Les produits et les systèmes d'information sont de plus en plus complexes, tout comme les processus utilisés pour les développer et les exploiter. En conséquence, il y a une probabilité accrue d'erreurs de configuration et/ou de bogues.

Ces erreurs et bogues peuvent mettre en péril des services et des données critiques, ce qui peut entraîner des produits dangereux, des pertes commerciales, des dommages à la réputation ou des interruptions de fonctionnement.

Avoir un plan de gestion de la configuration peut réduire ces risques et améliorer la posture de sécurité globale de l'organisation. Continuez à lire pour obtenir une définition, un exemple et un modèle de plan de gestion de la configuration.

Qu'est-ce que la gestion de la configuration ?

La gestion de la configuration est l'ensemble des activités visant à établir et à maintenir l'intégrité des produits et des systèmes, y compris le matériel, les logiciels, les applications, l'infrastructure et la documentation. Ces activités contrôlent les processus d'initialisation, de modification et de surveillance des configurations des produits et des systèmes tout au long du cycle de vie du développement.

L'une de ces activités est l'élaboration d'un plan de gestion de la configuration. Examinons de plus près ce que c'est ci-dessous.

Qu'est-ce qu'un plan de gestion de la configuration ?

Un plan de gestion de la configuration est une description complète des rôles, des responsabilités, des processus et des procédures qui s'appliquent à la gestion de la configuration des produits et des systèmes.

Il décrit comment faire avancer les changements par le biais de processus de gestion des changements, mettre à jour les paramètres et les configurations de base, maintenir des inventaires de composants, et développer, publier et mettre à jour les documents clés. Il décrit également les environnements de développement, de test et opérationnels de contrôle.

Bien que chaque plan de gestion de la configuration soit unique, il doit spécifier les éléments suivants :

• Conseil de gestion des configurations ou Conseil de Contrôle des Changements (CCB) : un groupe de personnel qualifié chargé du processus de contrôle et d'approbation des changements tout au long du cycle de vie du développement et de fonctionnement des produits et des systèmes
• Identification des éléments de configuration : une méthodologie pour sélectionner et nommer les éléments de configuration qu'il est nécessaire de placer sous gestion de la configuration
• Contrôle des modifications de configuration : un processus de gestion des mises à jour aux configurations de base pour les éléments de configuration
• Surveillance de la configuration : un processus d'évaluation ou de test du niveau de conformité avec la configuration de base établie et des mécanismes de rapport sur le statut de la configuration des éléments placés sous gestion de la configuration

Quel est l'objectif d'un plan de gestion de la configuration ?

Les produits et les systèmes de votre organisation évoluent constamment pour suivre l’évolution des menaces ou des fonctions métier. Par exemple, votre produit ou système peut recevoir une mise à jour matérielle, de nouvelles capacités logicielles ou des correctifs pour corriger une erreur d’un composant existant. La mise en œuvre de ces changements entraîne une certaine adaptation de la configuration du système, ce qui peut avoir un impact sur la sécurité de ce système et de toute votre organisation.

Un plan de gestion de la configuration qui définit clairement les processus et procédures pour établir et maintenir des configurations système sécurisées ainsi que les personnes responsables de la gestion et du contrôle de ces processus et procédures peut aider à gérer les risques associés à ces systèmes, améliorant ainsi la posture de sécurité de ces systèmes et de toute votre organisation.

Étant donné que de nombreuses vulnérabilités peuvent être attribuées à des défauts logiciels et à des erreurs de configuration des composants du système, un plan de gestion de la configuration peut aider à contrôler les vulnérabilités et à débloquer toute une gamme d’avantages, notamment :

• faciliter la gestion des actifs
• améliorer la réponse aux incidents, l’assistance, la reprise après sinistre et la résolution des problèmes
• aider au développement et à la gestion des versions logicielles
• soutenir la conformité avec les politiques et la préparation aux audits

Pourquoi un plan de gestion de la configuration est-il important pour la conformité NIST 800-53 ?

