Les machines utilisées pour réaliser les processus métiers et pour traiter les informations de l'organisme sont appelés actifs secondaires ou encore actifs de support ( voir : classification des actifs ; analyse des risques). Afin de pouvoir protéger les processus métiers, respectivement les informations, il faut protéger les actifs de supports qui sont utilisés pour les traiter.

En effet, la compromission au niveau d'un ordinateur ou d'un serveur peut évidemment entraîner la perte de confidentialité, de disponibilité et de l'intégrité des processus ou informations qui y sont traités.

Il faut donc mettre en place, au niveau des actifs secondaires, des mesures de traitement des risques afin de prévenir des impacts néfastes.

La plupart des organisations dédient au moins un ordinateur de bureau à la gestion de l'organisme. Cet ordinateur doit être protégé contre les menaces les plus répandues. Il est fortement conseillé de mettre en place les mesures de sécurité de base.

Suivant la criticité des données traitées, respectivement des processus métiers supportés, il faudra bien entendu élargir le niveau des mesures de protections.

Politique de sécurité pour PME :

• Aspects opérationnels et communications - protection contre les logiciels malicieux et Sauvegarde des données

• contrôle d'accès

Certaines organismes utilisent aussi des ordinateurs portables comme actifs de support pour les processus métier ou pour traiter certains types de données. Ces ordinateurs portables sont souvent sortis de l'enceinte sécurisée d'un bureau et emmenés en des moyens de transports privés ou publics ou encore utilisés dans des lieux privés ou publics. Souvent ils sont connectés à des réseaux étrangers à l'organisme.

Politique de sécurité pour PME :

• Aspects opérationnels et communications - protection contre les logiciels malicieux et Sauvegarde des données

• contrôle d'accès - Gestion des droits d'accès. et Gestion des mots de passe et Procédures de connexion et Connextions de l'extérieur et Utilisation de réseaux externes.

• aspects humains - La formation et l'information

• Classification et maîtrise des ressources

• Développement et maintenance des systèmes - Utilisation du chiffrement

Certains organismes utilisent des serveurs de fichiers pour faciliter la coopération entre les différents agents respectivement pour augmenter le niveau de résilience des données stockées. Tout comme les autres machines de l'organisme, les serveurs de fichiers sont des actifs de support pour les processus métier. Mais ils représentent souvent le point de défaillance unique d' une organisation à petite ou moyenne taille.
Les besoins en terme de confidentialité, de disponibilité et d'intégrité des serveurs de fichiers sont de ce fait plus grands que pour les autres actifs de support de l'organisme. Il est donc essentiel d'appliquer des mesures de sécurité basiques sur ce type de machines.

Les services d'un serveur mail sont connectés en permanence à l'Internet. La probabilité d'être exposé à une menace est grande et l'exploitation de nouvelles vulnérabilités souvent aisée. Sécuriser le serveur mail requiert une certaine attention, parfois même un effort de veille de la part de l'organisme. En effet, l'e-mail est souvent le premier moyen de communication au sein d'une entreprise (intégrité) et contient bien souvent des fichiers au contenu sensible (confidentialité).

Les organismes de petite taille disposent rarement de serveurs mail. Leur gestion, notamment leur protection, est trop complexe pour leur utilisation au sein de petites structures.

Les serveurs web ne contiennent pas toujours des données confidentielles, de ce fait il sont moins touchés par les problèmes de confidentialité. En revanche ils sont supposés fonctionner en permanence (disponibilité) et doivent être résistants aux attaques potentielles de défiguration. ou d'infection. Il est pour cela recommandé de suivre les recommandations pour la sécurisation des serveurs web.