ISO 27001:2022 Annexe A Contrôle 8.8

Gestion des vulnérabilités techniques

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

Objet de la norme ISO 27001:2022 Annexe A 8.8

Aucun réseau informatique, système, logiciel ou appareil n’est entièrement sécurisé. L’exploitation d’un LAN ou d’un WAN moderne implique des vulnérabilités dans le cadre du processus. Il est donc essentiel que les organisations acceptent leur présence et s’efforcent de réduire les risques potentiels.

La norme ISO 27001:2022 Annexe A 8.8 fournit une multitude de conseils pour aider les organisations à protéger leurs réseaux contre l'exploitation interne et externe des vulnérabilités. Il utilise des procédures et des lignes directrices de plusieurs autres ISO 27001: 2022 Annexe A Contrôles, en particulier ceux pour La Gestion du changement (voir annexe A 8.32) et Contrôle d'accès .

Propriété de l'annexe A 8.8

L'ISO 27001 :2022, Annexe A 8.8, traite de la gestion technique et administrative des logiciels, des systèmes et des actifs TIC. Il prescrit une approche globale pour la gestion des logiciels, la gestion d'actifset audit de sécurité du réseau.

La personne qui assume la responsabilité ultime de la maintenance de l'infrastructure TIC de l'organisation, telle que le responsable informatique ou équivalent, doit être le propriétaire de la norme ISO 27001:2022, annexe A 8.8.

Aller au sujet

Conseils sur l’identification des vulnérabilités

Avant d'effectuer des contrôles de vulnérabilité, il est essentiel d'acquérir une liste complète et à jour des actifs physiques et numériques (voir annexe A 5.9 et 5.14) détenus et exploités par l'organisation.

Les données sur les actifs logiciels doivent comprendre :

  • Numéros de version actuellement en service.

  • Où le logiciel est déployé dans tout le domaine.

  • Nom du fournisseur.

  • Nom de l'application.

Les organisations doivent s’efforcer d’identifier les vulnérabilités techniques en :

  • Il est essentiel de définir clairement qui, au sein de l'organisation, est responsable de gestion des vulnérabilités par un technicien point de vue, remplissant ses diverses fonctions, qui comprennent (sans toutefois s'y limiter) :

  • Au sein de l'organisation, qui est responsable du logiciel.

  • Tenir un registre des applications et des outils pour identifier les faiblesses techniques.

  • Demander aux fournisseurs de divulguer toute susceptibilité avec les nouveaux systèmes et matériels lors de leur fourniture (conformément à l'annexe A 5.20 de la norme ISO 27001:2022), et le préciser clairement dans tous les contrats et accords de service applicables.

  • Utilisez des outils d’analyse des vulnérabilités et des fonctionnalités de correction.

  • Effectuez des tests d'intrusion périodiques et documentés, soit par le personnel interne, soit par un tiers authentifié.

  • Soyez conscient du potentiel de vulnérabilités programmatiques sous-jacentes lors de l’utilisation de bibliothèques de code ou de code source tiers (reportez-vous à la norme ISO 27001:2022, annexe A 8.28).

Orientations sur les activités publiques

Les organisations doivent créer des politiques et des procédures qui détectent les vulnérabilités de tous leurs produits et services et obtenir des évaluations de ces vulnérabilités liées à leur approvisionnement.

L'ISO conseille aux organisations de prendre des mesures pour identifier toute vulnérabilité et de motiver les tiers à participer aux activités de gestion des vulnérabilités en proposant des programmes de primes (dans lesquels les exploits potentiels sont recherchés et signalés à l'organisation en échange d'une récompense).

Les organisations doivent se rendre accessibles au public via des forums, des adresses e-mail publiques et des recherches afin de pouvoir exploiter les connaissances collectives du public pour protéger leurs produits et services.

Les organisations doivent examiner toute mesure corrective prise et envisager de divulguer les informations pertinentes aux personnes ou organisations concernées. En outre, ils devraient collaborer avec des organisations de sécurité spécialisées pour diffuser les connaissances sur les vulnérabilités et les vecteurs d’attaque.

Les organisations devraient penser à fournir un système de mise à jour automatisé en option que les clients peuvent choisir d'utiliser ou non, en fonction de leurs besoins commerciaux.

Conseils sur l'évaluation des vulnérabilités

Des rapports précis sont essentiels pour garantir une action corrective rapide et efficace lorsque des risques de sécurité sont détectés.

