Manuel des procedures de securité du

materiel informatique

Liste des procédures

Les procédures élaborées pour un manuel des procédures de sécurité du matériel informatique
sont :

 Procédure inventaire des biens ;

 Procédure contrôle physique des accès ;
 Procédure maintenance du matériel ;
 Procédure maintenance informatique préventive ;
 Procédure maintenance informatique proactive ;
 Procédure sortie d'un bien ;
 Procédure sécurité du câblage ;
 Procédure mise au rebut du matériel ;
 Procédure atténuation des menaces ;
 Procédure atténuation des vulnérabilités ;
 Procédure atténuation des incidents ;
 Procédure réaction en cas d'infection ;
 Procédure politique de sauvegarde ;
 Procédure réalisation de sauvegarde ;
 Procédure contrôle d'accès réseau ;
 Procédure Identification et authentification de l'utilisateur ;
 Procédure manipulation des supports.

Ces différentes procédures permettent aux agents de n'importe quelle entreprise d'avoir une
vision complète sur toutes les décisions et actes qu'ils auront à prendre pour garantir la
sécurité et le contrôle aussi bien internes qu'externes du matériel informatique.
Pour notre manuel de procédures, les principaux opérateurs qui doivent intervenir sont les
cinq suivants :

 Responsable de la sécurité : a pour rôle la gestion et la sécurité du système

d'information, éviter les pannes fonctionnelles qui pourraient perturber les activités
administratives de l'entreprise, administration système, etc.
 Technicien de maintenance : a pour mission d'éviter une panne ou un
dysfonctionnement grâce à un entretien régulier et planifié, la vérification du bon état
du matériel informatique. Il planifie ses interventions et rédige des comptes rendus.
 Technicien réseau : a pour mission d'intervenir sur les équipements ou le câblage du
réseau afin d'assurer une qualité de service optimale aux utilisateurs.
 Employé : tout personnel qui a des fonctions dans le processus de l'administration ou
de l'exécution des opérations de gestion.
  Gardien : assure le contrôle l'accès au terrain et aux bâtiments et dirige les visiteurs
vers les endroits appropriés.

Procédure inventaire des biens

Objectif

L'inventaire est un document sur lequel se trouve une description détaillée des biens
informatiques. Évaluation annuelle obligatoire des biens d'une entreprise afin de clairement
identifier tous les biens :

 des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail,
des matériels non IT) ;
 des informations (bases de données, fichiers, archives) ;
 des logiciels (applications ou systèmes) ;
 des services de la documentation (politiques, procédures, plans).
Logigramme

Procédure inventaire des biens

Operateur Etapes Règles

Début

Rédaction de
Technicien réseau R1
l’inventaire

Responsable de sécurité Vérification

Existe-il un
MAJ de
inventaire des
biens
oui l’inventaire

Technicien réseau
oui Identifier les
Identifier les biens nouveaux
équipements

Responsable de sécurité
Attribuer la oui
Identifier
propriété des biens
l’appartenance

Responsable de sécurité Classification des

biens

Fin

Universal Procédure Inventaires des 10 juin 2019

 biens Version 1.0

Services Page 1

Company
Règle

R1 : La fiche d'inventaire fournit les informations suivantes :

1. Le statut du bien ;
2. La localisation du bien ;
3. La nature du bien ;
4. L'étiquette ;
5. La désignation du bien ;
6. L'état du bien ;
7. La source de financement du bien ;
8. La date d'acquisition ;
9. La valeur d'acquisition ou valeur d'entrée du bien ;
10. Les observations pertinentes sur le bien.

Procédure contrôle physique des accès

Objectif

Il convient de protéger les zones sécurisées par des contrôles à l'entrée adéquats pour s'assurer
que seule la personne habilitée soit admise.
 Début

Rédaction de
Technicien réseau R1
l’inventaire

Vérification
Responsable de sécurité

Existe-il un MAJ de
inventaire des
biens
oui l’inventaire

Technicien réseau
Identifier les biens oui Identifier les
nouveaux
équipements

Responsable de sécurité
Attribuer la oui
propriété des biens Identifier
l’appartenance

Responsable de sécurité Classification des

biens

Fin

Universal Procédure Inventaires des 10 juin 2019

biens
Services Version 1.0
Page 1
Company
Procédure contrôle physique des accès

Règles

R1 : Définition des zones sécurisées

 Définition de périmètre de sécurité.

