone isolée. Directement sur les équipements ou depuis un poste
dédié à cet usage. Les dépôts nécessaires ne doivent pas communiquer avec le SI
de l’entité : ils doivent accéder aux mises à jour directement sur Internet.





L’ANSSI conseille aussi… d’éteindre le service lorsqu’on ne l’utilise pas.
Histoire de limiter l’exposition de la zone isolée.






LES LOGS AUSSI EN ZONE ISOLÉE

On activera – et configurera – la journalisation des composants système et
réseau de la zone isolée. Données qu’on complétera par l’analyse des événements
des pare-feu situés en bordure.
La centralisation des logs s’effectuera préférentiellement par l’intermédiaire
d’un collecteur dédié en zone isolée. Le SI interne pourra ouvrir des connexions
vers la zone de moindre confiance, mais pas l’inverse.





Photo d’illustration © monsitj – Adobe Stock





Publicité
Publicité



Lire aussi : Visas de sécurité : quels sont les derniers produits et services
qualifiés ?





PME Expérience
sponsorisé
Loïc Guézo (SEMEA) - Cybersecurité des PME

00:0000:00


00:0000:00

Loïc Guézo (SEMEA) - Cybersecurité des PME16:33
Claude Petrucci (PI Services) - Transformation digital…21:56
Episode 17 - Vincent Redrado (Digital Native Group) –…17:04
Stephan Dixmier (Bimpli), technologie, monétique et la…22:38
Olivier Binet (Karos), covoiturage, recrutement et la…27:10
Episode 13, Laurence Yvon (Tagetik), finance, business…18:47
Episode 12 - Matthieu Havy20:34
Episode 11 - Jean-Yves Grandidier (Valorem) - Energies…22:53
Episode 10 - Antoine Grimaud (PayPlug.) – PME, E-comme…20:21
Episode 9 - Matthieu Walckenaer (PlanRadar), numérisat…20:30
Episode 8 - Jean-Stéphane Arcis (Talentsoft) - RH, R&D…19:19
Episode 7 - Emilie Benoit-Vernay (Shopify) - Marketing…18:30
Episode 6 - Laurent Mogno (ECT) - Buldozer, rêve améri…18:56
Épisode 4 - Xavier Latil (The Blockchain Group) - Croi…17:37
Épisode 3 - Marc Negroni (Nextedia) - S'adapter à la c…18:01
Épisode 2 - Elena Del Gaudio (Del Gaudio Gourmet) - Im…18:01
Épisode 1 - Hervé Lenglart (NetMedia Group) - Vendre s…17:58



Recommander cet article :
0 0



Publicité


NEWSLETTER

Abonnez-vous pour recevoir nos meilleurs articles


Facebook
Twitter
Linkedin

Abonnez-vous

Recevez le magazine directement chez vous,
et en version numérique

Je m'abonne


NOS ÉVÉNEMENTS

Replay
Cloud et infrastructure
Voir le Replay
Replay
L'Entreprise Data-Centric
Voir le Replay
Replay
Quoi de neuf sur le front Cyber ?
Voir le Replay
Tous nos événements



Publicité
X Brand Voice

Brand Voice marques l'opportunité de s'adresser directement aux internautes,
grâce à un format s'intégrant parfaitement dans le fond et la forme du site. Les
internautes ont accès à du contenu produit par les marques, en lien avec leurs
problématiques professionnelles. Ils peuvent facilement en identifier la
provenance grâce à la mention “Brand Voice“, ce format permet de valoriser leur
expertise en partageant du contenu à forte valeur ajoutée. Pour toute demande de
renseignements complémentaires, contactez-nous à l'adresse suivante :
sleprat@editialis.fr



NEWSLETTER Abonnez-vous pour recevoir nos meilleurs articles
Je m’abonne

La rédaction vous recommande
Visas de sécurité : quels sont les derniers produits et services qualifiés ?
MonServiceSécurisé : l’ANSSI tend une perche vers l’homologation RGS
Une faille fait basculer les antivirus du côté obscur
iCloud et le chiffrement de bout en bout : ce qu’il faut savoir
Cybersécurité : l’automatisation, au bonheur des attaquants ?
Attaque par force brute RDP : 8 mots de passe les plus utilisés
 * #ANSSI

En version papier

Recevez le magazine directement
En version papier


Je m'abonne
En version numérique

Ne rien manquer de vos actualités préférées

Je m'abonne


Suivez-nous:

Facebook
Twitter
Linkedin
NEWSLETTER
Ok


×
Ne manquez pas cet article
Digital Workplace : pourquoi le Mac marque des points
Lire
À propos
Silicon.fr est un site d'information et d'aide à la décision destiné aux
managers des projets IT au sein des entreprises. Silicon organise également
plusieurs évènements thématiques sur des problématiques IT comme la
cybersécurité.
Sites du groupe
 * E-marketing.fr
 * Ecommercemag.fr
 * RelationClientMag.fr
 * Chefdentreprise.com
 * Ekopo.fr
 * Decision-Achats.fr
 * DAF-mag.fr
 * Actionco.fr
 * We-factoryandco.fr

Services
 * Votre compte
 * Plan du site
 * Quelle est mon adresse IP ?

Rester en contact
 * Contactez la rédaction
 * Contactez la technique
 * Contactez la régie
 * Contactez le service étude
 * Proposition de partenariat
 * Annoncer sur Silicon.fr

Mentions légales
 * Conditions Générales d’Utilisation
 * Politique de Confidentialité – Gestion des cookies
 * Gérer vos consentements

Abonnement
 * S’abonner
 * Se connecter

NETMEDIAEUROPE :
 * Allemagne
 * France

 * Portugal
 * Espagne
 * Royaume-Uni
 * Monde

↑
NetMediaEurope © Copyright 2022 Tous droits réservés. A propos de NetMediaEurope
Inscrivez-vous gratuitement au Silicon FR
Recevez les dernières nouvelles, analyses, fonctionnalités et interviews
informatiques sur des sujets clés de l'industrie technologique, directement dans
votre boîte de réception. Vous recevrez également d'autres ressources utiles
telles que des emplois, des livres blancs et des téléchargements en plus de
notre couverture d'experts. Inscrivez-vous gratuitement dès aujourd'hui et
restez informé de tous les aspects de la révolution informatique.
S'abonner







 * 
 * 
 * 
 * Le lien a été copié dans le presse-papier
 *