Les organisations doivent évaluer les vulnérabilités en :

  • Examinez attentivement les rapports et déterminez quelle action est nécessaire, comme la modification, la mise à jour ou l'élimination des systèmes et/ou équipements concernés.

  • Parvenir à une résolution qui prend en compte les autres contrôles ISO (en particulier ceux liés à la norme ISO 27001:2022) et reconnaît le niveau de risques.

Conseils pour contrer les vulnérabilités logicielles

Les vulnérabilités logicielles peuvent être corrigées efficacement grâce à une approche proactive des mises à jour logicielles et de la gestion des correctifs. Assurer des mises à jour et des correctifs réguliers peut aider à protéger votre système contre les menaces potentielles.

Les organisations doivent veiller à conserver les versions logicielles existantes avant d'apporter des modifications, effectuer des tests approfondis sur toutes les modifications et les appliquer à une copie désignée du logiciel.

Une fois les vulnérabilités identifiées, les organisations doivent prendre des mesures pour y remédier :

  • Visez à corriger rapidement et efficacement toutes les faiblesses de sécurité.

  • Dans la mesure du possible, respectez les protocoles organisationnels sur la gestion du changement (voir ISO 27001:2022 Annexe A 8.32) et la gestion des incidents (voir ISO 27001:2022 Annexe A 5.26).

  • Appliquez uniquement des correctifs et des mises à jour provenant de sources fiables et certifiées, en particulier pour les logiciels et équipements de fournisseurs tiers :

    • Les organisations doivent évaluer les données disponibles pour décider s'il est essentiel d'appliquer des mises à jour automatiques (ou des composants de celles-ci) aux logiciels et au matériel achetés.

  • Avant l'installation, testez toutes les mises à jour pour éviter tout problème imprévu dans un environnement réel.

  • Accordez la priorité absolue à la lutte contre les systèmes commerciaux vitaux et à haut risque.

  • Assurez-vous que les mesures correctives sont efficaces et authentiques.

En cas d'absence de mise à jour disponible ou d'obstacles à l'installation d'une mise à jour (par exemple liés au coût), les organisations doivent envisager d'autres méthodes, telles que :

  • Demander des conseils au fournisseur sur une solution temporaire pendant que les efforts correctifs sont intensifiés.

  • Désactivez tous les services réseau affectés par la vulnérabilité.

  • Mettre en œuvre des contrôles de sécurité au niveau des passerelles clés, tels que des réglementations de circulation et des filtres, pour protéger le réseau.

  • Renforcer la surveillance proportionnellement au risque associé.

  • Assurez-vous que toutes les parties concernées sont conscientes du défaut, y compris les vendeurs et les acheteurs.

  • Retardez la mise à jour et évaluez les risques, en particulier en notant les coûts opérationnels potentiels.

Contrôles accompagnant l’Annexe A

  • ISO 27001:2022 Annexe A 5.14

  • ISO 27001:2022 Annexe A 5.20

  • ISO 27001:2022 Annexe A 5.9

  • ISO 27001:2022 Annexe A 8.20

  • ISO 27001:2022 Annexe A 8.22

  • ISO 27001:2022 Annexe A 8.28

Orientations supplémentaires sur l'Annexe A 8.8

Les organisations devraient maintenir un Piste d'audit de toutes les activités pertinentes de gestion des vulnérabilités pour faciliter les actions correctives et faire progresser les protocoles en cas de faille de sécurité.

L'évaluation et la révision périodiques de l'ensemble du processus de gestion des vulnérabilités constituent un excellent moyen d'améliorer les performances et d'identifier de manière proactive les vulnérabilités.

Si l'organisation emploie un fournisseur de services cloud, elle doit s'assurer que l'approche du fournisseur en matière de gestion des vulnérabilités est compatible avec la leur et doit être incluse dans l'accord de service contraignant entre les deux parties, y compris toutes les procédures de reporting (voir ISO 27001:2022 Annexe A 5.32). .

Modifications et différences par rapport à la norme ISO 27001:2013

ISO 27001:2022 Annexe A 8.8 remplace deux contrôles de l'Annexe A de la norme ISO 27001:2013, ceux-ci sont:

  • 12.6.1 – Gestion des vulnérabilités techniques

  • 18.2.3 – Examen de la conformité technique

L'Annexe A 27001 de l'ISO 2022 :8.8 introduit une nouvelle approche distincte de la gestion des vulnérabilités par rapport à celle trouvée dans l'ISO 27001 :2013. Il s’agit d’une divergence notable par rapport à la norme antérieure.