 Le périmètre peut avoir trois types : temporel, géographique ou fonctionnel.

R2 : Identification des personnes

Identité, durée de validité, périmètre d'accès, etc.

R3 : Surveiller l'accès des personnes tiers

  Les visiteurs doivent disposer d'une autorisation pour pénétrer dans les zones
sécurisées.
 Conserver une trace des accès.

R4 : Réexamen et mise à jour réguliers des droits d'accès aux zones sécurisées

Une révision régulière des privilèges et droits d'accès devrait être effectuée par le responsable
de sécurité dont le but de s'assurer que les privilèges donnés correspondent toujours aux
besoins réels des tâches à effectuer.

Procédure maintenance du matériel

La maintenance est l'ensemble des actions à mettre en œuvre pour assurer une continuité de
service optimum. Il convient d'entretenir le matériel correctement pour garantir sa
disponibilité permanente et son intégrité.
Comme première étape nous devons déterminer les exigences concernant la maintenance du
matériel. Cette procédure facilite le choix de réalisation pour la maintenance.
 Début

Choix de réalisation pour la

maintenance

non Cout interne

Cout externe

non non
Moyen humain Personnel Formé

non non
Personnel
Formation
formé

non Personnel non Achat de matériel

formé

Maintenance Externe Maintenance interne

 Fin

Procédure politique de maintenance

Procédure maintenance informatique préventive

Objectif

La maintenance informatique préventive permet d'assurer un contrôle du PC, afin de prévoir

toute dégradation, éviter une panne inattendue et assurer le bon fonctionnement du matériel
informatique.

Logigramme
Procédure maintenance informatique préventive

Règles

R1 : Contrôle du câblage

Branchements, état physique, etc.

R2 : Nettoyage complet du PC intérieur et extérieur

La poussière, à l'intérieur de l'ordinateur, est un facteur d'usure important de l'ensemble des

composants en empêchant un bon fonctionnement.

R3 : Contrôle de l'état des composants et périphériques

Lecteur CD, DVD, imprimante, disque dur, carte graphique, etc.

R4 : Nettoyage du disque dur

Optimisation des données, suppression de programmes inutilisés, des fichiers inutiles,

courriers indésirables, cookies, etc.

R5 : Contrôle antivirus

Éliminer toute présence de virus, malwares, spywares se trouvant sur l'ordinateur.

R6 : Mise à jour du système et des logiciels

Installation des correctifs Windows et mise à jour des logiciels.

Procédure maintenance informatique proactive

Objectif

La maintenance proactive assure la bonne conformité des systèmes, elle garantie la sécurité et
améliore les performances et la fiabilité des équipements, afin de travailler de façon plus
rapide et plus sécurisée.

