Politique de sécurité réseau
🎯 Objectif
Garantir la confidentialité, l’intégrité et la disponibilité des systèmes et des données en sécurisant l’ensemble des flux et équipements réseau de l’entreprise.
Cette politique vise à :
- Réduire les risques d’intrusion, de fuite de données ou de compromission ;
- Assurer une segmentation efficace des environnements ;
- Permettre une supervision et détection proactive des incidents ;
- Maintenir la conformité aux exigences NIS2 / ISO 27001.
🧩 Périmètre
S’applique à tous les équipements réseau :
- Pare-feux, routeurs, commutateurs, points d’accès Wi-Fi ;
- VPN, VLAN, interconnexions inter-sites ;
- Accès distants, interfaces d’administration et consoles techniques ;
- Services Cloud, tunnels, proxys et passerelles externes.
👥 Rôles et responsabilités
| Rôle |
Responsabilités principales |
| Responsable informatique (SI) |
Pilote la politique, définit les règles de sécurité réseau et supervise leur application. |
| Prestataire externe (SNS) |
Configure et maintient les pare-feux Fortigate sous validation du SI. |
| Utilisateurs |
Respectent les règles d’usage du réseau (VPN obligatoire, interdiction de partage non autorisé, signalement d’incident). |
| Direction |
Valide la politique et garantit les moyens nécessaires à sa mise en œuvre. |
🧱 Exigences minimales
🔐 1. Pare-feu et filtrage
- Tous les accès externes passent par un pare-feu Fortigate configuré selon le principe du moindre privilège.
- Les règles entrantes et sortantes sont documentées et revues tous les trimestres.
- Les logs pare-feu sont centralisés et conservés au moins 6 mois.
- Les interfaces d’administration sont accessibles uniquement depuis le réseau IT ou via VPN.
🌐 2. Segmentation et isolation
- Le réseau est segmenté en VLAN dédiés (serveurs, postes, IoT, invités, administration).
- Les flux inter-VLAN sont filtrés par le pare-feu et journalisés.
- Les zones critiques (hyperviseurs, NAS, sauvegardes) sont isolées.
🧳 3. Accès distants
- Tout accès distant passe par le VPN SSL FortiClient.
- L’authentification multifacteur (MFA) est obligatoire.
- Aucun accès RDP, SSH ou web-admin n’est exposé directement sur Internet.
🛰️ 4. Supervision et détection
- Les logs Fortigate, VPN et serveurs sont collectés dans Grafana/Graylog.
- Une alerte est générée en cas d’échec de connexion ou d’activité anormale.
- Les statistiques réseau sont analysées chaque semaine.
🧩 5. Durcissement et maintenance
- Les firmwares des pare-feux, switches, NAS et AP sont tenus à jour.
- Les configurations réseau sont sauvegardées mensuellement.
- Les ports inutiles, protocoles obsolètes et services non utilisés sont désactivés.
📶 6. Wi-Fi
- Wi-Fi professionnel et invité séparés (VLAN distincts).
- Sécurité WPA3-Enterprise ou équivalente.
- Journalisation des connexions et renouvellement des clés périodique.
🧭 Suivi et indicateurs
| Indicateur |
Objectif |
| % de firmwares réseau à jour |
≥ 95 % |
| Nombre d’interfaces d’administration exposées |
0 |
| % de flux réseau supervisés |
≥ 80 % |
| Délai moyen de détection d’anomalie |
< 24 h |
| Fréquence de revue des règles pare-feu |
1 fois / trimestre |
🔄 Révision et contrôle
- La présente politique est révisée chaque année ou à la suite d’un incident majeur.
- Les résultats de la supervision sont intégrés au rapport de sécurité trimestriel.
- Tout manquement est signalé au responsable informatique et corrigé sans délai.
✅ Validation
| Fonction |
Nom |
Signature |
Date |
| Responsable Informatique |
Sylvain SCATTOLINI |
|
|
| Prestataire Réseau (SNS) |
|
|
|
| Direction Générale |
|
|
|
No comments to display
No comments to display