ISO 27001 – Annexe A.9 : Contrôle d'accès

Qu’est-ce que l’Annexe A.9 ?

L'Annexe A.9 concerne les procédures de contrôle d'accès. L'objectif de l'annexe A.9 est de protéger l'accès à l'information et de garantir que les employés ne peuvent consulter que les informations pertinentes pour leur travail. Ce guide vous expliquera tout ce que vous devez savoir sur l’annexe A.9.

L'annexe A.9 est divisée en quatre sections et vous devrez parcourir chacune d'entre elles. Il s'agit des contrôles d'accès, de la gestion des accès des utilisateurs, des responsabilités des utilisateurs et des contrôles d'accès aux applications.

Quel est l’objectif de l’annexe A.9.1 ?

L'annexe A.9.1 concerne les exigences commerciales en matière de contrôle d'accès. L’objectif de ce contrôle de l’annexe A est de limiter l’accès aux informations et aux installations de traitement de l’information.

Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001. Comprenons ces exigences et ce qu'elles signifient un peu plus en profondeur.

A.9.1.1 Politique de contrôle d'accès

Une politique de contrôle d'accès doit être établie, documentée et révisée régulièrement en tenant compte des exigences de l'entreprise pour les actifs concernés.

Les règles, droits et restrictions de contrôle d'accès ainsi que l'étendue des contrôles utilisés doivent refléter les risques de sécurité de l'information liés aux informations et la volonté de l'organisation de les gérer. En termes simples, le contrôle d'accès consiste à déterminer qui a besoin de savoir, qui doit utiliser et à quelle quantité il a accès.

Les contrôles d'accès peuvent être de nature numérique et physique, par exemple des restrictions d'autorisation sur les comptes d'utilisateurs ainsi que des limitations sur les personnes pouvant accéder à certains emplacements physiques (alignées sur l'Annexe A.11 Sécurité physique et environnementale). La politique doit prendre en compte :

• Exigences de sécurité des applications métier et s'aligner sur le système de classification des informations utilisé conformément à A.8 Gestion des actifs ;
• Clarifier qui doit accéder, savoir et qui doit utiliser les informations – soutenu par des procédures et des responsabilités documentées ;
• Gestion des droits d'accès et des droits d'accès privilégiés (plus de puissance - voir ci-dessous), y compris l'ajout de changements dans la vie (par exemple, contrôles des super-utilisateurs/administrateurs) et des examens périodiques (par exemple par des audits internes réguliers conformément à l'exigence 9.2.
• Les règles de contrôle d'accès doivent être appuyées par des procédures formelles et des responsabilités définies ;

Le contrôle d'accès doit être revu en fonction des changements de rôles et en particulier lors de la sortie, pour s'aligner sur l'annexe A.7 Sécurité des ressources humaines.

A.9.1.2 Accès aux réseaux et services réseau

Le principe du moindre accès est l'approche générale privilégiée en matière de protection, plutôt qu'un accès illimité et des droits de superutilisateur sans examen attentif.

En tant que tels, les utilisateurs ne devraient avoir accès qu'au réseau et aux services réseau dont ils ont besoin ou qu'ils connaissent pour leur travail. La politique doit donc aborder : Les réseaux et services de réseau concernés par l'accès ; Procédures d'autorisation pour montrer qui (en fonction du rôle) est autorisé à accéder à quoi et quand ; et Contrôles et procédures de gestion pour empêcher l'accès et le surveiller dans la vie.

Ceci doit également être pris en compte lors de l’intégration et du départ, et est étroitement lié à la politique de contrôle d’accès elle-même.

Quel est l’objectif de l’annexe A.9.2 ?

L'Annexe A.9.2 concerne la gestion des accès des utilisateurs. L'objectif de ce contrôle de l'Annexe A est de garantir que les utilisateurs sont autorisés à accéder aux systèmes et services ainsi que d'empêcher tout accès non autorisé.

A.9.2.1 Inscription et désinscription des utilisateurs

Un processus formel d’enregistrement et de désinscription des utilisateurs doit être mis en œuvre. Un bon processus de gestion des identifiants utilisateur consiste à pouvoir associer des identifiants individuels à des personnes réelles et à limiter les identifiants d'accès partagés, qui doivent être approuvés et enregistrés le cas échéant.