L'annexe A 27001 de l'ISO 2013 :12.6.1 se concentre principalement sur la mise en place de mesures correctives une fois qu'une vulnérabilité est détectée, tandis que l'annexe A 18.2.3 ne s'applique qu'aux moyens techniques (en grande partie des tests d'intrusion).

ISO 27001:2022, l'Annexe A 8.8 introduit de nouvelles sections traitant des responsabilités publiques d'une organisation, des méthodes de reconnaissance des vulnérabilités et du rôle que jouent les fournisseurs de cloud pour maintenir les vulnérabilités au minimum.

ISO 27001:2022 met fortement l'accent sur le rôle de la gestion des vulnérabilités dans d'autres domaines (tels que la gestion du changement) et encourage l'adoption d'une approche holistique, intégrant plusieurs autres contrôles et processus de sécurité de l'information.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

ISO 27001 : 2022 Contrôles organisationnels

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles organisationnelsAnnexe A 5.1Annexe A 5.1.1
Annexe A 5.1.2		Politiques de sécurité des informations
Contrôles organisationnelsAnnexe A 5.2Annexe A 6.1.1Rôles et responsabilités en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.3Annexe A 6.1.2Séparation des tâches
Contrôles organisationnelsAnnexe A 5.4Annexe A 7.2.1Responsabilités de la direction
Contrôles organisationnelsAnnexe A 5.5Annexe A 6.1.3Contact avec les autorités
Contrôles organisationnelsAnnexe A 5.6Annexe A 6.1.4Contact avec des groupes d'intérêt spécial
Contrôles organisationnelsAnnexe A 5.7NOUVEAURenseignement sur les cybermenaces
Contrôles organisationnelsAnnexe A 5.8Annexe A 6.1.5
Annexe A 14.1.1		Sécurité de l'information dans la gestion de projet
Contrôles organisationnelsAnnexe A 5.9Annexe A 8.1.1
Annexe A 8.1.2		Inventaire des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.10Annexe A 8.1.3
Annexe A 8.2.3		Utilisation acceptable des informations et autres actifs associés
Contrôles organisationnelsAnnexe A 5.11Annexe A 8.1.4Restitution des actifs
Contrôles organisationnelsAnnexe A 5.12Annexe A 8.2.1Classification des informations
Contrôles organisationnelsAnnexe A 5.13Annexe A 8.2.2Étiquetage des informations
Contrôles organisationnelsAnnexe A 5.14Annexe A 13.2.1
Annexe A 13.2.2
Annexe A 13.2.3		Transfert d'information
Contrôles organisationnelsAnnexe A 5.15Annexe A 9.1.1
Annexe A 9.1.2		Contrôle d'accès
Contrôles organisationnelsAnnexe A 5.16Annexe A 9.2.1Gestion d'identité
Contrôles organisationnelsAnnexe A 5.17Annexe A 9.2.4
Annexe A 9.3.1
Annexe A 9.4.3		Informations d'authentification
Contrôles organisationnelsAnnexe A 5.18Annexe A 9.2.2
Annexe A 9.2.5
Annexe A 9.2.6		Des droits d'accès
Contrôles organisationnelsAnnexe A 5.19Annexe A 15.1.1Sécurité de l'information dans les relations avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.20Annexe A 15.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
Contrôles organisationnelsAnnexe A 5.21Annexe A 15.1.3Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC
Contrôles organisationnelsAnnexe A 5.22Annexe A 15.2.1
Annexe A 15.2.2		Surveillance, révision et gestion du changement des services des fournisseurs
Contrôles organisationnelsAnnexe A 5.23NOUVEAUSécurité des informations pour l'utilisation des services cloud
Contrôles organisationnelsAnnexe A 5.24Annexe A 16.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.25Annexe A 16.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.26Annexe A 16.1.5Réponse aux incidents de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.27Annexe A 16.1.6Tirer les leçons des incidents de sécurité de l’information
Contrôles organisationnelsAnnexe A 5.28Annexe A 16.1.7Collecte de preuves
Contrôles organisationnelsAnnexe A 5.29Annexe A 17.1.1
Annexe A 17.1.2
Annexe A 17.1.3		Sécurité des informations en cas de perturbation
Contrôles organisationnelsAnnexe A 5.30NOUVEAUPréparation aux TIC pour la continuité des activités
Contrôles organisationnelsAnnexe A 5.31Annexe A 18.1.1
Annexe A 18.1.5		Exigences légales, statutaires, réglementaires et contractuelles
Contrôles organisationnelsAnnexe A 5.32Annexe A 18.1.2Droits de Propriété Intellectuelle
Contrôles organisationnelsAnnexe A 5.33Annexe A 18.1.3Protection des dossiers
Contrôles organisationnelsAnnexe A 5.34 Annexe A 18.1.4Confidentialité et protection des informations personnelles
Contrôles organisationnelsAnnexe A 5.35Annexe A 18.2.1Examen indépendant de la sécurité de l'information
Contrôles organisationnelsAnnexe A 5.36Annexe A 18.2.2
Annexe A 18.2.3		Conformité aux politiques, règles et normes en matière de sécurité de l'information
Contrôles organisationnelsAnnexe A 5.37Annexe A 12.1.1Procédures opérationnelles documentées

