ISO 27001:2022 Annexe A 8.5 – Authentification sécurisée

• See ISO 27002:2022 Contrôle 8.5 pour plus d'informations.
• See ISO 27001:2013 Annexe A 9.4.2 pour plus d'informations.

Objet de la norme ISO 27001:2022 Annexe A 8.5

L'authentification sécurisée constitue le principal moyen par lequel les utilisateurs, humains et non humains, accèdent aux ressources TIC d'une organisation.

Au cours des dix dernières années, la technologie d'authentification a connu une transformation majeure, passant de la validation classique du nom d'utilisateur/mot de passe à une variété de méthodes supplémentaires impliquant des données biométriques, des contrôles d'accès logiques et physiques, des authentifications d'appareils externes, des codes SMS et des mots de passe à usage unique (OTP). .

L'Annexe A 8.5 fournit aux organisations un cadre pour contrôler l'accès à leurs systèmes et actifs TIC via une passerelle de connexion sécurisée. Il décrit précisément comment cela doit être fait.

ISO 27001: 2022 L'Annexe A Le contrôle 8.5 est un mesure préventive qui maintient le risque niveaux en introduisant la technologie et en instituant des procédures d'authentification sécurisées, qui garantissent que les utilisateurs et les identités humains et non humains entreprennent un processus d'authentification sécurisé lorsqu'ils tentent d'accéder aux ressources TIC.

Propriété de l'annexe A 8.5

L'Annexe A 27001 de la norme ISO 2022 : 8.5 traite de la capacité d'une organisation à contrôler l'accès à son réseau (et aux données et informations qui y sont hébergées) à des points clés, par exemple un portail de connexion.

Le contrôle couvre la sécurité des informations et des données dans son ensemble, les orientations opérationnelles se concentrant principalement sur les aspects techniques.

Le Head of IT (ou équivalent) doit en être propriétaire en raison de sa responsabilité quotidienne dans les tâches d'administration informatique.

Orientations générales sur la norme ISO 27001:2022 Annexe A 8.5

Les organisations doivent prendre en compte le type et la sensibilité des données et du réseau auxquels ils accèdent lorsqu'elles envisagent des contrôles d'authentification. Voici des exemples de tels contrôles :

• Contrôles d'accès intelligents (cartes à puce).
• Connexions biométriques.
• Jetons sécurisés.
• Authentification multifacteur (MFA).
• Certificats numériques.

L'objectif principal des mesures d'authentification sécurisée d'une entreprise devrait être de dissuader et de réduire la possibilité d'un accès non autorisé à ses systèmes protégés.

Pour y parvenir, la norme ISO 27001:2022 Annexe A 8.5 définit douze lignes directrices principales. Les entreprises devraient :

1. Assurez-vous que les informations ne sont affichées qu’après un processus d’authentification réussi.
2. Afficher un message d'avertissement avant de vous connecter indiquant clairement que seuls les utilisateurs autorisés peuvent accéder aux données.
3. Réduisez l’aide apportée aux personnes non autorisées qui tentent d’accéder au système. Par exemple, les entreprises ne devraient pas révéler quelle partie de la connexion a été incorrecte, comme un facteur biométrique d’une connexion à authentification multifactorielle – mais plutôt indiquer que la connexion n’a pas fonctionné.
4. Vérifiez la tentative de connexion uniquement lorsque toutes les informations nécessaires ont été fournies au service de connexion, pour garantir la sécurité.
5. Mettez en œuvre des mesures de sécurité conformes aux normes de l'industrie pour vous protéger contre l'accès généralisé et les attaques par force brute sur les portails de connexion. Ceux-ci peuvent inclure :
• CAPTCHA est une fonctionnalité de sécurité qui vous oblige à saisir une chaîne de caractères pour vérifier que vous êtes un utilisateur humain.
• Imposer la réinitialisation d'un mot de passe après un nombre défini de tentatives de connexion infructueuses.
• Après un certain nombre de tentatives infructueuses, les connexions ultérieures sont bloquées. Pour éviter cela, fixez une limite.
6. Pour des raisons d'audit et de sécurité, chaque tentative de connexion échouée sera notée, y compris dans le cadre de procédures pénales et/ou réglementaires.
7. En cas de divergences majeures de connexion, telles qu'une suspicion d'intrusion, un incident de sécurité doit être immédiatement déclenché. Le personnel interne, notamment ceux disposant d’un accès administrateur système ou de la capacité de contrecarrer les tentatives de connexion malveillantes, doit être immédiatement informé.
8. Une fois la connexion réussie confirmée, certaines données doivent être transmises à un autre référentiel qui détaille :
• La dernière connexion réussie a eu lieu le [date] à [heure].
• Enregistrement de toutes les tentatives de connexion depuis la dernière connexion authentifiée.
9. Afficher les mots de passe sous forme d'astérisques ou d'autres symboles abstraits similaires, sauf s'il y a une raison de ne pas le faire (par exemple, accessibilité des utilisateurs).
10. Aucune tolérance pour que les mots de passe soient partagés ou affichés en texte clair et lisible.
11. Assurez-vous que les sessions de connexion inactives se terminent après un délai défini. Ceci est particulièrement pertinent pour les sessions dans des endroits à haut risque (travail à distance situations) ou sur les appareils appartenant aux utilisateurs, tels que les ordinateurs portables personnels ou les téléphones mobiles.
12. Limitez la durée pendant laquelle une session authentifiée peut rester ouverte, même lorsqu'elle est active, en fonction des données consultées (par exemple, des informations commerciales vitales ou des programmes liés à l'argent).

Conseils sur les connexions biométriques

L'Organisation internationale de normalisation recommande que les processus de connexion biométrique soient combinés avec au moins une autre technique de connexion, en raison de leur efficacité et de leur intégrité comparatives par rapport aux méthodes traditionnelles telles que les mots de passe, l’AMF et les jetons.

Modifications et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 8.5 remplace ISO 27001:2013 Annexe A 9.4.2 (Protocoles de connexion sécurisée).

ISO 27001:2022 Annexe A 8.5 est une révision de la version 2013, avec de légères modifications de langage et les mêmes principes de sécurité qui la sous-tendent. Le document contient toujours les 12 points d’orientation familiers.

Conformément à l'utilisation croissante des technologies d'authentification multifacteur et de connexion biométrique au cours des dix dernières années, l'Annexe A 27001 de la norme ISO 2022:8.5 fournit des instructions explicites sur la manière dont les organisations doivent intégrer ces techniques lors de la formulation de leurs propres contrôles de connexion.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

Comment l'aide d'ISMS.online

Notre plateforme basée sur le cloud vous offre un cadre solide de sécurité de l'information contrôles pour faciliter le processus SMSI et garantir qu’il répond aux critères ISO 27001:2022. Utilisé correctement, ISMS.online peut vous aider à obtenir la certification avec un minimum de temps et de ressources.

Contactez-nous aujourd'hui pour organiser une démonstration.