ISO 27001:2022 Annexe A Contrôle 6.8

Rapport d'événements liés à la sécurité de l'information

Demander demo

image floue,gens,silhouette,collaboration,dans,bureau,intérieur.,défocalisé,espace

Qu'est-ce que la norme ISO 27001:2022, Annexe A, Contrôle 6.8 ?

ISO 27001 : 2022, l'Annexe A 6.8 exige que les organisations créent un système permettant au personnel de signaler sécurité de l'information les événements qu’ils observent ou soupçonnent rapidement et par les canaux appropriés.

Événements de sécurité de l’information expliqués

Les atteintes à la sécurité des informations (également appelées incidents de sécurité des informations) sont en augmentation, avec une fréquence et une intensité croissantes. Malheureusement, bon nombre de ces événements passent inaperçus.

De nombreux facteurs peuvent déclencher des événements liés à la sécurité des informations :

  • Les logiciels malveillants, tels que les virus et les vers, constituent un problème.

  • Les pirates informatiques obtiennent un accès non autorisé aux systèmes informatiques via Internet ou un réseau d'ordinateurs (« piratage »).

  • L'accès non autorisé aux ordinateurs et aux réseaux (communément appelé « piratage de mot de passe ») constitue une violation des protocoles de sécurité.

  • Les pirates qui accèdent ou non à un système peuvent modifier illégalement les données.

  • Sources externes infiltrant le système interne d’une entreprise pour voler des informations ou entraver les opérations.

Quel que soit le niveau de sécurité de votre réseau, il existe toujours un risque qu'un événement de sécurité des informations se produise. Pour minimiser ce risque, utilisez divers outils et techniques, tels que le reporting, pour identifier les menaces potentielles avant qu'elles ne puissent causer des dommages.

Qu'est-ce que le rapport d'événements liés à la sécurité de l'information ?

Le reporting des événements de sécurité de l’information est un élément clé de toute stratégie de cybersécurité. Mettre en œuvre la meilleure technologie pour protéger les données est une chose, mais comprendre ce qui se passe en est une autre.

Le reporting des événements de sécurité de l'information est le processus consistant à noter les incidents, les violations et autres événements cybernétiques qui se produisent dans une organisation afin de les examiner et de concevoir des stratégies pour éviter que des répétitions ne se produisent. Les stratégies de documentation, d’analyse et de prévention sont autant d’éléments essentiels.

Pourquoi le rapport sur les événements liés à la sécurité des informations est-il important ?

Le reporting des événements liés à la sécurité des informations est essentiel pour toute organisation ; sans cela, on ne saura pas si le réseau a été infiltré ou s'il existe d'autres risques potentiels. Sans cette compréhension, des mesures visant à éviter de futurs incidents ne peuvent être mises en place, ni des attaques antérieures ne peuvent être identifiées et corrigées.

Il est essentiel de traiter tout incident rapidement et efficacement. Le temps de réponse est essentiel pour protéger l’entreprise et minimiser les effets sur les clients et les autres parties prenantes.

L'annexe A 6.8 de la norme ISO 27001:2022 a été créée à cet effet.

Aller au sujet

Quel est l’objectif de l’Annexe A 27001 de la norme ISO 2022 : 6.8 ?

Le but de ISO 27001:2022 Annexe A Le contrôle 6.8 vise à faciliter le reporting rapide, cohérent et efficace des événements de sécurité de l'information détectés par le personnel.

Il est essentiel de veiller à ce que les incidents soient rapidement signalés et documentés avec précision pour garantir que les activités de réponse aux incidents et les autres responsabilités de gestion de la sécurité soient correctement prises en charge.

Les organisations doivent disposer d'un programme de reporting des événements liés à la sécurité des informations conformément à la norme ISO 27001:2022, Annexe A, Contrôle 6.8, pour détecter et atténuer les incidents susceptibles d'affecter la sécurité des informations. Le programme devrait permettre de recevoir, d'évaluer et de répondre aux incidents signalés.

ISO 27001: 2022 L'Annexe A Contrôle 6.8 décrit l'objectif et les instructions pour la construction d'un système de rapport d'événements de sécurité de l'information conformément au cadre ISO 27001.

Ce contrôle a pour objectif :

  • Veiller à ce que le personnel signale rapidement et systématiquement les événements liés à la sécurité des informations de manière efficace et efficiente.

  • Détecter de manière proactive tout accès non autorisé ou utilisation inappropriée des systèmes d’information.

  • Faciliter la préparation des plans de réponse aux incidents.

  • Créer une base pour des activités d’observation soutenues.

Examiner régulièrement les incidents et les tendances pour détecter les problèmes avant qu'ils ne deviennent graves (par exemple en suivant le nombre d'incidents ou la durée de chaque incident) devrait être un élément clé de la mise en œuvre de l'Annexe A 6.8.

Qu'est-ce que cela implique et comment répondre aux exigences

La norme ISO 27001 : 2022, Annexe A 6.8, exige ce qui suit :

  • Chacun doit comprendre son obligation de signaler rapidement les incidents de sécurité des informations afin de stopper ou de réduire leur impact.

  • L'organisation doit conserver un enregistrement des contacts chargés de signaler les incidents de sécurité des données et garantir que le processus est aussi simple, accessible et disponible que possible.

  • L'organisation doit tenir des registres de incidents de sécurité de l'information, tels que les rapports d'incidents, les journaux d'événements, les demandes de modification, les rapports de problèmes et la documentation système.

Conformément à l'annexe A 6.8, les événements nécessitant un rapport sur la sécurité des informations comprennent :

  • Mesures de protection des informations inefficaces.

