ANNEXE

POINTS DE CONTRÔLE DE LA MAINTENANCE D'UN SYSTÈME D'INFORMATION

Article 1er

Traçabilité

Les contrôles ne sont pas nécessairement réalisés le même jour, mais ils sont synthétisés dans une fiche datée par rubrique qui reprend les articles de cette annexe dans l'ordre.

Article 2

Sauvegardes et capacité de redémarrage

Des données de sauvegardes, locales et distantes, sont restaurées. En particulier, il est contrôlé l'âge des dernières sauvegardes exploitables, après déchiffrement éventuel pour les sauvegardes distantes. Tout âge de dernière sauvegarde supérieur à une semaine est justifié.

Une relance machine vérifie les capacités de redémarrage sans assistance manuelle, et évalue la durée d'un tel redémarrage. Tout temps de service machine continu " uptime " supérieur à un an est justifié.

Article 3

Contrôle des composants par rapport à des failles connues et au support

Les versions des composants sont comparées aux bases d'inventaires des failles connues.

La filière sécurité des systèmes d'information est chargée de tenir à jour la panoplie d'outils permettant l'automatisation de ces contrôles. Exemple à date des outils recommandés pour les piles technologiques les plus courantes du ministère, des couches les plus basses aux plus hautes.

- Linux : audit Lynis ;

- Conteneur : scan docker ou trivy ;

- Java : rapport dependency-check ;

- Php : rapport symfony security-checker ou repman security scanner ;

- Node.js : rapport npm audit.

Ce contrôle s'assure aussi du support de l'éditeur ou d'une communauté active, par exemple via le référentiel https://endoflife.date.

Toute utilisation d'un composant présentant une faille connue avec un score CVSS supérieur ou égal à 7 ou sans support depuis 6 mois est justifié.

Article 4

Mises à jour des enregistrements

La maîtrise d'ouvrage actualise les inventaires suivants :

- cartographie des acteurs dans les registres d'aide à l'exploitation et à la gestion d'incident (portail support produits et services SPS) ;

- description des tests de supervision réalisés par le pôle de supervision informatique national (PSIN) ;

- abonnements aux fils d'alerte de sécurité des composants ;

- échéances d'homologation SSI, déclaration CNIL.

Article 5

Revue des incidents

La maîtrise d'œuvre synthétise les événements d'exploitation notables de la période extraits de :

- historique des indisponibilités non programmées ;

- tickets d'incidents et problèmes récurrents.