Un bon processus d'intégration et de sortie est lié à la sécurité des ressources humaines A7 pour montrer une inscription/désinscription rapide et claire tout en évitant de réémettre d'anciennes pièces d'identité. Un examen régulier des pièces d'identité illustrera un bon contrôle et renforcera la gestion continue.

Cela peut être lié aux audits internes mentionnés ci-dessus pour les audits de contrôle d'accès et aux examens périodiques par les propriétaires des actifs informationnels ou des applications de traitement.

A.9.2.2 Fourniture de l'accès utilisateur

Un processus (aussi simple et documenté soit-il) doit être mis en œuvre pour attribuer ou révoquer les droits d'accès de tous les types d'utilisateurs à tous les systèmes et services. Bien réalisé, il rejoint les points ci-dessus ainsi que le travail plus large en matière de sécurité des ressources humaines.

Le processus de provisionnement et de révocation doit inclure : Autorisation du propriétaire du système d'information ou du service pour l'utilisation du système d'information ou du service ; Vérifier que l'accès accordé est pertinent au rôle exercé ; et la protection contre l'approvisionnement effectué avant que l'autorisation ne soit complète.

L'accès des utilisateurs doit toujours être dirigé par l'entreprise et basé sur les exigences de l'entreprise. Cela peut sembler bureaucratique, mais ce n'est pas nécessairement le cas et des procédures simples et efficaces avec un accès basé sur les rôles par les systèmes et les services peuvent y remédier.

A.9.2.3 Gestion des droits d'accès privilégiés

A.9.2.3 concerne la gestion de niveaux d'accès généralement plus puissants et plus « privilégiés », par exemple les autorisations d'administration des systèmes par rapport aux droits d'utilisateur normaux.

L'attribution et l'utilisation des droits d'accès privilégiés doivent être étroitement contrôlées étant donné les droits supplémentaires généralement accordés sur les actifs informationnels et les systèmes qui les contrôlent. Par exemple, la possibilité de supprimer du travail ou d’affecter fondamentalement l’intégrité des informations. Il doit s'aligner sur les processus d'autorisation formels ainsi que sur la politique de contrôle d'accès.

Cela pourrait inclure : clarté système par système sur les droits d’accès privilégiés (qui peuvent être gérés au sein de l’application) ; une allocation en fonction des besoins et non une approche globale ; Un processus et un enregistrement de tous les privilèges attribués doivent être tenus à jour (en parallèle de l'inventaire des actifs informationnels ou dans le cadre de la preuve A.9 ; et la compétence des utilisateurs bénéficiant des droits doit être revue régulièrement pour s'aligner sur leurs devoirs.

C’est un autre bon domaine à inclure dans l’audit interne pour démontrer le contrôle.

L'un des principaux facteurs contribuant aux pannes ou aux violations des systèmes est l'utilisation inappropriée et généralisée des privilèges d'administration du système, l'erreur humaine entraînant davantage de dommages ou de pertes que si une approche de « moindre accès » était adoptée.

Une autre bonne pratique relative à ce domaine consiste à séparer le rôle d'administrateur système du rôle d'utilisateur quotidien et à avoir un utilisateur avec deux comptes s'il effectue des tâches différentes sur la même plateforme.

A.9.2.4 Gestion des informations d'authentification secrètes des utilisateurs

Les informations d'authentification secrètes constituent une passerelle pour accéder à des actifs précieux. Il comprend généralement des mots de passe, des clés de cryptage, etc. et doit donc être contrôlé via un processus de gestion formel et doit rester confidentiel pour l'utilisateur.

Ceci est généralement lié aux contrats de travail et aux processus disciplinaires (A.7) et aux obligations des fournisseurs (A13.2.4 et A.15) en cas de partage avec des parties externes.

Des procédures doivent être établies pour vérifier l'identité d'un utilisateur avant de fournir des informations d'authentification secrètes nouvelles, de remplacement ou temporaires. Toute information d'authentification secrète par défaut fournie dans le cadre d'une nouvelle utilisation du système doit être modifiée dès que possible.

A.9.2.5 Examen des droits d'accès des utilisateurs

Les propriétaires d'actifs doivent examiner les droits d'accès des utilisateurs à intervalles réguliers, à la fois lors de changements individuels (intégration, changement de rôle et sortie) ainsi que lors d'audits plus larges de l'accès aux systèmes.

Les autorisations pour les droits d'accès privilégiés devraient être réexaminées à des intervalles plus fréquents étant donné leur nature à risque plus élevé. Ceci est lié à 9.2 pour les audits internes et doit être effectué au moins une fois par an ou lorsque des changements majeurs surviennent.

A.9.2.6 Suppression ou ajustement des droits d'accès

Comme indiqué ci-dessus, les droits d'accès de tous les employés et utilisateurs externes aux informations et aux installations de traitement de l'information doivent être supprimés à la fin de leur emploi, contrat ou accord (ou ajustés en cas de changement de rôle si nécessaire).

Une bonne politique et des procédures de sortie adaptées à A.7 garantiront également que cet objectif est atteint et démontré à des fins d'audit lorsque les personnes partent.

Quel est l’objectif de l’annexe A.9.3 ?

L'annexe A.9.3 concerne les responsabilités des utilisateurs. L'objectif de ce contrôle de l'Annexe A est de rendre les utilisateurs responsables de la protection de leurs informations d'authentification.

A.9.3.1 Utilisation des informations d'authentification secrètes

Il s'agit simplement de s'assurer que les utilisateurs respectent les politiques et seront donc liés à A7 Human Resource Security pour les contrats, à la formation des utilisateurs pour la sensibilisation et la conformité, ainsi qu'aux pratiques de bon sens.

Ceux-ci incluent : Garder confidentielles toutes les informations d'authentification secrètes ; Évitez d’en conserver une trace accessible à des personnes non autorisées ; Changez-le chaque fois qu’il y a une suggestion de compromis possible ; sélectionner des mots de passe de qualité avec une longueur et une force minimales suffisantes pour suivre les contrôles plus larges de la politique de mot de passe de l'annexe A.9.4.

Quel est l’objectif de l’annexe A.9.4 ?

L'annexe A.9.4 concerne le contrôle d'accès au système et aux applications. L'objectif de ce contrôle de l'Annexe A est d'empêcher l'accès non autorisé aux systèmes et aux applications.

A.9.4.1 Restriction d'accès aux informations

L’accès aux fonctions du système d’information et d’application doit être lié à la politique de contrôle d’accès. Les principales considérations devraient inclure :

Il s'agit notamment de:

• Contrôle d'accès basé sur les rôles (RBAC) ;
• Niveaux d'accès ;
• Conception de systèmes de « menus » au sein des applications ;
• Autorisations de lecture, d'écriture, de suppression et d'exécution ;
• Limiter la production d'informations ; et
• Contrôles d'accès physiques et/ou logiques aux applications, données et systèmes sensibles.

L'auditeur vérifiera que des considérations ont été prises pour limiter l'accès aux systèmes et applications qui prennent en charge les politiques de contrôle d'accès, les exigences commerciales, les niveaux de risque et la séparation des tâches.

A.9.4.2 Procédures de connexion sécurisée

L'accès aux systèmes et applications doit être contrôlé par une procédure de connexion sécurisée permettant de prouver l'identité de l'utilisateur.

Cela peut aller au-delà de l'approche classique des mots de passe et inclure l'authentification multifacteur, la biométrie, les cartes à puce et d'autres moyens de cryptage en fonction du risque pris en compte.

La connexion sécurisée doit être conçue de manière à ce qu'elle ne puisse pas être facilement contournée et que toute information d'authentification soit transmise et stockée cryptée pour empêcher toute interception et toute utilisation abusive.

Les lignes directrices ISO 27002 sont importantes sur ce sujet, tout comme les organismes spécialisés comme le National Cyber ​​Security Center (NCSC). Les conseils supplémentaires incluent :

• Les procédures de connexion doivent être conçues de manière à ce qu'elles ne puissent pas être facilement contournées et que toute information d'authentification soit transmise et stockée cryptée pour empêcher toute interception et toute utilisation abusive.
• Les procédures de connexion doivent également inclure un affichage indiquant que l'accès est réservé aux utilisateurs autorisés uniquement. Ceci est conçu pour soutenir la législation sur la cybersécurité telle que la
• Computer Misuse Act 1990 (Royaume-Uni).
• Les connexions et déconnexions réussies et infructueuses doivent être enregistrées de manière sécurisée pour fournir une capacité de preuve médico-légale et des alertes en cas de tentatives infructueuses et d'éventuels verrouillages doivent être prises en compte.
• Selon la nature du système, l'accès doit être limité à certaines heures de la journée ou à certaines périodes et éventuellement même être restreint en fonction du lieu.