Contrôles des personnes ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles des personnesAnnexe A 6.1Annexe A 7.1.1Tamisage
Contrôles des personnesAnnexe A 6.2Annexe A 7.1.2Conditions d'emploi
Contrôles des personnesAnnexe A 6.3Annexe A 7.2.2Sensibilisation, éducation et formation à la sécurité de l’information
Contrôles des personnesAnnexe A 6.4Annexe A 7.2.3Processus disciplinaire
Contrôles des personnesAnnexe A 6.5Annexe A 7.3.1Responsabilités après la cessation ou le changement d'emploi
Contrôles des personnesAnnexe A 6.6Annexe A 13.2.4Accords de confidentialité ou de non-divulgation
Contrôles des personnesAnnexe A 6.7Annexe A 6.2.2Travail à distance
Contrôles des personnesAnnexe A 6.8Annexe A 16.1.2
Annexe A 16.1.3		Rapport d'événements liés à la sécurité de l'information

Contrôles physiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles physiquesAnnexe A 7.1Annexe A 11.1.1Périmètres de sécurité physique
Contrôles physiquesAnnexe A 7.2Annexe A 11.1.2
Annexe A 11.1.6		Entrée physique
Contrôles physiquesAnnexe A 7.3Annexe A 11.1.3Sécuriser les bureaux, les chambres et les installations
Contrôles physiquesAnnexe A 7.4NOUVEAUSurveillance de la sécurité physique
Contrôles physiquesAnnexe A 7.5Annexe A 11.1.4Se protéger contre les menaces physiques et environnementales
Contrôles physiquesAnnexe A 7.6Annexe A 11.1.5Travailler dans des zones sécurisées
Contrôles physiquesAnnexe A 7.7Annexe A 11.2.9Bureau clair et écran clair
Contrôles physiquesAnnexe A 7.8Annexe A 11.2.1Emplacement et protection des équipements
Contrôles physiquesAnnexe A 7.9Annexe A 11.2.6Sécurité des actifs hors site
Contrôles physiquesAnnexe A 7.10Annexe A 8.3.1
Annexe A 8.3.2
Annexe A 8.3.3
 Annexe A 11.2.5		stockage des médias
Contrôles physiquesAnnexe A 7.11Annexe A 11.2.2Utilitaires de support
Contrôles physiquesAnnexe A 7.12Annexe A 11.2.3Sécurité du câblage
Contrôles physiquesAnnexe A 7.13Annexe A 11.2.4Entretien de l'équipement
Contrôles physiquesAnnexe A 7.14Annexe A 11.2.7Élimination ou réutilisation sécurisée de l’équipement