Logigramme
Procédure maintenance informatique proactive

Règles

R1 : Analyse et défragmentation des disques

Analyse Une analyse Scandisk, permet de détecter et réparer des erreurs physiques ou
d'indexation des fichiers qui pourraient empêcher ou bloquer l'installation. Au préalable,
fermer toutes les applications d'arrière-plan. Pour lancer un ScanDisk complet, procéder
comme suit :
Pour Windows XP
1. Ouvrir le Poste de Travail ;
2. Sélectionner le disque dur local que vous souhaitez vérifier ;
3. Dans le menu Fichier, cliquer sur Propriétés ;
4. Cliquer sur l'onglet Outils ;
5. Dans la section "Vérification des erreurs", cliquer sur "Vérifier maintenant" ;
6. Dans la section "Vérification du disque", activer les options "Réparer
automatiquement les erreurs de système de fichiers" et "Rechercher et tenter une
récupération des secteurs défectueux" ;
7. Si une fenêtre apparaît propose d'effectuer cette opération au redémarrage de
l'ordinateur, accepter ;
8. Redémarrer l'ordinateur.
Pour Windows Vista/7/8
1. Cliquez sur le menu Démarrer (touche Windows + Q pour Windows 8) ;
2. Cliquez sur Ordinateur ;
3. Faites un clic-droit sur le disque dur local que vous souhaitez vérifier (généralement
C:\) ;
4. Cliquez sur Propriétés ;
5. Cliquez sur l'onglet Outils ;
6. Cochez "Vérifiez maintenant" sous "Vérification des erreurs" ;
7. Sous la vérification des options du disque, sélectionnez "Analyser et récupérer les
secteurs défectueux et Corriger automatiquement les fichiers systèmes" ;
8. Sélectionner Oui pour la planification après le redémarrage ;
9. Redémarrer l'ordinateur.
Défragmentation La défragmentation des disques durs permet d'améliorer l'organisation des
fichiers afin d'en optimiser l'accès, pour le faire, procéder comme suit :
Pour Windows XP
1. Ouvrez le Poste de Travail et sélectionnez le disque dur local que vous souhaitez
vérifier ;
2. Dans le menu Fichier, cliquez sur Propriétés ;
3. Cliquez sur l'onglet Outils ;
4. Dans la section Défragmentation, cliquez sur Défragmenter maintenant ;
5. Sélectionnez le volume à défragmenter ;
6. Cliquez sur Défragmenter ;
Pour Windows Vista/7/8
1. Cliquez sur le menu Démarrer (touche Windows + Q pour Windows 8) ;
2. Cliquez sur Ordinateur ;
3. Faites un clic-droit sur le disque dur local que vous souhaitez vérifier (généralement
C:\) ;
4. Cliquez sur Propriétés ;
5. Cliquez sur l'onglet Outils ;
6. Sous Défragmentation, cliquez sur Défragmenter maintenant ;
7. Sélectionnez le volume à défragmenter ;
8. Cliquez sur Défragmenter.

R2 : Tests du disque dur

Effectuer un test du disque dur afin de prévenir les pannes.

R3 : Nettoyage des fichiers temporaires

L'outil Nettoyage de disque s'exécute pour éliminer tous les fichiers inutiles de l'ordinateur :
1. Cliquer sur le bouton Démarrer, sur Tous les programmes, sur Accessoires, sur
Outils système, puis sur Nettoyage de disque ;
2. Dans la boite de dialogue Options de nettoyage de lecteur, indiquer les fichiers à
nettoyer (fichiers personnels ou de tous les utilisateurs de l'ordinateur) ;
3. Si la boite de dialogue Nettoyage de disque : Sélection du lecteur apparaît,
sélectionner le disque dur à nettoyer, puis cliquer sur OK ;
4. Cliquer sur l'onglet Nettoyage de disque, puis activer les cases à cocher pour les
types de fichier à supprimer ;
5. Une fois la sélection terminée, cliquer sur OK , puis sur Supprimer les fichiers pour
confirmer l'opération.

R4 : Analyse des journaux d'évènements

Les journaux doivent être soumis à des contrôles réguliers et indépendants.

Procédure sortie d'un bien

Objectif

Des contrôles ponctuels doivent être effectués pour détecter une sortie de bien.

Logigramme
Procédure Sortie d'un bien

Règles

R1 : Autorisation préalable

Il convient de ne pas sortir un matériel, des informations ou des logiciels des locaux de
l'organisme sans autorisation préalable.

R2 : Identifier les personnels qui ont autorité pour permettre la sortie de biens hors du
site

Il convient d'identifier clairement les salariés, contractants et utilisateurs tiers qui ont autorité
pour permettre la sortie de biens hors du site.
R3 : Contrôles ponctuels

Des contrôles ponctuels, destinés à détecter une sortie de bien non autorisée.

Procédure sécurité du câblage

Objectif

Les câbles électriques ou de télécommunications transportant des données doivent être

protégé contre toute interception ou dommage.

Logigramme

Procédure Sécurité du câblage

Règles

R1 : Protéger le câblage réseau

Les câbles sont sensibles à l'humidité et doivent donc être protégés :

 Pour éviter les effets de couplage, il faut respecter la même distance entre les câbles
courants forts et courants faibles tout au long du cheminement. Les distances à
respecter (sur un chemin de câble) sont au minimum de 5 cm dans le cas d'une
circulation horizontale et sont de 30 cm en circulation verticale.
 Pour éviter les courants de circulation, prévoir une terre unique pour les courants forts
et les courants faibles.

R2 : Utiliser un marquage clairement identifiable sur les câbles

Pour les câbles, choisir une méthode (et une seule) de marquage, par exemple :

 Utilisation de bagues numérotées, ou de codes (chiffres ou bar) sur porte-étiquettes.

 Inscription sur l'étiquette de l'équipement qui est à l'autre bout du câble :
 Pour un switch, le serveur (et son interface) qui est branché dessus.
 Pour un serveur, le port de switch auquel il est raccordé.
 Inscription sur l'étiquette de l'équipement auquel on raccorde le câble et de celui qui
est à l'autre bout du câble.

R3 : Utiliser câble fibre optique

La fibre optique est le média conseillée par l'ISO et l'EIA/TIA. Les principaux avantages
sont :

 Débit d'information élevé ;

 Faible atténuation, transport sur des langues distances ;
 Pas de problème de la mise à la terre ;
 Immunité contre les perturbations électromagnétiques ;
 Pas de diaphonie ;
 Installation en milieu déflagrant (pas d'étincelle) ;
 Discrétion de la liaison et inviolabilité.

R4 : Utiliser un blindage

 Le blindage permet de réduire le champ électromagnétique au voisinage d'un objet en

interposant une barrière entre la source du champ et l'objet à protéger.
 Le blindage empêche que le signal ne s'échappe du conducteur et empêche aussi qu'un
signal parasite ne s'ajoute au signal transporté par le conducteur.

R5 : Contrôler l'accès aux panneaux de raccordement et aux salles des câbles

 Les visiteurs doivent disposer d'une autorisation pour pénétrer dans la salle des câbles.
 Conserver une trace des accès.
Procédure de mise au rebut du matériel
Objectif

Tout matériel équipé des supports de stockage doit être contrôlé en cas de mise au rebut afin
que toutes les données à caractère personnel soient supprimées de manière sécurisée. Si ce
matériel contient des données à caractère personnel sensibles, des mesures spécifiques doivent
être prises pour détruire physiquement ce matériel ou supprimer les informations au moyen de
techniques qui rendent impossible toute récupération.

Logigramme

Procédure de mise au rebut du matériel

Règles

R1 : Nettoyage des données

 Vérifier tout le matériel contenant des supports de stockage.

  S'assurer que toute donnée sensible a bien été supprimée (supprimer ou écraser les
informations au moyen de techniques empêchant de retrouver l'information d'origine
plutôt que par la fonction standard de suppression ou de formatage.).

R2 : Retrait des logiciels et licences

Vérifier que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée,
avant sa mise au rebut.

R3 : Destruction physique

 Détruire physiquement les appareils contenant des informations sensibles.

 Noter tous les numéros de séries des équipements à détruire de façon sécurisée pour
permettre une traçabilité du processus de destruction.

Protection contre les codes malveillants

Des précautions sont requises pour prévenir et détecter l'introduction de codes malveillants
non autorisé qui pourraient affecter le matériel, les systèmes d'exploitation, les programmes et
les données.
Nous cherchons dans ce cadre quatre procédures :

 Procédure atténuation des menaces ;

 Procédure atténuation des vulnérabilités ;
 Procédure atténuation des incidents ;
 Procédure réaction en cas d'infection.

Procédure atténuation des menaces

Objectif

Une menace pour un système informatique est une circonstance qui a le potentiel de causer
des dommages ou des pertes. Le but de cette procédure est de se protéger contre toute
menace.

Logigramme
Procédure atténuation des menaces

Règles

R1 : Installer des antivirus

Installer une solution antivirale gratuite ou rémunérée de façon efficace qui prend en charge
automatiquement le nettoyage des éléments indésirables.

R2 : Détecter et enlever les spywares

La meilleure façon de se protéger est de ne pas installer des logiciels dont on n'est pas sûr à
100% de la provenance et de la fiabilité :

 Ne jamais ouvrir les pièces jointes non identifiées accompagnant un email ;

 Éviter d'installer des logiciels freeware dont l'origine n'est pas garantie ;
  Éviter de surfer sur les sites illégaux ;
 Refusez toujours les installations des logiciels qui sont proposées spontanément lors
de navigation sur Internet ;
 Régler le niveau de sécurité du navigateur et du logiciel de courrier.

R3 : Installer des pare-feu

Pour garantir une sécurité informatique et empêcher le vol des données personnelles et
confidentielles, un ordinateur doit être imperméable aux attaques en provenance du réseau
internet. La configuration correcte d'un pare-feu est indispensable pour la sécurisation d'un
ordinateur. Le pare-feu appelé "firewall" protège l'ordinateur des intrusions malveillantes en
filtrant les paquets d'informations qui entrent et sortent du PC au moyen de la connexion
internet et s'assure qu'ils ne tentent pas d'effectuer des actions illégales.

R4 : Configuration sécurisée pour les hôtes

 Activer le pare-feu ;
 Centre de sécurité de Windows (Le Centre de sécurité de Windows est un tableau de
bord dont le but est d'indiquer si les moyens de protection classiques sont bien activés
sur un ordinateur sous Windows) ;
 Configurer la mise à jour automatique du système d'exploitation ;
 Désactiver le stockage faible des mots de passe ;
 Mise à jour du système d'exploitation ;
 Se protéger du pourriel grâce à un logiciel anti spam.

Procédure atténuation des vulnérabilités

Objectif

Une vulnérabilité est une faiblesse du système informatique qui peut être utilisée pour causer
des dommages. Les faiblesses peuvent apparaître dans n'importe quel élément d'un ordinateur,
à la fois dans le matériel, le système d'exploitation et le logiciel. Le but de cette procédure est
de détecter les vulnérabilités.

Logigramme
Procédure atténuation des vulnérabilités

Règles

R1 : Gérer les patchs logiciels

Faire régulièrement la mise à jour des patchs de sécurité du système d'exploitation.

R2 : Renforcer la sécurité des hôtes

 Installer un anti-virus et le tenir à jour ;

  Installer un firewall ;
 Mettre en place un système de détection d'intrusion.

R3 : Désactiver l'exécution automatique des scripts

Les fichiers au format REG, VBS et WSF permettent d'exécuter des scripts Windows. Or
certains scripts malicieux, reçus par mail ou trouvés sur Internet, peuvent perturber un
ordinateur. Pour éviter cela et éviter d'exécuter un tel script, il suffit de désactiver leur
exécution automatique.

Procédure atténuation des incidents

Objectif

Un incident ou plusieurs évènements indésirables ou inattendus présentant une probabilité

forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité
de l'information. Le but de cette procédure est de se protéger contre tout incident.

Logigramme
Procédure atténuation des incidents

Procédure réaction en cas d'infection

Objectif

Le but de cette procédure est de former l'utilisateur par des étapes qu'il doit faire afin
d'atténuer la propagation d'une infection dans le réseau.
Classification des infections informatique

Logigramme
Procédure réaction en cas d'infection

Règles

R1 : Appeler un service d'assistance informatique

Alerter le service d'assistance informatique immédiatement et suivre les instructions.

R2 : Déconnecter l'ordinateur du réseau

Fermer la connexion (débrancher physiquement le câble ou la ligne téléphonique) pour
empêcher le cheval de Troie ou le virus d'accéder aux informations personnelles ou utiliser
l'ordinateur pour attaquer d'autres ordinateurs.

R3 : Vérifier la mise à jour de l'antivirus et analyser la machine

Déconnecter du réseau et réaliser une analyse complète de la machine afin de permettre

d'identifier les programmes malveillants.

R4 : Réinstaller le système

Formater le disque pour être sûr qu'aucun logiciel malveillant ne survive à la réinstallation.

