Quels sont les 11 nouveaux contrôles mis en œuvre par l'ISO/CEI 27001:2022 ?
Découvrez les principales mises à jour de la norme ISO 27001, y compris 11 nouveaux contrôles introduits en 2022, et apprenez comment Trout Software simplifie la conformité grâce à l'automatisation, aux modèles et à la surveillance en temps réel. Améliorez la sécurité et rationalisez la mise en œuvre de la norme ISO 27001 sans effort.
📖 Temps de lecture estimé : 8 minutes
Content
Introduction
Après plus de 9 ans sans modifications de la norme ISO 27001, en octobre 2022, des changements ont été publiés. Ces changements visent à mieux correspondre au monde d'aujourd'hui qui a largement évolué depuis 2013, année des derniers changements. La majorité des modifications apportées à la norme concernent les contrôles, notamment l'ajout de 11 nouveaux contrôles à l'annexe A.
5.7 Renseignements sur les menaces
Description du contrôle :
Selon Gartner, les renseignements sur les menaces sont : « Des connaissances basées sur des preuves, incluant le contexte, les mécanismes, les indicateurs, les implications et des conseils exploitables, concernant une menace ou un danger existant ou émergent pour les actifs pouvant être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou danger. »
Attentes de la norme :
« Les informations relatives aux menaces de sécurité informatique doivent être collectées et analysées pour produire des renseignements sur les menaces. »
Objectif :
Ce contrôle vise à s'assurer que l'organisation dispose d'un processus de surveillance et d'analyse des informations concernant les menaces, vulnérabilités et incidents de sécurité potentiels ou actuels. Cela vise à aider les organisations à adopter une approche proactive de la gestion des risques de sécurité en fournissant des informations opportunes et pertinentes pour soutenir la prise de décision et la réponse aux incidents.
Attributs :
5.23 Sécurité de l'information pour l'utilisation des services cloud
Description du contrôle :
Attentes de la norme :
« Des processus pour l'acquisition, l'utilisation, la gestion et la sortie des services cloud doivent être établis conformément aux exigences de sécurité de l'information de l'organisation. »
Objectif :
Le contrôle 5.23 vise à garantir que l'utilisation des services cloud par une organisation ne représente pas un risque pour la confidentialité, l'intégrité et la disponibilité de ses informations.
Ce contrôle est conçu pour aider les organisations à gérer les risques de sécurité associés aux services cloud en mettant en œuvre et en maintenant des mesures de sécurité appropriées à chaque étape du cycle de vie du service.
Pour contrôler le risque lié à l'utilisation des services cloud, l'entreprise peut, par exemple, émettre une politique spécifique à tous les acteurs de l'entreprise.
Attributs :
5.30 Préparation des TIC pour la continuité d'activité
Selon Technopedia, les TIC sont : « La technologie de l'information et des communications (TIC) est la convergence de l'informatique, des télécommunications et des politiques de gouvernance sur la manière dont l'information doit être accessible, sécurisée, traitée, transmise et stockée. »
Description du contrôle :
Attentes de la norme :
« La préparation TIC doit être planifiée, mise en œuvre, maintenue et testée selon les objectifs de continuité d'activité et les exigences de continuité TIC. »
Objectif :
L'objectif de la surveillance est de garantir que les systèmes TIC d'une organisation seront disponibles en cas de perturbation ou de crise. Le but est donc d'évaluer si l'intégrité de l'information est maintenue avant, pendant et après une période de perturbation.
Attributs :
7.4 Surveillance de la sécurité physique
Description du contrôle :
Attentes de la norme :
« Les locaux doivent être surveillés en continu pour un accès physique non autorisé. »
Objectif :
L'objectif de ce contrôle est de mettre en place une surveillance continue des mesures de sécurité physique au sein d'une organisation pour assurer la protection des actifs physiques et des personnes. Les entreprises doivent donc détecter toute intrusion dans les espaces physiques à accès limité. La surveillance de ces zones peut se faire via des caméras, des systèmes de détection d'intrusion, du personnel de sécurité...
Attributs :
8.9 Gestion de la configuration
Description du contrôle :
Attentes de la norme :
« Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. »
Objectif : Les entreprises évoluent dans un monde de plus en plus numérisé, orienté API, où l'adoption d'un nouvel outil peut prendre quelques secondes. Dans ce contexte, le principal objectif de ce contrôle est d'éviter les dérives de configuration. Pour ce faire, les entreprises doivent mettre en place un système qui leur permette de gérer efficacement et de contrôler la configuration de leurs systèmes d'information et de leur infrastructure informatique.