Contrôles technologiques ISO 27001 : 2022

Annexe A Type de contrôleIdentifiant ISO/IEC 27001:2022 Annexe AIdentifiant ISO/IEC 27001:2013 Annexe AAnnexe A Nom
Contrôles technologiquesAnnexe A 8.1Annexe A 6.2.1
Annexe A 11.2.8		Périphériques de point de terminaison utilisateur
Contrôles technologiquesAnnexe A 8.2Annexe A 9.2.3Droits d'accès privilégiés
Contrôles technologiquesAnnexe A 8.3Annexe A 9.4.1Restriction d'accès aux informations
Contrôles technologiquesAnnexe A 8.4Annexe A 9.4.5Accès au code source
Contrôles technologiquesAnnexe A 8.5Annexe A 9.4.2Authentification sécurisée
Contrôles technologiquesAnnexe A 8.6Annexe A 12.1.3Gestion de la capacité
Contrôles technologiquesAnnexe A 8.7Annexe A 12.2.1Protection contre les logiciels malveillants
Contrôles technologiquesAnnexe A 8.8Annexe A 12.6.1
Annexe A 18.2.3		Gestion des vulnérabilités techniques
Contrôles technologiquesAnnexe A 8.9NOUVEAUConfiguration Management
Contrôles technologiquesAnnexe A 8.10NOUVEAUSuppression des informations
Contrôles technologiquesAnnexe A 8.11NOUVEAUMasquage des données
Contrôles technologiquesAnnexe A 8.12NOUVEAUPrévention des fuites de données
Contrôles technologiquesAnnexe A 8.13Annexe A 12.3.1Sauvegarde des informations
Contrôles technologiquesAnnexe A 8.14Annexe A 17.2.1Redondance des installations de traitement de l'information
Contrôles technologiquesAnnexe A 8.15Annexe A 12.4.1
Annexe A 12.4.2
Annexe A 12.4.3		Journal
Contrôles technologiquesAnnexe A 8.16NOUVEAUActivités de surveillance
Contrôles technologiquesAnnexe A 8.17Annexe A 12.4.4Synchronisation d'horloge
Contrôles technologiquesAnnexe A 8.18Annexe A 9.4.4Utilisation de programmes utilitaires privilégiés
Contrôles technologiquesAnnexe A 8.19Annexe A 12.5.1
Annexe A 12.6.2		Installation de logiciels sur les systèmes opérationnels
Contrôles technologiquesAnnexe A 8.20Annexe A 13.1.1Sécurité des réseaux
Contrôles technologiquesAnnexe A 8.21Annexe A 13.1.2Sécurité des services réseau
Contrôles technologiquesAnnexe A 8.22Annexe A 13.1.3Ségrégation des réseaux
Contrôles technologiquesAnnexe A 8.23NOUVEAUfiltrage web
Contrôles technologiquesAnnexe A 8.24Annexe A 10.1.1
Annexe A 10.1.2		Utilisation de la cryptographie
Contrôles technologiquesAnnexe A 8.25Annexe A 14.2.1Cycle de vie du développement sécurisé
Contrôles technologiquesAnnexe A 8.26Annexe A 14.1.2
Annexe A 14.1.3		Exigences de sécurité des applications
Contrôles technologiquesAnnexe A 8.27Annexe A 14.2.5Architecture de système sécurisée et principes d’ingénierie
Contrôles technologiquesAnnexe A 8.28NOUVEAUCodage sécurisé
Contrôles technologiquesAnnexe A 8.29Annexe A 14.2.8
Annexe A 14.2.9		Tests de sécurité en développement et acceptation
Contrôles technologiquesAnnexe A 8.30Annexe A 14.2.7Développement externalisé
Contrôles technologiquesAnnexe A 8.31Annexe A 12.1.4
Annexe A 14.2.6		Séparation des environnements de développement, de test et de production
Contrôles technologiquesAnnexe A 8.32Annexe A 12.1.2
Annexe A 14.2.2
Annexe A 14.2.3
Annexe A 14.2.4		La Gestion du changement
Contrôles technologiquesAnnexe A 8.33Annexe A 14.3.1Informations sur les tests
Contrôles technologiquesAnnexe A 8.34Annexe A 12.7.1Protection des systèmes d'information lors des tests d'audit

Comment l'aide d'ISMS.online

Notre la plateforme est conviviale et simple. Il s'adresse à tous les membres de l'organisation, pas seulement aux personnes expertes en technologie. Nous recommandons d'impliquer le personnel de tous les niveaux de l'entreprise dans construire votre SMSI car cela contribue à créer un système qui durera.

Contactez-nous dès maintenant pour organiser une démonstration.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Dites bonjour au succès de la norme ISO 27001

Obtenez 81 % du travail effectué pour vous et obtenez une certification plus rapidement avec ISMS.online

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage