Table des Matières
Publicité
ANNEXE
Gestion de
L'accès logique au système/dispositif doit être limité aux utilisateurs légitimes qui ne doivent disposer que
comptes
des privilèges nécessaires à leurs postes/fonctions. Certaines des meilleures pratiques ci-dessous devront
peut-être être mises en œuvre en les intégrant aux politiques de l'entreprise :
• Assurez-vous que les informations d'identification par défaut sont modifiées lors de la première
connexion. Le système VoCALL 16 ne doit pas être déployé dans des environnements de production si les
informations d'identification par défaut n'ont pas été modifiées, car elles sont connues du grand public.
• Pas de partage de compte : chaque utilisateur doit se voir attribuer un compte unique plutôt que de
partager des comptes et des mots de passe. Les fonctionnalités de surveillance/d'enregistrement de la
sécurité du produit sont personnalisées pour chaque utilisateur disposant d'un compte unique. Autoriser
les utilisateurs à partager des informations d'identification compromet la sécurité.
• Limitez les privilèges administratifs : l'objectif des personnes malveillantes est de prendre le contrôle
d'informations d'identification légitimes, et plus particulièrement celles de comptes à privilèges élevés.
Les privilèges administratifs ne doivent être attribués qu'à des comptes spécialement conçus pour les
tâches administratives et non pour une utilisation classique.
• Utilisez les rôles/privilèges d'accès mentionnés dans la section 11 pour attribuer un accès progressif aux
utilisateurs en fonction des besoins professionnels/opérationnels. Suivez le principe du moindre privilège
(allouez le niveau d'autorité minimum et l'accès aux ressources du système nécessaires pour le rôle).
• Gérez régulièrement les comptes (supprimez les comptes non utilisés).
• Appliquez un délai d'expiration de session après une période d'inactivité donnée.
Enregistrement
• Eaton recommande d'enregistrer tous les événements système et application pertinents,
et gestion des
notamment toutes les activités administratives et de maintenance.
événements
• Les journaux doivent être protégés contre les falsifications et autres risques d'intégrité (par
exemple, en limitant les autorisations d'accès et de modification des journaux, en transférant
les journaux vers un système d'informations de sécurité et de gestion des événements, etc.).
• Assurez-vous que les journaux sont conservés pendant une période de temps raisonnable et
appropriée.
• Passez régulièrement les journaux en revue. La fréquence de révision doit être raisonnable,
en prenant en compte la sensibilité et l'importance du système/dispositif et des données qu'il
traite.
Reportez-vous aux sections 14 et 16 pour plus d'informations.
Maintenance
Reportez-vous à la section 18 pour plus d'informations.
en toute
sécurité
162
MAnueL d'inStALLAtion et d'utiLiSAtion 25-16760-C May 2021 www.eaton.com
Publicité
Table des Matières