L'entreprise devrait alors établir des processus standardisés pour l'identification, le contrôle, le suivi des états et l'audit des configurations.
Attributs :
8.10 Suppression des informations
Description du contrôle :
Attentes de la norme :
« Les informations stockées dans les systèmes d'information, les dispositifs ou tout autre support de stockage doivent être supprimées lorsqu'elles ne sont plus requises. »
Objectif :
L'objectif de ce contrôle est de supprimer toute information appartenant à l'entreprise mais qui n'est plus utile pour ces activités.
On parle souvent de minimisation des données, qui permet aux entreprises de gérer une plus petite quantité de données et donc en cas de fuite de données de minimiser les risques.
Ce contrôle exigera donc de l'entreprise de définir un délai pour chaque donnée après lequel elle peut être supprimée car elle ne sera plus utile pour l'entreprise.
Attributs :
8.11 Masquage des données
Description du contrôle :
Attentes de la norme :
« Le masquage des données doit être utilisé conformément à la politique spécifique de l'organisation sur le contrôle d'accès et d'autres politiques spécifiques connexes et aux exigences de l'entreprise, en tenant compte de la législation applicable. »
Objectif :
Le masquage des données est l'action de protéger les données sensibles, notamment les données PPII ou les données financières, en les obscurcissant ou les remplaçant par des données fictives ou modifiées tout en conservant leur utilité pour les tests, le développement ou d'autres fins non liées à la production.
Le but final est de garantir la confidentialité et la vie privée des informations sensibles lorsqu'elles sont partagées ou utilisées dans des environnements où les données complètes ne sont pas requises ou ne doivent pas être exposées.
Attributs :
8.12 Prévention des fuites de données
Description du contrôle :
Attentes de la norme :
« Des mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre dispositif qui traite, stocke ou transmet des informations sensibles. »
Objectif :
L'objectif de la prévention des fuites de données est de protéger les actifs de données précieux, de maintenir la confidentialité des données et d'éviter les conséquences financières, légales et de réputation potentielles des violations de données ou des divulgations non autorisées de données.
Pour se protéger, une entreprise doit réaliser une évaluation des risques de ces données, puis définir des politiques de sécurité des données en fonction des risques identifiés.
Selon le type de données, la criticité des données, différentes mesures peuvent être mises en œuvre telles que des autorisations de fichiers robustes ou limiter la capacité d'un utilisateur à copier-coller des données.
Attributs :
8.16 Surveillance des activités
Description du contrôle :
Attentes de la norme :
« Les réseaux, systèmes et applications doivent être surveillés pour détecter un comportement anormal et des mesures appropriées doivent être prises pour évaluer les incidents potentiels de sécurité de l'information. »
Objectif :
Ce contrôle se concentre sur l'établissement d'un système de surveillance complet pour suivre et analyser diverses activités au sein des systèmes d'information et des réseaux d'une organisation.
Le but est que l'entreprise adopte une attitude proactive dans la détection et la réponse aux incidents de sécurité, aux tentatives d'accès non autorisé, aux violations de politique et autres activités anormales ou suspectes qui peuvent constituer une menace pour les actifs d'information de l'organisation.
L'entreprise peut s'équiper d'un système de surveillance pour réaliser ce contrôle, l'objectif sera de définir une base de comportement normal et de surveiller par rapport à cette base.
Attributs :
8.23 Filtrage Web
Description du contrôle :
Attentes de la norme :
« L'accès aux sites web externes doit être géré pour réduire l'exposition à du contenu malveillant. »
Objectif :
L'objectif de ce contrôle est d'établir une liste de sites Internet considérés comme dangereux à consulter, de les lister, puis avec l'aide d'un outil de filtrage web de bloquer l'accès des employés à ces sites. Il est également possible de bloquer le contenu par mots-clés ou thèmes.
Le filtrage web est principalement effectué pour protéger l'entreprise contre les sites ou les liens qui pourraient provoquer une infection par des logiciels malveillants.
Il peut également permettre à une entreprise de bloquer l'accès de ses employés à des espaces de stockage ou à des applications non autorisés par l'entreprise et qui peuvent créer des données fantômes.