En pratique, les besoins de l'entreprise et les informations à risque doivent déterminer les procédures de connexion et de déconnexion. Cela ne vaut pas la peine d'avoir 25 étapes pour se connecter, puis d'avoir des temps morts rapides, etc. si le personnel est ensuite incapable de bien faire son travail et passe un temps disproportionné dans cette boucle.

A.9.4.3 Système de gestion des mots de passe

L’objectif d’un système de gestion des mots de passe est de garantir que les mots de passe de qualité répondent au niveau requis et sont appliqués de manière cohérente.

Les systèmes de génération et de gestion de mots de passe constituent un bon moyen de centraliser la fourniture des accès et servent à réduire le risque que des personnes utilisent le même identifiant pour tout, comme l'illustre cette petite histoire de ce qui se passe lorsqu'un client contacte notre équipe au sujet d'un mot de passe oublié. !

Comme pour tout mécanisme de contrôle, les systèmes de génération et de gestion de mots de passe doivent être soigneusement mis en œuvre pour garantir des niveaux de protection adéquats et proportionnés.

Dans la mesure du possible, les utilisateurs devraient pouvoir choisir leurs propres mots de passe, car cela les rend plus faciles à mémoriser que ceux générés par la machine. Toutefois, ils doivent atteindre un certain niveau de force.

Il existe de nombreux points de vue contradictoires sur les systèmes de gestion des mots de passe et les politiques relatives aux mots de passe. Nous encourageons donc les organisations à examiner les meilleures pratiques qui changent fréquemment et à adopter des approches basées sur l'appétit pour le risque et la culture de l'organisation.

Comme mentionné ci-dessus, le NCSC est un bon endroit pour passer en revue les dernières pratiques ou simplement nous demander de vous présenter à l'un de nos partenaires pour obtenir de l'aide.

A.9.4.4 Utilisation de programmes utilitaires privilégiés

Les programmes informatiques utilitaires susceptibles de remplacer les contrôles du système et des applications doivent être gérés avec soin.

De puissants programmes utilitaires système et réseau peuvent créer une cible attrayante pour les attaquants malveillants et leur accès doit être limité au plus petit nombre de personnes. Étant donné que ces programmes utilitaires peuvent être facilement localisés et téléchargés à partir d'Internet, il est également important que les utilisateurs soient limités dans leur capacité à installer des logiciels autant que possible, en fonction des exigences commerciales et de l'évaluation des risques. L'utilisation des programmes utilitaires doit être enregistrée et surveillée/révisée périodiquement pour satisfaire les demandes des auditeurs.

A.9.4.5 Contrôle d'accès au code source du programme

L'accès au code source du programme doit être restreint. L'accès au code source du programme et aux éléments associés (tels que les conceptions, les spécifications, les plans de vérification et les plans de validation) doit être strictement contrôlé.

Le code source du programme peut être vulnérable aux attaques s’il n’est pas correctement protégé et peut fournir à un attaquant un bon moyen de compromettre les systèmes de manière souvent secrète. Si le code source est au cœur du succès de l'entreprise, sa perte peut également détruire rapidement la valeur commerciale.

Les contrôles doivent prendre en compte :

• Le moins de personnes possible ayant accès
• Garder le code source hors des systèmes opérationnels (uniquement le code compilé)
• L'accès au code source étant le plus restreint possible (refus par défaut)
• Accès au code source enregistré et aux journaux périodiquement examinés
• Procédures de contrôle des changements solides et strictes
• Audits et examens fréquents

Pourquoi l’annexe A.9 est-elle importante ?

L'Annexe A.9 est probablement la clause dont on parle le plus dans toute l'Annexe A, et certains diraient que c'est la plus importante.

En effet, l’ensemble de votre système de gestion de la sécurité de l’information (ISMS) vise à garantir que les bonnes personnes ont accès aux bonnes informations au bon moment. Bien faire les choses est l’une des clés du succès, mais se tromper peut avoir un impact énorme sur votre entreprise.

Imaginez si vous donniez accidentellement accès aux informations confidentielles des employés aux mauvaises personnes, par exemple en révélant le salaire de tous les employés de l'entreprise.

Les conséquences d'une erreur sur cette pièce peuvent être importantes, il vaut donc la peine de consacrer suffisamment de temps à y réfléchir.