- Voir ISO 27002:2022 Contrôle 8.24 pour en profiter.
- Voir ISO 27001:2013 Annexe A 10.1.1 pour en profiter.
- Voir ISO 27001:2013 Annexe A 10.1.2 pour en profiter.
Annexe A 8.24 Explication : Mise en œuvre de contrôles cryptographiques sécurisés
Lors de la transmission d'informations entre réseaux et appareils, les cyberattaquants peuvent tenter de voler des données sensibles, de modifier le contenu, d'imiter les expéditeurs/destinataires pour obtenir un accès non autorisé ou d'intercepter l'échange.
Les cybercriminels peuvent employer homme au milieu (MITM) attaques, interceptant les transmissions de données et se faisant passer pour le serveur pour amener l'expéditeur à révéler ses informations de connexion. Grâce à ces informations d’identification, ils peuvent accéder aux systèmes et compromettre les données sensibles.
La cryptographie, telle que le cryptage, peut protéger efficacement la confidentialité, l'intégrité et la disponibilité des informations en transit.
Les techniques cryptographiques peuvent sécuriser les actifs informationnels lorsqu’ils ne sont pas utilisés. Ils veillent à ce que les données soient protégées contre tout accès ou modification non autorisé.
L'annexe A 27001 de l'ISO 2022 : 8.24 décrit comment les organisations peuvent créer et appliquer des réglementations et des processus concernant l'utilisation de la cryptographie.
Objet de la norme ISO 27001:2022 Annexe A 8.24
ISO 27001: 2022 L'Annexe A 8.24 permet aux organisations de garantir la confidentialité, l'intégrité, l'authenticité et la disponibilité des actifs informationnels grâce à une application correcte de la cryptographie et en satisfaisant aux critères suivants :
- Les exigences commerciales sont indispensables.
- Qu'on Assure sécurité de l'information par la mise en œuvre d’exigences strictes.
- Les mandats statutaires, contractuels et organisationnels nécessitent le recours à la cryptographie.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Propriété à l'annexe A 8.24
Le respect de l'annexe A 8.24 nécessite la mise en œuvre d'une politique en matière de cryptographie, la mise en place d'un processus efficace de gestion des clés et la détermination du type de technique cryptographique applicable à la classification des données d'un actif informationnel donné.
Responsable de la sécurité de l'information doit être tenu responsable de la mise en place de réglementations et de protocoles appropriés concernant les clés cryptographiques.
Orientations générales sur la conformité à la norme ISO 27001:2022 Annexe A 8.24
ISO 27001: 2022 Annexe A Le contrôle 8.24 stipule sept exigences que les organisations doivent respecter lorsqu'elles utilisent des méthodes cryptographiques :
- Les organisations doivent avoir une politique en place concernant l’utilisation de la cryptographie, afin de maximiser ses avantages et de réduire les risques. Cette politique devrait également définir les principes généraux de protection des informations.
- Les organisations doivent tenir compte de la délicatesse de leurs ressources d’informations, ainsi que du niveau de classification des informations qui leur est attribué, lors de la sélection du type, de la force et de la qualité de l’algorithme de chiffrement.
- Les organisations doivent utiliser des approches cryptographiques lors du transfert d'informations vers des appareils portables, des équipements multimédias ou lorsqu'elles y sont stockées.
- Les organisations doivent s'attaquer à toutes les questions liées à la gestion des clés, comme la formation et la protection des clés cryptographiques et la mise en place d'un système de récupération des données au cas où les clés seraient manquantes ou vulnérables.
- Les organisations doivent définir les rôles et responsabilités des éléments suivants :
- Les règles d'utilisation des techniques cryptographiques doivent être établies et appliquées.
- Manipulation des clés, y compris leur génération.
- L'organisation adopte et approuve des normes englobant les algorithmes cryptographiques, la force de chiffrement et les pratiques d'utilisation de la cryptographie.
- Les organisations doivent prendre en compte l'impact potentiel du chiffrement sur l'efficacité des contrôles d'inspection du contenu, tels que la détection des logiciels malveillants.
La norme ISO 27001 :2022, annexe A 8.24, souligne que les organisations doivent prendre en compte les exigences et restrictions juridiques pouvant avoir un impact sur l'utilisation de la cryptographie, y compris le transfert international d'informations cryptées.
Les organisations doivent prendre en compte la responsabilité et la continuité des services lorsqu'elles concluent des accords de service avec des fournisseurs externes de services cryptographiques.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils sur la gestion des clés
Les organisations doivent mettre en place et suivre des processus sécurisés pour la génération, le stockage, la récupération et l'élimination des clés cryptographiques.
Les organisations doivent installer un système de gestion des clés solide comprenant des réglementations, des procédures et des critères pour :
- Il est nécessaire de générer des clés cryptographiques pour divers systèmes et applications.
- La délivrance et l'obtention de certificats de clé publique.
- Distribuez les clés aux destinataires prévus, y compris la procédure d'activation des clés.
- Les clés doivent être conservées en toute sécurité. Les personnes autorisées à y accéder peuvent le faire avec les informations d'identification nécessaires.
- Changement de clés.
- La gestion des clés compromises doit être prise au sérieux.
- Si les clés sont compromises ou si un personnel autorisé quitte une organisation, elles doivent être révoquées.
- Récupération des clés perdues.
- La sauvegarde et l'archivage des clés doivent être effectués régulièrement.
- Détruire les clés.
- Tenir un registre de toutes les activités liées à chaque clé.
- Établir les dates d'activation et de désactivation des clés.
- Accéder aux clés en réponse à des demandes légales.
Enfin, il est essentiel que les organisations soient conscientes des trois principaux risques soulignés dans ces lignes directrices supplémentaires :
- Les clés sécurisées et privées doivent être protégées contre toute utilisation non autorisée.
- La protection des équipements utilisés pour créer ou stocker des clés de chiffrement doit être effectuée avec la sécurité physique les mesures.
- Les organisations doivent garantir la validité de leurs clés publiques.
Quels sont les avantages de la cryptographie ?
La norme ISO 27001 : 2022, annexe A 8.24, indique que la cryptographie peut être utilisée pour aider les organisations à atteindre quatre objectifs de sécurité des informations. Ces objectifs incluent la vérification de l'authenticité des clés publiques à travers des processus de gestion des clés publiques :
- La cryptographie garantit la préservation de la confidentialité des données, tant en transit que lors de leur stockage.
- Les signatures numériques et les codes d'authentification garantissent que les informations communiquées sont authentiques et fiables.
- Les méthodes cryptographiques garantissent que tous les événements ou actions entreprises, y compris la réception d'informations, ne seront pas désavoués.
- L'authentification via des méthodes cryptographiques permet aux organisations de valider l'identité des utilisateurs cherchant à accéder aux systèmes et applications.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27001:2013
ISO 27001:2022 Annexe A 8.24 remplace ISO 27001:2013 Annexe A 10.1.1 et 10.1.2 dans la norme révisée 2022.
Le contenu des deux est presque le même, bien qu’il y ait quelques modifications structurelles.
Alors que la version 2013 comportait deux contrôles distincts, 10.1.1 et 10.1.2, pour l'utilisation de la cryptographie, la version 2022 les a regroupés en un seul contrôle de l'Annexe A, 8.24.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
Comment l'aide d'ISMS.online
ISMS.Online est le principal logiciel de système de gestion ISO 27001, aidant les entreprises à adhérer à la norme ISO 27001:2022 et à garantir que leurs politiques et procédures de sécurité sont conformes à la norme.
Ce plate-forme en nuage propose un ensemble complet d'outils pour aider les organisations à mettre en œuvre un système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO 27001.
Tendre la main et réservez une démonstration aujourd'hui.