Attributs :
8.28 Codage sécurisé
Description du contrôle :
Attentes de la norme :
« Les principes de codage sécurisé doivent être appliqués au développement logiciel. »
Objectif :
L'objectif de ce contrôle est de minimiser les vulnérabilités qui peuvent être créées par un code logiciel et ainsi d'assurer sa sécurité maximale.
Pour ce faire, l'entreprise doit s'assurer qu'elle dispose d'un environnement de développement sécurisé qui repose sur une infrastructure sécurisée et fiable utilisant des logiciels, des services et des fournisseurs sûrs.
En général, l'entreprise doit respecter les principes de codage sécurisé tels que : validation des entrées, encodage des sorties, authentification et contrôle d'accès, stockage sécurisé des données, tests de sécurité réguliers…
Attributs :
Comment automatiser vos contrôles ISO 27001 avec Trout Software ?
Modèles prêts à déployer pour les contrôles
Trout Software a développé un ensemble de modèles qui vous permettent de mettre rapidement en place des contrôles au sein de votre organisation.
Tous nos modèles sont entièrement personnalisables selon les souhaits de l'entreprise. Pour utiliser ces modèles, il suffit de suivre les instructions fournies par Trout Software et de connecter vos données en utilisant les connecteurs pré-construits dans notre logiciel. Une fois le contrôle mis en place, vous pouvez l'automatiser et revenir à la bibliothèque pour choisir le prochain contrôle que vous souhaitez mettre en place.
Automatisation de la conformité
Pour vous faire gagner des heures de tâches manuelles pour vérifier la mise en œuvre et les résultats des contrôles mis en place, Trout Software vous permet d'automatiser ces contrôles.
Pour ce faire, c'est très simple, il vous suffit de choisir le contrôle que vous souhaitez automatiser, de le configurer préalablement avec notre modèle ou par vous-même, puis de l'automatiser dans notre planificateur.
Une fois votre contrôle choisi dans notre planificateur, vous devrez configurer les paramètres du contrôle : date du premier contrôle, nombre de répétitions et temps entre les répétitions, puis cliquer sur Programmer.
Surveillance en temps réel
Grâce à notre plateforme innovante, vous avez accès à un centre de contrôle personnalisé pour tous vos contrôles ISO 27001 et voyez leurs résultats en temps réel.
En effet, sur votre centre de contrôle dans l'onglet Planificateur que vous pouvez voir ci-dessous, chaque contrôle renverra une barre verte ou rouge selon la réponse positive ou négative au contrôle de la règle.
Cela vous permet d'effectuer une surveillance 24h/24 et 7j/7 et de mettre en œuvre des actions correctives rapides et optimisées.
5.7 Renseignement sur les menaces
Description du contrôle :
Selon Gartner, le renseignement sur les menaces est : « Des connaissances fondées sur des preuves, incluant le contexte, les mécanismes, les indicateurs, les implications et les conseils d'action, concernant une menace ou un danger existant ou émergent pour les actifs, pouvant être utilisées pour éclairer les décisions concernant la réponse d'un sujet à cette menace ou ce danger »
Attentes de la norme :
« Les informations relatives aux menaces à la sécurité de l'information doivent être collectées et analysées pour produire des renseignements sur les menaces »
Objectif :
Ce contrôle vise à garantir que l'organisation dispose d'un processus en place pour surveiller et analyser les informations sur les menaces, vulnérabilités et incidents de sécurité potentiels ou réels. Cela vise à aider les organisations à adopter une approche proactive de la gestion des risques de sécurité en fournissant des informations opportunes et pertinentes pour soutenir la prise de décision et la réponse aux incidents.
5.23 Sécurité de l'information pour l'utilisation des services cloud
Description du contrôle :
Attentes de la norme :
« Des processus pour l'acquisition, l'utilisation, la gestion et la sortie des services cloud doivent être établis conformément aux exigences de sécurité de l'information de l'organisation. »
Objectif :
Le contrôle 5.23 vise à s'assurer que l'utilisation des services cloud par une organisation ne représente pas un risque pour la confidentialité, l'intégrité et la disponibilité de ses informations.
Ce contrôle est conçu pour aider les organisations à gérer les risques de sécurité associés aux services cloud en mettant en œuvre et en maintenant des mesures de sécurité appropriées à chaque étape du cycle de vie du service.
Pour contrôler le risque lié à l'utilisation des services cloud, l'entreprise peut, par exemple, publier une politique spécifique à tous les intervenants de l'entreprise.
5.30 Préparation des TIC pour la continuité des activités
Selon Technopedia, les TIC sont : « Les Technologies de l'Information et de la Communication (TIC) sont la convergence de l'informatique, des télécommunications et des politiques de gouvernance sur la manière dont l'information doit être accessible, sécurisée, traitée, transmise et stockée. »
Description du contrôle :
Attentes de la norme :
« La préparation des TIC doit être planifiée, mise en œuvre, maintenue et testée en fonction des objectifs de continuité des activités et des exigences de continuité des TIC. »
Objectif :
L'objectif de la surveillance est de garantir que les systèmes de technologie de l'information et de communication (TIC) d'une organisation soient disponibles en cas de perturbation ou de crise. Le but est donc d'évaluer si l'intégrité de l'information est maintenue avant, pendant et après une période de perturbation.
7.4 Surveillance de la sécurité physique
Description du contrôle :
Attentes de la norme :
« Les locaux doivent être continuellement surveillés pour prévenir les accès physiques non autorisés. »
Objectif :
L'objectif de ce contrôle est de surveiller en continu les mesures de sécurité physique au sein d'une organisation pour assurer la protection des biens physiques et des personnes. Les entreprises doivent donc détecter toute intrusion dans les espaces physiques à accès limité. La surveillance de ces zones peut être effectuée via des caméras, des systèmes de détection d'intrusion, du personnel de sécurité...
8.9 Gestion de la configuration
Description du contrôle :
Attentes de la norme :
« Les configurations, y compris les configurations de sécurité du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. »
Objectif : Les entreprises évoluent dans un monde de plus en plus numérisé, axé sur les API, où l'adoption d'un nouvel outil peut se faire en quelques secondes. Dans ce contexte, l'objectif principal de ce contrôle est d'éviter les dérives de configuration. Pour ce faire, les entreprises doivent mettre en place un système qui leur permet de gérer et de contrôler efficacement la configuration de leurs systèmes d'information et de leur infrastructure informatique.
L'entreprise doit alors établir des processus standardisés pour l'identification, le contrôle, la comptabilité d'état et l'audit des configurations.
8.10 Suppression des informations
Description du contrôle :
Attentes de la norme :
« Les informations stockées dans les systèmes d'information, les appareils ou tout autre support de stockage doivent être supprimées lorsqu'elles ne sont plus nécessaires. »
Objectif :
L'objectif de ce contrôle est de supprimer toute information appartenant à l'entreprise mais qui n'est plus utile pour ces activités.
On parle souvent de minimisation des données, ce qui permet aux entreprises de gérer une moindre quantité de données et ainsi, en cas de fuite de données, de minimiser les risques.
Ce contrôle nécessitera donc que l'entreprise définisse une période de temps pour chaque donnée après laquelle elle peut être supprimée car elle ne sera plus utile pour l'entreprise.
8.11 Masquage des données
Description du contrôle :
Attentes de la norme :
« Le masquage des données doit être utilisé conformément à la politique spécifique au sujet de l’organisation sur le contrôle d'accès et d'autres politiques spécifiques au sujet, tout en tenant compte de la législation applicable. »
Objectif :
Le masquage des données consiste à protéger les données sensibles, en particulier les données PPII ou financières, en les obfusquant ou en les remplaçant par des données fictives ou modifiées tout en conservant leur utilisabilité pour les tests, le développement ou d'autres fins non productives.
Le but final est d'assurer la confidentialité et la vie privée des informations sensibles lorsqu'elles sont partagées ou utilisées dans des environnements où les données complètes ne sont pas requises ou ne devraient pas être exposées.
8.12 Prévention des fuites de données
Description du contrôle :
Attentes de la norme :
« Les mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre appareil qui traite, stocke ou transmet des informations sensibles. »
Objectif :
L'objectif de la prévention des fuites de données est de protéger les biens informationnels précieux, de maintenir la confidentialité des données et de prévenir les conséquences financières, juridiques et de réputation potentielles des violations de données ou des divulgations non autorisées de données.
Pour se protéger, une entreprise doit réaliser une évaluation des risques de ces données, puis définir des politiques de sécurité des données en fonction des risques identifiés.
Selon le type de données, leur criticité, différentes mesures peuvent être mises en œuvre telles que des permissions de fichiers robustes ou restreindre la capacité d'un utilisateur à copier-coller des données.
