Quels sont les 11 nouveaux contrôles mis en œuvre par l'ISO/CEI 27001:2022 ?

Introduction

Après plus de 9 ans sans modifications de la norme ISO 27001, en octobre 2022, des changements ont été publiés. Ces changements visent à mieux correspondre au monde d'aujourd'hui qui a largement évolué depuis 2013, année des derniers changements. La majorité des modifications apportées à la norme concernent les contrôles, notamment l'ajout de 11 nouveaux contrôles à l'annexe A.

5.7 Renseignements sur les menaces

Description du contrôle :

Selon Gartner, les renseignements sur les menaces sont : « Des connaissances basées sur des preuves, incluant le contexte, les mécanismes, les indicateurs, les implications et des conseils exploitables, concernant une menace ou un danger existant ou émergent pour les actifs pouvant être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou danger. »

Attentes de la norme :

« Les informations relatives aux menaces de sécurité informatique doivent être collectées et analysées pour produire des renseignements sur les menaces. »

Objectif :

Ce contrôle vise à s'assurer que l'organisation dispose d'un processus de surveillance et d'analyse des informations concernant les menaces, vulnérabilités et incidents de sécurité potentiels ou actuels. Cela vise à aider les organisations à adopter une approche proactive de la gestion des risques de sécurité en fournissant des informations opportunes et pertinentes pour soutenir la prise de décision et la réponse aux incidents. 

Attributs :

5.23 Sécurité de l'information pour l'utilisation des services cloud

Description du contrôle :

Attentes de la norme :

« Des processus pour l'acquisition, l'utilisation, la gestion et la sortie des services cloud doivent être établis conformément aux exigences de sécurité de l'information de l'organisation. »

Objectif :

Le contrôle 5.23 vise à garantir que l'utilisation des services cloud par une organisation ne représente pas un risque pour la confidentialité, l'intégrité et la disponibilité de ses informations.

Ce contrôle est conçu pour aider les organisations à gérer les risques de sécurité associés aux services cloud en mettant en œuvre et en maintenant des mesures de sécurité appropriées à chaque étape du cycle de vie du service.

Pour contrôler le risque lié à l'utilisation des services cloud, l'entreprise peut, par exemple, émettre une politique spécifique à tous les acteurs de l'entreprise.

Attributs :

5.30 Préparation des TIC pour la continuité d'activité

Selon Technopedia, les TIC sont : « La technologie de l'information et des communications (TIC) est la convergence de l'informatique, des télécommunications et des politiques de gouvernance sur la manière dont l'information doit être accessible, sécurisée, traitée, transmise et stockée. »

Description du contrôle :

Attentes de la norme :

« La préparation TIC doit être planifiée, mise en œuvre, maintenue et testée selon les objectifs de continuité d'activité et les exigences de continuité TIC. »

Objectif :

L'objectif de la surveillance est de garantir que les systèmes TIC d'une organisation seront disponibles en cas de perturbation ou de crise. Le but est donc d'évaluer si l'intégrité de l'information est maintenue avant, pendant et après une période de perturbation.

Attributs :

7.4 Surveillance de la sécurité physique

Description du contrôle :

Attentes de la norme :

« Les locaux doivent être surveillés en continu pour un accès physique non autorisé. »

Objectif :

L'objectif de ce contrôle est de mettre en place une surveillance continue des mesures de sécurité physique au sein d'une organisation pour assurer la protection des actifs physiques et des personnes. Les entreprises doivent donc détecter toute intrusion dans les espaces physiques à accès limité. La surveillance de ces zones peut se faire via des caméras, des systèmes de détection d'intrusion, du personnel de sécurité...

Attributs :

8.9 Gestion de la configuration

Description du contrôle :

Attentes de la norme :

« Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. »

Objectif : Les entreprises évoluent dans un monde de plus en plus numérisé, orienté API, où l'adoption d'un nouvel outil peut prendre quelques secondes. Dans ce contexte, le principal objectif de ce contrôle est d'éviter les dérives de configuration. Pour ce faire, les entreprises doivent mettre en place un système qui leur permette de gérer efficacement et de contrôler la configuration de leurs systèmes d'information et de leur infrastructure informatique.

L'entreprise devrait alors établir des processus standardisés pour l'identification, le contrôle, le suivi des états et l'audit des configurations.

Attributs :

8.10 Suppression des informations

Description du contrôle :

Attentes de la norme :

« Les informations stockées dans les systèmes d'information, les dispositifs ou tout autre support de stockage doivent être supprimées lorsqu'elles ne sont plus requises. »

Objectif :

L'objectif de ce contrôle est de supprimer toute information appartenant à l'entreprise mais qui n'est plus utile pour ces activités.

On parle souvent de minimisation des données, qui permet aux entreprises de gérer une plus petite quantité de données et donc en cas de fuite de données de minimiser les risques.

Ce contrôle exigera donc de l'entreprise de définir un délai pour chaque donnée après lequel elle peut être supprimée car elle ne sera plus utile pour l'entreprise.

Attributs :

8.11 Masquage des données

Description du contrôle :

Attentes de la norme :

« Le masquage des données doit être utilisé conformément à la politique spécifique de l'organisation sur le contrôle d'accès et d'autres politiques spécifiques connexes et aux exigences de l'entreprise, en tenant compte de la législation applicable. »

Objectif :

Le masquage des données est l'action de protéger les données sensibles, notamment les données PPII ou les données financières, en les obscurcissant ou les remplaçant par des données fictives ou modifiées tout en conservant leur utilité pour les tests, le développement ou d'autres fins non liées à la production.

