Active Directory ANSSI
Ce référentiel a été élaboré en concertation avec les acteurs du marché. L’Anssi a procédé à une phase expérimentale dont l’objectif était de tester en conditions réelles la pertinence des exigences fixées dans la première version du référentiel publiée en avril 2020.
À la suite d’un appel public à candidatures en mai 2020, un panel de prestataires a été sélectionné par l’ANSSI pour participer à une phase expérimentale. Leurs évaluations au regard du référentiel ont été menées par deux centres sous l’observation de l’ANSSI d’octobre 2020 à mars 2022. Le référentiel a été mis à jour pour prendre en compte les retours de cette phase expérimentale.
Son application garantit la couverture de multiples cas d’usage envisageables pour l’administration et la maintenance d’un système d’information conduites par un prestataire en matière de sécurité.
L’interconnexion croissante des réseaux et l’interdépendance de services provenant d’entités différentes, exposent les systèmes d’information à des risques inhérents à l’activité d’administration et de maintenance. Lorsque cette activité est confiée à un prestataire, celui-ci doit proposer à ses commanditaires un service à l’état de l’art, permettant aussi bien d’offrir des garanties face au risque de malveillance interne, que de se prémunir d’un scénario d’attaque pouvant conduire à la compromission du système d’information administré à travers les moyens d’administration qu’il met en œuvre.
L’établissement d’une relation de confiance entre un commanditaire et son prestataire passant par le respect d’un cadre en matière de sécurité, est ainsi indispensable.
L’application du référentiel doit permettre de garantir un cadre d’implémentation de zones de confiance sur un périmètre de prestation donné et la bonne exécution des missions afférentes aux activités d’administration et de maintenance, pour un service d’administration et de maintenance sécurisées interne ou externe. Il permet de définir également des exigences portant sur la structure du prestataire ainsi que sur ses processus en formulant des exigences relatives à la probité et à la compétence du personnel qui assure l’exécution de la prestation.
La qualification par l’ANSSI permet d’attester la conformité d’un prestataire aux exigences du référentiel. Sont ainsi invités à se rapprocher de l’ANSSI :
La liste des prestataires en cours de qualification est disponible sur le site web de l’ANSSI.
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.