Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

PL-08(01) - Défense en profondeur   (PaFF)


Énoncés :

Concevoir les architectures de sécurité et de protection de la vie privée pour le système en adoptant une approche de défense en profondeur qui :
a. affecte [Affectation : contrôles définis par l’organisation] aux [Affectation : emplacements et couches d’architecture désignés par l’organisation]
b. s’assure que les contrôles affectés fonctionnent de façon coordonnée et se renforcent mutuellement

Paramètres :

Responsable : Aucun

Discussion :

L’organisation affecte stratégiquement les contrôles de sécurité et de protection de la vie privée dans les architectures de sécurité et de protection de la vie privée de manière à ce que les adversaires ne puissent atteindre leur objectif sans être confrontés à plusieurs contrôles. Forcer les adversaires à mettre en échec plusieurs contrôles les empêche d’attaquer trop facilement les ressources d’information en leur compliquant la tâche. Cela augmente également les chances que leurs activités soient détectées. Il est essentiel de bien coordonner les contrôles affectés de manière à éviter qu’une attaque visant l’un de ces contrôles n’ait des conséquences néfastes imprévues et aille à l’encontre d’autres contrôles. Les conséquences imprévues peuvent comprendre le verrouillage des systèmes et des alertes successives. La mise en place des contrôles dans les systèmes et les organisations est une activité importante qui exige une analyse minutieuse. Il est important de tenir compte de la valeur des biens de l’organisation au moment de procéder à une structuration en couches plus poussée. Les approches à l’architecture de défense en profondeur comprennent la modularité et la structuration en couches (voir le contrôle SA-08(03)), la séparation des fonctionnalités des utilisateurs et du système (voir le contrôle SC-02) et l’isolation des fonctions de sécurité (voir le contrôle SC-03).