8.16 Activités de surveillance
Description du contrôle :
Attentes de la norme :
« Les réseaux, systèmes et applications doivent être surveillés pour un comportement anormal et des actions appropriées doivent être prises pour évaluer les incidents potentiels de sécurité de l'information. »
Objectif :
Ce contrôle vise à établir un système de surveillance complet pour suivre et analyser diverses activités au sein des systèmes d'information et des réseaux d'une organisation.
L'objectif est que l'entreprise adopte une approche proactive pour détecter et répondre aux incidents de sécurité, aux tentatives d'accès non autorisées, aux violations de politiques et à d'autres activités anormales ou suspectes pouvant représenter un risque pour les actifs informationnels de l'organisation.
L'entreprise peut s'équiper d'un système de surveillance pour accomplir ce contrôle, l'objectif sera de définir une base de comportement normal et de contrôler par rapport à cette base.
8.23 Filtrage Web
Description du contrôle :
Attentes de la norme :
« L’accès aux sites Web externes doit être géré pour réduire l'exposition à un contenu malveillant. »
Objectif :
L'objectif de ce contrôle est d'établir une liste de sites Internet considérés comme dangereux à consulter, de les répertorier, puis avec l'aide d'un outil de filtrage Web de bloquer l'accès des employés à ces sites. Il est également possible de bloquer le contenu par mots-clés ou thèmes.
Le filtrage Web est principalement effectué pour protéger l'entreprise contre les sites ou liens pouvant entraîner une infection par des logiciels malveillants.
Il peut également permettre à une entreprise de bloquer l'accès à ses employés aux espaces de stockage ou aux applications non autorisées par l'entreprise et qui peuvent créer des données parallèles.
8.28 Codage sécurisé
Description du contrôle :
Attentes de la norme :
« Les principes de codage sécurisé doivent être appliqués au développement de logiciels. »
Objectif :
L'objectif de ce contrôle est de minimiser les vulnérabilités qui peuvent être créées par un code logiciel et ainsi assurer sa sécurité maximale.
Pour ce faire, l'entreprise doit s'assurer d'avoir un environnement de développement sécurisé construit sur une infrastructure sécurisée et fiable utilisant des logiciels, services et fournisseurs sécurisés.
En général, l'entreprise doit respecter les principes de codage sécurisé tels que : validation des entrées, encodage des sorties, authentification et contrôle d'accès, stockage sécurisé des données, tests de sécurité réguliers…
Comment automatiser vos contrôles ISO 27001 avec Trout Software ?
Prêts à l'emploi modèles de contrôles
Trout Software a développé un ensemble de modèles qui vous permettent de rapidement mettre en place des contrôles au sein de votre organisation.
Tous nos modèles sont entièrement personnalisables selon les souhaits de l'entreprise. Pour utiliser ces modèles, suivez simplement les instructions fournies par Trout Software et connectez vos données à l'aide des connecteurs préconstruits dans notre logiciel. Une fois le contrôle configuré, vous pouvez l'automatiser puis retourner à la bibliothèque pour choisir le prochain contrôle que vous souhaitez configurer.
Automatisation de la conformité
Pour vous faire gagner des heures de tâches manuelles pour vérifier la mise en œuvre et les résultats des contrôles mis en place, Trout Software vous permet d'automatiser ces contrôles.
Pour ce faire, c'est très simple, il vous suffit de choisir le contrôle que vous souhaitez automatiser, de le configurer au préalable avec notre modèle ou par vous-même, puis de l'automatiser dans notre planificateur.
Une fois votre contrôle choisi dans notre planificateur, vous devrez configurer les paramètres du contrôle : date du premier contrôle, nombre de répétitions et temps entre les répétitions puis cliquer sur Planifier.
Surveillance en temps réel
Grâce à notre plateforme innovante, vous avez accès à un centre de contrôle personnalisé pour tous vos contrôles ISO 27001 et visualisez leurs résultats en temps réel.
En effet, sur votre centre de contrôle dans l'onglet Planificateur que vous pouvez voir ci-dessous, chaque contrôle retournera une barre verte ou rouge selon la réponse positive ou négative du contrôle à la règle.
Cela vous permet de réaliser une surveillance 24h/24 et 7j/7 et d'implémenter des actions correctives rapides et optimisées.