ISO 27001 – Annexe A.13 : Sécurité des communications

Quel est l’objectif de l’annexe A.13.1 ?

L'Annexe A.13.1 concerne la gestion de la sécurité du réseau. L'objectif de la présente annexe est d'assurer la protection des informations dans les réseaux et des installations de traitement de l'information qui les soutiennent. Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.

A.13.1.1 Contrôles du réseau

Les réseaux doivent être gérés et contrôlés afin de protéger les informations au sein des systèmes et des applications. En termes simples, l'organisation doit utiliser des méthodes appropriées afin de garantir qu'elle protège toutes les informations contenues dans ses systèmes et applications. Ces contrôles de réseau doivent examiner attentivement toutes les opérations de l'entreprise, être conçus de manière adéquate et proportionnée et mis en œuvre conformément aux exigences de l'entreprise, à l'évaluation des risques, aux classifications et aux exigences de ségrégation, le cas échéant.

Voici quelques exemples possibles de contrôles techniques à prendre en considération : Contrôle des connexions et vérification des points de terminaison, pare-feu et systèmes de détection/prévention des intrusions, listes de contrôle d'accès et ségrégation physique, logique ou virtuelle. Il est également important de veiller au fait que lors de la connexion à des réseaux publics ou à ceux d'autres organisations échappant au contrôle de l'organisation, il faut tenir compte des niveaux de risque accrus et gérer ces risques avec des contrôles supplémentaires, le cas échéant.

Vous devrez garder à l’esprit que l’auditeur veillera à ce que ces contrôles mis en œuvre soient efficaces et gérés de manière appropriée, y compris l’utilisation de procédures formelles de gestion du changement.

A.13.1.2 Sécurité des services réseau

Les mécanismes de sécurité, les niveaux de service et les exigences de gestion de tous les services réseau doivent être identifiés et inclus dans les accords de services réseau, que ces services soient fournis en interne ou externalisés. En termes simples, l'organisation doit inclure toutes les différentes mesures de sécurité qu'elle prend pour sécuriser ses services réseau, dans ses accords de services réseau. Votre auditeur voudra s'assurer que la conception et la mise en œuvre des réseaux prennent en compte à la fois les exigences commerciales et les exigences de sécurité, en atteignant un équilibre adéquat et proportionné entre les deux. Ils rechercheront des preuves de cela, ainsi que des preuves d'une évaluation des risques.

A.13.1.3 Ségrégation dans les réseaux

Les groupes de services d'information, d'utilisateurs et de systèmes d'information doivent être séparés sur les réseaux. Dans la mesure du possible, envisagez de séparer les tâches des opérations de réseau et des opérations informatiques/système, par exemple les domaines publics, les domaines du département x ou y. La conception et le contrôle du réseau doivent s'aligner et prendre en charge les politiques de classification des informations et les exigences de ségrégation.

Quel est l’objectif de l’annexe A.13.2 ?

L'annexe A.13.2 concerne le transfert d'informations. L'objectif de cette annexe est de maintenir la sécurité des informations transférées au sein de l'organisation et avec toute entité externe, par exemple un client, un fournisseur ou toute autre partie intéressée.

A.13.2.1 Politiques et procédures de transfert d'informations

Des politiques, procédures et contrôles formels en matière de transfert doivent être en place pour protéger le transfert d’informations via l’utilisation de tous les types d’installations de communication. Quel que soit le type de moyen de communication utilisé, il est important de comprendre les risques de sécurité impliqués par rapport à la confidentialité, à l'intégrité et à la disponibilité des informations et cela devra prendre en compte le type, la nature, la quantité et la sensibilité ou la classification des informations en cours de transfert. Il est particulièrement important de mettre en œuvre de telles politiques et procédures lorsque des informations sont transférées depuis ou vers l'organisation depuis des tiers. Des contrôles différents mais complémentaires peuvent être nécessaires pour protéger les informations transférées contre l'interception, la copie, la modification, le mauvais acheminement et la destruction et doivent être considérés de manière globale lors de l'identification des contrôles à sélectionner.

A.13.2.2 Accords sur le transfert d'informations

Les informations peuvent être transférées numériquement ou physiquement et les accords doivent régir le transfert sécurisé des informations commerciales entre l'organisation et toute partie externe. Les procédures formelles de politique de transfert et les contrôles techniques doivent être sélectionnés, mis en œuvre, exploités, surveillés, audités et examinés pour garantir une protection de sécurité efficace et continue. Souvent, les systèmes et procédures de communication et de transfert sont mis en place, sans réelle compréhension des risques encourus, ce qui crée donc des vulnérabilités et d'éventuels compromis. La norme ISO 27002 aborde les considérations de mise en œuvre, notamment la prise en compte des notifications, de la traçabilité, du dépôt fiduciaire, des normes d'identification, de la chaîne de traçabilité, de la cryptographie, du contrôle d'accès et autres.

A.13.2.3 Messagerie électronique

Toute information impliquée dans toute forme de messagerie électronique doit être protégée de manière appropriée. En termes simples, lors de l'utilisation de la messagerie électronique, elle doit être protégée pour garantir qu'aucun accès non autorisé ne puisse être obtenu. L'organisation doit créer une politique qui définit quelles formes de messagerie électronique doivent être utilisées pour les différents types d'informations transférées, par exemple en fonction sur leur degré de sécurité. Il faudra également prendre en compte le transfert des communications vocales et par fax, ainsi que le transfert physique (par exemple via les systèmes postaux). Cela doit s’aligner sur les contrôles d’accès et autres politiques d’authentification sécurisées et procédures de connexion.

A.13.2.4 Accords de confidentialité ou de non-divulgation

Un bon contrôle décrit comment les exigences en matière d'accords de confidentialité ou de non-divulgation qui reflètent les besoins de l'organisation en matière de protection des informations doivent être identifiées, régulièrement examinées et documentées. En tant que telle, l'organisation doit s'assurer que toute information qui doit être protégée le fait par le biais d'accords de confidentialité et de non-divulgation.

Les accords sont généralement spécifiques à l'organisation et doivent être élaborés en gardant à l'esprit ses besoins de contrôle à la suite du travail d'analyse des risques. Les accords standards de confidentialité et de non-divulgation qui peuvent justifier d’être pris en considération ici comprennent :

• Accords généraux de non-divulgation et accords mutuels de non-divulgation, par exemple lors du partage d'informations sensibles, par exemple sur de nouvelles idées commerciales.
• Accords clients utilisant des conditions générales – exprimant la confidentialité dans le cadre de l’utilisation des produits vendus et des éventuels services complémentaires décrits dans un bon de commande associé.
• Accords d'associé/fournisseur/partenaire utilisés pour les petits fournisseurs et les prestataires de services indépendants que l'organisation utilise pour la prestation de services.
• Termes liés à l’emploi (alignés sur A.7).
• Politiques de confidentialité, par exemple dans les pieds de page des e-mails.