R5 : Restaurer les fichiers

Avant de remettre les fichiers dans les répertoires de l'ordinateur, analyser les avec le logiciel
antivirus pour vérifier qu'ils ne sont pas infectés.

Procédure de sauvegarde
Objectif

La sauvegarde est l'opération qui consiste à dupliquer et à mettre en sécurité les données
contenues dans un système informatique.
Il convient de réaliser des copies de sauvegarde des informations et logiciels et de les
soumettre régulièrement à essai conformément à la politique de sauvegarde convenue.

Procédure politique de sauvegarde

Logigramme
Procédure politique de sauvegarde

Règles

R1 : Établir un état des lieux des données à sauvegarder

 Faire l'inventaire des données de l'entreprise ;

 Identifier les informations stratégiques ;
 Distinguer les données hébergées par l'entreprise et celles hébergées par un tiers.

R2 : Choisir la fréquence des sauvegardes

La périodicité et la durée des sauvegardes dépendent de plusieurs facteurs :

 Le volume des données ;

 La vitesse d'évolution des données ;
 La quantité d'informations que l'on accepte de perdre ;
 La durée légale de conservation de l'information.
R3 : Choisir le type de sauvegarde

 Sauvegarde complète ;
 Sauvegarde incrémentale ;
 Sauvegarde différentielle ;
 Sauvegarde ponctuelle.

R4 : Choisir le support de sauvegarde

 Le disque dur (interne, externe) ;

 Le CD-ROM ou DVD-ROM ;
 La clé USB ;
 La sauvegarde réseau ;
 La sauvegarde sur Internet (cloud);
 La bande magnétique.

R5 : Vérification des sauvegardes

Contrôler régulièrement le journal des sauvegardes afin de vérifier qu'aucune anomalie n'ait
perturbé le bon fonctionnement des sauvegardes.

Procédure réalisation de sauvegardes

Logigramme

Procédure réalisation de sauvegarde

Procédure contrôle d'accès réseau

Objectif

Empêcher les accès non autorisés aux services disponibles sur le réseau.

Logigramme
Procédure contrôle d'accès réseau

Règles

R1 : Politique relative à l'utilisation des réseaux

1. Désigner les services en réseau pour lesquels l'accès a été accordé ;

2. Désigner les personnes habilitées à accorder au réseau et service en réseau ;
3. Les moyens utilisés pour accéder au réseau et aux services en réseau.

R2 : Authentification des utilisateurs pour les connexions externes

Le premier niveau de sécurité à prendre en compte dans un LAN est l'utilisateur. Pour accéder
aux ressources locales et réseau, il devra s'identifier grâce à un nom d'utilisateur et à un mot
de passe.

R3 : Identification des matériels en réseau

Identifie chaque machine par une adresse IP.

R4 : Protection des ports de diagnostic et de configuration à distance

Contrôler l'accès physique et logique aux ports de diagnostic et de configuration à distance :

 Assurer la conformité des configurations des équipements réseaux des différents ports,
qui doit relever d'une cohérence de sécurité ;
 Les configurations réseaux doivent faire l'objet d'un plan de sauvegarde, en cas de
sinistre, ces copies seront la pierre angulaire de la relève des opérations informatiques.

Procédure Identification et authentification de l'utilisateur

Objectif

Il convient d'attribuer à chaque utilisateur un identifiant unique et exclusif.

Le mot de passe est une méthode parmi d'autres pour effectuer une authentification, c'est-à-
dire vérifier qu'une personne correspond bien à l'identité déclarée. Le mot de passe doit être
tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service.

Logigramme
Procédure d'authentification et identification
Universal Procédure D’authentification 04 juin 2019

Services Version 1.0

Company Page 1/1

Operateur Etapes Règles

 Début

Identifier chaque personne ayant accès

Responsable de sécurité au système

Définir des règles de choix et de

Responsable de sécurité dimensionnement des mots de passe R1

Mettre en place des moyens techniques

permanent de faire respecter les règles R2
Responsable de sécurité de mots de passe définis

Employé Ne pas conserver les mots de passe sur

les systèmes informatiques R3

Supprimer ou modifier
Employé systématiquement les R4
éléments d’authentification par
défaut sur les équipements

Fin

Universal Procédure manipulation 04 juin 2019

des supports
Services Version 1.0

Company Page 1

Procédure d'authentification et identification

Règles

R1 : Définir des règles de choix et de dimensionnement des mots de passe

 Choisir un mot de passe qui n'est pas lié à une identité (mot de passe composé d'un
nom de société, d'une date de naissance, etc.).
 Choisir un mot de passe, d'une longueur minimale de douze caractères et constitué
d'au moins trois des quatre groupes de caractères (minuscules, majuscules, caractères
spéciaux et chiffres).

R2 : Mettre en place des moyens techniques permettant de faire respecter les règles
relatives aux mots de passe

Les moyens permettant de faire respecter la politique de mots de passe pourront être :

 Le blocage des comptes tous les 6 mois tant que le mot de passe n'a pas été changé ;
 Renouveler les mots de passe avec une fréquence raisonnable. Tous les 90 jours est un
bon compromis pour les systèmes contenant des données sensibles ;
 La vérification que les mots de passe choisis ne sont pas trop faciles à retrouver ;
 La vérification que les anciens mots de passe ne facilitent pas la découverte des
nouveaux.

R3 : Ne pas conserver les mots de passe sur les systèmes informatiques

Les mots de passe ou les éléments secrets stockés sur les machines des utilisateurs sont des
éléments recherchés ou exploités en priorité par les attaquants, donc il ne faut pas les
conserver sur les systèmes informatiques.

R4 : Supprimer ou modifier systématiquement les éléments d'authentification par

défaut sur les équipements

Les éléments d'authentification par défaut sur les équipements (commutateurs réseaux,
routeurs, serveurs, imprimantes) sont souvent bien connus des attaquants. Par ailleurs, ils sont
souvent triviaux (mot de passe identique à l'identifiant correspondant, mot de passe partagé
entre plusieurs équipements d'une même gamme, etc.), donc il convient les supprimer ou les
modifier systématiquement.

Procédure manipulation des supports

Objectif

Il convient de contrôler et de protéger physiquement les supports afin d'empêcher la

divulgation, la modification, le retrait ou la destruction non autorisé des biens et l'interruption
des activités de l'organisme.

Logigramme
Procédure manipulation des supports
Universal Procédure manipulation 04 juin 2019
des supports
Services Version 1.0

Company Page 1

Operateur Etapes Règles

Début

Responsable de Tenir Registre des R1

sécurité Supports

Responsable de Identifier les

R2
sécurité supports

Protéger
R3
Employé physiquement les
supports

Exiger une Procédure

autorisation pour sortie du
Employé sortie des matériel
supports de
l’entreprise

Fin
Règles

R1 : Tenir un registre des supports informatiques

Il faut avoir une liste des supports informatiques :

 Disques durs ;
 Cassettes de sauvegardes ;
 DVD ;
  Bandes magnétiques ;
 Clés USB ;
 Cassettes Audios ;
 Disquettes ;
 CD-ROM.

R2 : Identifier les supports

 Chaque support doit être identifié de manière unique et indépendante des informations
qu'il contient.
 Attribuer un code à chaque support : l'attribution d'un code entraîne la création d'une
étiquette qui est fixée sur les supports. Cette référence est reportée dans le registre des
supports.

R3 : Protéger physiquement les supports

 Conserver les supports informatiques dans des coffres et armoires étanches et blindés.
 Ne pas laisser les supports dans le centre informatique (en cas de sinistre, ces supports
risquent en effet d'être également détériorés).

Conclusion
Le manuel des procédures adapté à la sécurité du matériel informatique permettra à
l'entreprise de mieux protéger l'intégrité des biens et des ressources informatiques.
Nous avons procédé à l'inventaire puis à l'évaluation des procédures les plus importantes
concernant la sécurité et le contrôle du matériel informatique.
Il faut noter que le manuel de procédures n'est pas figé. Il doit être régulièrement mis à jour
par des notes qui les complètent ou en modifiant quelques aspects à partir de l'évolution de la
structure et des activités de l'entreprise.