Le but final est de garantir la confidentialité et la vie privée des informations sensibles lorsqu'elles sont partagées ou utilisées dans des environnements où les données complètes ne sont pas requises ou ne doivent pas être exposées.

Attributs :

8.12 Prévention des fuites de données

Description du contrôle :

Attentes de la norme :

« Des mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre dispositif qui traite, stocke ou transmet des informations sensibles. »

Objectif :

L'objectif de la prévention des fuites de données est de protéger les actifs de données précieux, de maintenir la confidentialité des données et d'éviter les conséquences financières, légales et de réputation potentielles des violations de données ou des divulgations non autorisées de données.

Pour se protéger, une entreprise doit réaliser une évaluation des risques de ces données, puis définir des politiques de sécurité des données en fonction des risques identifiés.

Selon le type de données, la criticité des données, différentes mesures peuvent être mises en œuvre telles que des autorisations de fichiers robustes ou limiter la capacité d'un utilisateur à copier-coller des données.

Attributs :

8.16 Surveillance des activités

Description du contrôle :

Attentes de la norme :

« Les réseaux, systèmes et applications doivent être surveillés pour détecter un comportement anormal et des mesures appropriées doivent être prises pour évaluer les incidents potentiels de sécurité de l'information. »

Objectif :

Ce contrôle se concentre sur l'établissement d'un système de surveillance complet pour suivre et analyser diverses activités au sein des systèmes d'information et des réseaux d'une organisation.

Le but est que l'entreprise adopte une attitude proactive dans la détection et la réponse aux incidents de sécurité, aux tentatives d'accès non autorisé, aux violations de politique et autres activités anormales ou suspectes qui peuvent constituer une menace pour les actifs d'information de l'organisation.

L'entreprise peut s'équiper d'un système de surveillance pour réaliser ce contrôle, l'objectif sera de définir une base de comportement normal et de surveiller par rapport à cette base.

Attributs :

8.23 Filtrage Web

Description du contrôle :

Attentes de la norme :

« L'accès aux sites web externes doit être géré pour réduire l'exposition à du contenu malveillant. »

Objectif :

L'objectif de ce contrôle est d'établir une liste de sites Internet considérés comme dangereux à consulter, de les lister, puis avec l'aide d'un outil de filtrage web de bloquer l'accès des employés à ces sites. Il est également possible de bloquer le contenu par mots-clés ou thèmes.

Le filtrage web est principalement effectué pour protéger l'entreprise contre les sites ou les liens qui pourraient provoquer une infection par des logiciels malveillants.

Il peut également permettre à une entreprise de bloquer l'accès de ses employés à des espaces de stockage ou à des applications non autorisés par l'entreprise et qui peuvent créer des données fantômes.

Attributs :

8.28 Codage sécurisé

Description du contrôle :

Attentes de la norme :

« Les principes de codage sécurisé doivent être appliqués au développement logiciel. »

Objectif :

L'objectif de ce contrôle est de minimiser les vulnérabilités qui peuvent être créées par un code logiciel et ainsi d'assurer sa sécurité maximale.

Pour ce faire, l'entreprise doit s'assurer qu'elle dispose d'un environnement de développement sécurisé qui repose sur une infrastructure sécurisée et fiable utilisant des logiciels, des services et des fournisseurs sûrs.

En général, l'entreprise doit respecter les principes de codage sécurisé tels que : validation des entrées, encodage des sorties, authentification et contrôle d'accès, stockage sécurisé des données, tests de sécurité réguliers…

Attributs :

Comment automatiser vos contrôles ISO 27001 avec Trout Software ?

Modèles prêts à déployer pour les contrôles

Trout Software a développé un ensemble de modèles qui vous permettent de mettre rapidement en place des contrôles au sein de votre organisation.

Tous nos modèles sont entièrement personnalisables selon les souhaits de l'entreprise. Pour utiliser ces modèles, il suffit de suivre les instructions fournies par Trout Software et de connecter vos données en utilisant les connecteurs pré-construits dans notre logiciel. Une fois le contrôle mis en place, vous pouvez l'automatiser et revenir à la bibliothèque pour choisir le prochain contrôle que vous souhaitez mettre en place.

Automatisation de la conformité

Pour vous faire gagner des heures de tâches manuelles pour vérifier la mise en œuvre et les résultats des contrôles mis en place, Trout Software vous permet d'automatiser ces contrôles.

Pour ce faire, c'est très simple, il vous suffit de choisir le contrôle que vous souhaitez automatiser, de le configurer préalablement avec notre modèle ou par vous-même, puis de l'automatiser dans notre planificateur.

Une fois votre contrôle choisi dans notre planificateur, vous devrez configurer les paramètres du contrôle : date du premier contrôle, nombre de répétitions et temps entre les répétitions, puis cliquer sur Programmer.

Surveillance en temps réel

Grâce à notre plateforme innovante, vous avez accès à un centre de contrôle personnalisé pour tous vos contrôles ISO 27001 et voyez leurs résultats en temps réel.

En effet, sur votre centre de contrôle dans l'onglet Planificateur que vous pouvez voir ci-dessous, chaque contrôle renverra une barre verte ou rouge selon la réponse positive ou négative au contrôle de la règle.

Cela vous permet d'effectuer une surveillance 24h/24 et 7j/7 et de mettre en œuvre des actions correctives rapides et optimisées.