Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

CM-02 - Configuration de référence   (-F-)  (Obligatoire)


Énoncés :


a. Élaborer, consigner et tenir à jour, dans le cadre du contrôle des configurations, une configuration de référence du système
b. Passer en revue et mettre à jour la configuration de référence du système :
1. [Affectation : fréquence définie par l’organisation]
2. le cas échéant, selon [Affectation : circonstances définies par l’organisation]
3. lorsque des composants du système sont installés ou modifiés

Paramètres :

b.
1. au minimum 1 fois par année b.
2. les circonstances suivantes: dès que survient une modification significative aux actifs informationnels concernés, lorsqu'instruit par les autorités gouvernementales
aaQC. : - Infrastructure réseautique : un diagramme de réseau; les connexités (ex. : fournisseur d’accès Internet, passerelle réseau, WIFI, etc.); les segmentations réseau (ex : micro-segmentation, VLAN, sous-réseau, etc.); le matériel de sécurité réseau (ex : IPS, Pare-feu, WAF, etc.); la technologie de sécurité utilisée (ex : NAC, WPA3, etc.). - Serveurs exposés sur Internet : les adresses IP publiques et privées; les systèmes d’exploitation (recommandé); les principaux services installés (ex. : serveur web, VPN, etc.). - Serveurs non exposés sur Internet (recommandé) : les adresses IP; les systèmes d’exploitation; les principaux services installés. - Plan des bâtiments : l'emplacement des prises réseau et leur rattachement à un appareil de télécommunication (recommandé); la correspondance entre les prises réseau et un port spécifique sur un appareil de télécommunication (recommandé). - Coordonnées des contacts d’urgence internes ou externes qui peuvent intervenir en cas d’incident de sécurité.

Responsable : OP

Date limite de mise en oeuvre : 2025-08-31

Discussion :

Les configurations de référence pour les systèmes et les composants de systèmes incluent les éléments associés à la connectivité, à l’utilisation et aux communications. Les configurations de référence sont des spécifications des systèmes et des éléments de configuration connexes documentés dont on a convenu et qui font officiellement l’objet d’examens. Les versions, les publications ou les changements à venir concernant les systèmes reposent sur les configurations de référence. Elles comprennent des mises en oeuvre des contrôles de sécurité et de protection de la vie privée, des procédures opérationnelles, de l’information sur les composants de système, la topologie de réseau et la disposition logique des composants au sein de l’architecture du système. La tenue à jour de ces configurations requiert la création de nouvelles bases de référence à mesure que les systèmes organisationnels évoluent. Les configurations de référence des systèmes sont conformes à l’architecture d’entreprise. Si le système facilite la collecte ou l’utilisation de renseignements personnels, les configurations de référence devraient inclure un énoncé de confidentialité fourni aux utilisatrices et utilisateurs.