ISO 27001 – Annexe A.10 : Cryptographie

Quel est l’objectif de l’annexe A.10.1 ?

L'Annexe A.10.1 concerne les contrôles cryptographiques. L'objectif de ce contrôle de l'Annexe A est de garantir une utilisation appropriée et efficace de la cryptographie pour protéger la confidentialité, l'authenticité et/ou l'intégrité des informations. Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.

A.10.1.1 Politique sur l'utilisation des contrôles cryptographiques

Le chiffrement et les contrôles cryptographiques sont souvent considérés comme l’une des armes clés de l’arsenal de sécurité, mais ils ne constituent pas à eux seuls la « solution miracle » qui résout tous les problèmes. Une sélection incorrecte des technologies et techniques cryptographiques ou une mauvaise gestion du matériel cryptographique (par exemple les clés et les certificats) peuvent elles-mêmes créer des vulnérabilités.

Le cryptage peut ralentir le traitement et la transmission des informations. Il est donc important de comprendre tous les risques et d'équilibrer les contrôles à un niveau adéquat tout en atteignant les objectifs de performance.

Une politique sur l'utilisation du chiffrement peut être un bon endroit pour identifier les exigences commerciales quant au moment où le chiffrement doit être utilisé et les normes qui doivent être mises en œuvre. Il faut également tenir compte des exigences légales concernant le cryptage.

A.10.1.2 Gestion des clés

Un bon contrôle décrit comment une politique sur l'utilisation et la protection des clés cryptographiques doit être développée et mise en œuvre tout au long de leur cycle de vie. L’un des aspects les plus importants concerne la création, la distribution, les modifications, la sauvegarde et le stockage des clés cryptographiques jusqu’à leur fin de vie et leur destruction.

La gestion des clés constitue souvent le point le plus faible du chiffrement et les attaquants peuvent chercher à s’en prendre à cela plutôt qu’au chiffrement lui-même. Il est donc important de disposer de processus robustes et sécurisés autour de cela. Le traitement des clés compromises est également important et, le cas échéant, devrait également être lié à l'annexe A.16, Gestion des incidents de sécurité.

Application du chiffrement

ISMS.online propose des conseils et des conseils pour une bonne politique de cryptage, mais il s'agit de l'un des rares domaines où elle est propre à votre entreprise et aux activités opérationnelles dans lesquelles vous utiliseriez le cryptage.

Nous disposons d'une liste de partenaires qui fournissent des conseils et des produits spécialisés en matière de chiffrement. S'il s'agit d'un domaine dans lequel vous avez besoin d'aide lors de votre mise en œuvre, faites-le nous savoir et nous pourrons également vous mettre en contact avec des experts de confiance.