Politique de protection des terminaux et de protection contre les logiciels malveillants

La Politique de protection des terminaux / Protection contre les logiciels malveillants (P20) formalise les contrôles essentiels et les exigences opérationnelles nécessaires pour sécuriser tous les terminaux de l’organisation contre un large éventail de menaces de logiciels malveillants. L’objectif de la politique est d’imposer des normes techniques et procédurales pour protéger les postes de travail, ordinateurs portables, terminaux mobiles, serveurs et l’infrastructure virtuelle contre les virus, rançongiciels, logiciels espions, rootkits, logiciels malveillants sans fichier et d’autres menaces avancées. Elle couvre l’ensemble du cycle de vie de la défense des terminaux, incluant la détection des logiciels malveillants en temps réel, la surveillance comportementale, le confinement des incidents et le rétablissement, afin de garantir que les systèmes de l’organisation restent résilients et opérationnels, y compris face à des techniques émergentes de logiciels malveillants. Le champ d’application de la politique est complet et s’étend à tous les terminaux détenus, gérés ou autorisés par l’organisation, y compris l’usage de terminaux personnels et les actifs hébergés dans le cloud. Elle couvre les employés internes, les contractants, les prestataires tiers de services, ainsi que tout utilisateur ou administrateur autorisé à exploiter, maintenir ou soutenir les terminaux de l’organisation. Le paysage des menaces pris en compte par la politique est large, couvrant des vecteurs d’attaque courants et sophistiqués tels que les logiciels publicitaires, les attaques par hameçonnage, les botnets, les exploits de vulnérabilités et la propagation de logiciels malveillants via USB. Les objectifs clés de la politique sont de préserver l’intégrité, la confidentialité et la disponibilité des systèmes de terminaux et des données qu’ils traitent. Elle impose le déploiement de plateformes de défense contre les logiciels malveillants gérées de manière centralisée, telles que les antivirus, la détection et réponse sur les terminaux (EDR) et le Security Information and Event Management (SIEM), avec des fonctionnalités techniques minimales prescrites : analyse en temps réel, détection heuristique, mise en quarantaine automatisée et alertes robustes. La politique exige en outre une intégration fluide de la protection des terminaux avec les processus de sécurité connexes, notamment la gestion des installations et des actifs, la réponse aux incidents, le contrôle d’accès et l’analyse du renseignement sur les menaces. Des rôles et responsabilités clairs sont définis pour le Responsable de la sécurité des systèmes d’information (RSSI), les responsables de la sécurité des terminaux / responsables SOC, l’exploitation informatique, les propriétaires d’applications, les employés et les prestataires tiers. Chaque rôle est responsable d’aspects spécifiques, allant de la tenue des registres des outils de protection et de la mise en application de la politique, jusqu’aux responsabilités au niveau utilisateur telles que la notification des incidents suspects et l’interdiction de connexions d’appareils non autorisés. La mise en application de la politique est rigoureuse, avec des dispositions relatives au déploiement d’agents, à des régimes stricts de mises à jour, à des contrôles de socle technique, à des revues hebdomadaires et à des procédures explicites pour les exceptions à la politique ou la non-conformité. La réponse aux incidents est soutenue par un playbook de réponse aux logiciels malveillants maintenu, et la conformité continue est assurée par des audits périodiques, des actions correctives obligatoires pour les lacunes identifiées et des conséquences claires en cas de violations. La politique est étroitement alignée sur un large éventail de normes et réglementations internationales, notamment ISO/IEC 27001:2022 (Clause 8.1 et Annexe A : 8.7), ISO/IEC 27002:2022 (Mesures 8.7, 8.8), NIST SP 800-53 Rev.5, RGPD (Article 32), NIS2 (Article 21), DORA (Article 9) et COBIT 2019, afin d’assurer les bonnes pratiques et la préparation à l’audit pour les organisations réglementées. Des exigences de revue et d’amélioration continue sont également spécifiées afin de garantir l’adaptabilité face à l’évolution des menaces et aux changements des environnements juridiques ou techniques.