CM-07(05) - Logiciels autorisés − Autorisation par exception (PaF-)
Énoncés :
a. Identifier les [Affectation : programmes informatiques pouvant être exécutés sur le système définis par l’organisation]
b. Recourir à une stratégie tout interdire, autoriser par exception pour permettre l’exécution des programmes informatiques autorisés sur le système
c. Passer en revue et mettre à jour la liste des programmes informatiques autorisés tous les [Affectation : fréquence définie par l’organisation]
Les programmes informatiques autorisés peuvent être limités à des versions ou à des sources particulières. Afin de favoriser un processus complet de gestion des logiciels autorisés et de renforcer la protection contre les attaques qui contournent les logiciels autorisés au niveau de l’application, les programmes informatiques peuvent être décomposés en différents niveaux de détail et surveillés. Ces niveaux incluent les applications, les interfaces de programmation d’applications (API pour Application Programming Interface), les modules d’application, les scripts, les processus système, les services système, les fonctions noyau, les registres, les pilotes et les bibliothèques de liens dynamiques. Le concept visant à autoriser l’exécution de logiciels autorisés pourrait également s’appliquer à des actions propres aux utilisatrices et utilisateurs, à des ports et protocoles de système, à des adresses IP ou à des plages d’adresses IP, à des sites Web et à des adresses MAC. Les organisations doivent envisager de vérifier l’intégrité des programmes informatiques autorisés à l’aide de signatures numériques, de totaux de contrôle cryptographique ou de fonctions de hachage. La vérification des logiciels peut s’effectuer avant l’exécution du système ou au démarrage du système. L’identification d’adresses URL autorisées pour des sites Web est abordée dans les contrôles CA-03(05) et SC-07.