La création et le maintien d’un plan de gestion de la configuration soutiennent la mise en œuvre de la famille de contrôles de gestion de la configuration définie dans NIST 800-53. Nous allons examiner de plus près deux d'entre eux ci-dessous. 

CM-1 exige que les organisations développent, documentent et diffusent :

• Une politique de gestion de la configuration : Cette politique doit couvrir les éléments suivants : objectif, portée, rôles, responsabilités, engagement de la direction, coordination entre les entités organisationnelles et conformité.
• Procédures de gestion de la configuration : Ces procédures doivent faciliter la mise en œuvre de la politique de gestion de la configuration et des contrôles de gestion de la configuration associés.

Un plan de gestion de la configuration satisfait aux exigences d'une politique de gestion de la configuration et définit les procédures et processus pour l’utilisation de la gestion de la configuration afin de soutenir les activités du cycle de vie de développement du système.

CM-9 exige spécifiquement que les organisations développent, documentent et mettent en œuvre un plan de gestion de la configuration pour le système qui :

• Aborde les rôles, responsabilités et processus et procédures de gestion de la configuration
• Établit un processus d’identification des éléments de configuration tout au long du cycle de vie de développement du système et de gestion de leur configuration
• Définit les éléments de configuration du système et les place sous gestion de configuration

Ce plan doit également être examiné et approuvé par le personnel désigné et protégé contre toute divulgation et modification non autorisées.

Comment créer un plan de gestion de la configuration

Il est maintenant temps de commencer à formuler et à élaborer votre plan de gestion de la configuration. Pour vous guider tout au long du processus, nous avons décomposé le processus en sept étapes clés. Nous avons également fourni un exemple et un modèle ci-dessous pour vous aider à démarrer.

1. Définir les rôles et responsabilités.

Pour commencer, définissez les rôles pertinents pour le programme de gestion de la configuration ainsi que leurs responsabilités. Par exemple, un chef de programme peut être responsable de l'élaboration des politiques et procédures de gestion de la configuration et de la supervision de la mise en œuvre du programme pour l'ensemble de l'organisation ou un système individuel.

D'autres rôles clés peuvent comprendre :

• Directeur de l'information
• Administrateur système
• Développeur de systèmes ou de logiciels
• Utilisateur système
• Membre du CCB/personnel autorisé

2. Identifier et prioriser les systèmes critiques qui nécessiteront une gestion des changements et des configurations.

L'étape suivante consiste à identifier et à prioriser les systèmes et les produits nécessaires à la réalisation des missions et des processus métiers et qui doivent être configurés d'une manière particulière pour ce faire.

3. Identifier les actifs liés aux systèmes critiques.

Ensuite, identifiez les actifs distincts qui composent chaque système critique, tels que les serveurs, les postes de travail, les routeurs ou les applications. Ces actifs sont appelés composants du système.

Cette liste deviendra votre inventaire de composants système et fournira une vue d'ensemble des composants qui doivent être gérés et sécurisés afin de maintenir la sécurité de vos systèmes critiques.

4. Identifier les éléments de configuration des systèmes qui nécessiteront une gestion des configurations.

Maintenant, regroupez les composants système et les objets non composants, tels que les documents, les diagrammes réseau, les scripts, le code personnalisé et divers autres éléments composant le système, qui nécessitent une gestion des configurations en éléments de configuration. Les configurations de ces éléments seront gérées comme une seule.

Par exemple, tous les postes de travail exécutant le même type et la même version d'un système d'exploitation peuvent être regroupés en un seul élément de configuration.

5. Déterminer une base de configuration pour chaque système.

Ensuite, développez une base de configuration sécurisée pour le système et ses éléments et composants de configuration associés. Cette base est l'état le plus sécurisé qu'un système peut atteindre tout en répondant aux exigences opérationnelles et aux contraintes telles que les coûts. Elle peut aborder les paramètres de configuration, les charges logicielles, les niveaux de correctifs, la manière dont le système d'information est physiquement ou logiquement agencé, la manière dont divers contrôles de sécurité sont mis en œuvre, et la documentation.

Une fois revue et approuvée, mettez en œuvre la base de configuration.

6. Développer un processus de gestion de la configuration.

Ensuite, développez un processus sur la manière dont les modifications du système seront gérées afin de maintenir la base de configuration approuvée du système ci-dessus.

Ce processus devrait définir les éléments suivants :

• Comment les changements sont formellement identifiés
• Comment ils sont proposés
• Comment ils sont examinés
• Comment ils sont analysés pour l'impact sur la sécurité et testés
• Comment ils sont approuvés avant mise en œuvre
• Par qui ils sont examinés et approuvés
• Qui déploie ces changements en production
• Comment la séparation des devoirs entre le développement et le déploiement est mise en œuvre

7. Identifier les outils à utiliser pour mettre en œuvre et surveiller les configurations.

Les outils automatisés peuvent non seulement aider votre organisation à mettre en œuvre les configurations, mais aussi à les surveiller pour s'assurer qu'un système reste sécurisé (c'est-à-dire conforme aux politiques et procédures organisationnelles et à la base de configuration sécurisée approuvée). Ces outils peuvent automatiquement identifier quand le système n'est pas conforme à la base de configuration approuvée en raison de composants système non documentés, de mauvaises configurations, de vulnérabilités et de changements non autorisés, et vous alerter que des actions correctives sont nécessaires.

Maintenant que vous comprenez le processus étape par étape pour développer un plan de gestion de la configuration, examinons un exemple.

Exemple de plan de gestion de configuration

Un plan de gestion de configuration est généralement divisé en trois parties. La première introduit la gestion de configuration et son objectif, fournit un aperçu du système et décrit l'objectif et la portée du document ainsi que les politiques et procédures applicables.

La deuxième partie détaille le programme de gestion de configuration, y compris les rôles et responsabilités, les politiques et procédures et leur administration, et tous les outils utilisés.

La troisième partie détaille les activités de gestion de configuration, qui incluent généralement l'identification de configuration, l'établissement de bases de référence, le contrôle des changements de configuration, la surveillance et le reporting.

NASA, Centers for Disease Control and Prevention, et US Department of Housing and Urban Development ont tous publié des exemples de plans de gestion de configuration suivant ce format et cette structure standards.

Ci-dessous se trouve un plan plus détaillé pour développer un plan de gestion de configuration.

1. General information
	1.1 Background
	1.2 Overview of system
	1.3 Purpose of document

2. Configuration management program
	2.1 Roles and responsibilities 
	2.2 Program administration
	2.3 Tools

3. Configuration management activities
	3.1 Configuration identification
	3.2 Configuration baselining
	3.3 Configuration change control
	3.4 Monitoring
	3.5 Reporting

Modèle de plan de gestion de configuration

La NIST 800-53 recommande d'utiliser des modèles pour garantir le développement et la mise en œuvre cohérents et opportuns des plans de gestion de configuration. Téléchargez gratuitement le modèle ci-dessous, puis adaptez-le à votre organisation et publiez-le rapidement et facilement à votre personnel pour examen.

Comment Secureframe peut aider avec la gestion de configuration axée sur la sécurité

Secureframe peut aider à simplifier le processus de gestion de configuration et la conformité NIST 800-53 globale. Avec Secureframe, vous pouvez :

• Configurer rapidement des politiques et procédures NIST 800-53 en utilisant notre bibliothèque de politiques et procédures
• Utiliser nos tests et contrôles préconstruits, ou créer des tests de téléchargement personnalisés et des contrôles personnalisés pour les processus, politiques et procédures uniques de votre organisation afin de se conformer à NIST 800-53.
• Tester automatiquement les contrôles via la collecte continue de données de configuration de plus de 150 intégrations
• Rester à jour avec les modifications des exigences NIST 800-53

Planifiez une démonstration pour découvrir comment Secureframe peut vous aider à atteindre et maintenir la conformité NIST 800-53 dans toute votre entreprise.