  • Violation des attentes en matière de sécurité concernant la confidentialité, l'intégrité ou la disponibilité des données.

  • Erreurs humaines.

  • Non-respect de la politique de sécurité des informations, des politiques spécifiques ou des normes pertinentes.

  • Toute infraction à la sécurité physique les mesures.

  • Modifications du système qui n'ont pas été soumises au processus de gestion des changements.

  • En cas de dysfonctionnement ou de tout autre comportement inhabituel du logiciel ou du matériel.

  • En cas de violations d'accès.

  • Si des vulnérabilités surviennent.

  • Si l’on soupçonne la présence d’une infection par un logiciel malveillant.

De plus, il n'incombe pas au personnel concerné de tester la vulnérabilité ou l'efficacité de l'événement de sécurité de l'information. Cette tâche doit être confiée à un personnel qualifié, car cela peut entraîner une responsabilité juridique pour l'employé.

Modifications et différences par rapport à la norme ISO 27001:2013

Premièrement, l'Annexe A 6.8 de la norme ISO 27001:2022 n'est pas un nouveau contrôle, mais plutôt il s'agit d'une fusion de l'Annexe A 16.1.2 et de l'Annexe A 16.1.3 de la norme ISO 27001:2013.. Ces deux contrôles ont été révisés dans la norme ISO 27001:2022 pour la rendre plus accessible que la norme ISO 27001:2013.

Les employés et les sous-traitants doivent être conscients de leur responsabilité de signaler rapidement les événements liés à la sécurité des informations et du processus à suivre, y compris la personne de contact à laquelle les rapports doivent être adressés.

Les employés et les sous-traitants doivent signaler rapidement toute faiblesse en matière de sécurité des informations au point de contact, afin de prévenir les incidents de sécurité des informations. Le système de reporting doit être aussi simple, accessible et réalisable que possible.

Vous pouvez constater que les recommandations six et huit ont été regroupées en une seule dans la norme ISO 27001:2022 révisée.

L'annexe A 6.8 présente deux considérations supplémentaires non présentes dans l'annexe A 16.1.2 et l'annexe A 16.1.3. Ceux-ci sont:

  • Modifications du système qui n'ont pas été traitées par la procédure de contrôle des modifications.

  • Infection suspectée par un logiciel malveillant.

Au final, les deux itérations sont assez similaires. Les différences les plus importantes résident dans la modification du numéro de contrôle, du nom du contrôle et de la langue plus accessible aux utilisateurs. De plus, la norme ISO 27001:2022 comprend un tableau d'attributs et un objectif de contrôle, fonctionnalités négligées dans la version 2013.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Qui est en charge de ce processus ?

La sécurité de l'information est un effort de collaboration et tous les membres de l'organisation doivent être impliqués. Néanmoins, plusieurs individus agissent comme première ligne de défense lors d’événements de sécurité. Ces personnes sont chargées de déterminer le bon interlocuteur pour signaler et gérer la réponse à l'événement afin d'éviter toute récidive.

Qui sont les premiers intervenants ? Cela varie en fonction de l'organisation, mais comprend généralement :

Les Responsable de la sécurité de l'information (RSSI) est responsable de la sécurité des informations dans son organisation. Ils travaillent en collaboration avec la haute direction pour réduire et gérer tous les risques.

Les Gestionnaire de la sécurité de l'information supervise régulièrement les activités quotidiennes, telles que la surveillance des systèmes et la gestion des incidents, y compris le dépôt de tickets auprès d'autres équipes.

Les Directeur des Ressources Humaines (DRH) a la responsabilité globale des questions de ressources humaines, couvrant le recrutement, la fidélisation des employés, la gestion des avantages sociaux et les programmes de formation des employés. Ils jouent un rôle clé dans la prise de décisions d’embauche et dans la sensibilisation du personnel au reporting des événements de sécurité.

Que signifient ces changements pour vous ?

Pour vous conformer à la révision ISO 27001:2022, assurez-vous simplement que vos processus de sécurité des informations restent à jour. Aucun changement substantiel n’a été apporté.

Si vous avez acquis un Certification ISO 27001, votre approche actuelle de la gestion de la sécurité des informations doit être conforme aux nouvelles normes. Vérifiez que le signalement des incidents de sécurité des informations est intégré à la stratégie de votre entreprise.

En recommençant, vous devrez vous référer aux détails fournis dans la norme révisée.

Reportez-vous à notre guide ISO 27001:2022 pour plus d'informations sur l'impact des modifications de l'annexe A 6.8 sur votre entreprise.

Comment ISMS.Online aide

ISO 27001 est un cadre de gestion de la sécurité de l'information qui aide les organisations à établir un SMSI efficace. Cette norme décrit les exigences pour la construction d'un SMSI au sein d'une organisation.

Chez ISMS.online, notre plateforme basée sur le cloud aide à construire, maintenir et évaluer un Système de gestion de la sécurité de l'information basé sur les normes ISO 27001 (SMSI). Nous proposons des modèles et des outils personnalisables pour nous conformer à la réglementation ISO 27001.

Cette plateforme vous permet de construire un SMSI conforme à la norme internationale et d'utiliser les listes de contrôle fournies pour garantir que la gestion de la sécurité de vos informations est conforme aux normes. De plus, vous pouvez exploiter ISMS.online pour évaluer les risques et les vulnérabilités afin de détecter les points faibles de votre infrastructure existante qui nécessitent une attention urgente.

ISMS.online fournit les ressources nécessaires pour démontrer votre adhésion à la norme ISO 27001. En utilisant ces outils, vous pouvez prouver votre conformité à la norme internationalement reconnue.

Contactez-nous maintenant pour réserver une démonstration.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage