ISO 27002:2022, Contrôle 5.17 – Informations d'authentification

Contrôles révisés ISO 27002 : 2022

Demander demo

démarrage, programmation, équipe, site Web, concepteur, travail, numérique, tablette, station d'accueil, clavier

Les informations d'authentification telles que les mots de passe, les clés de cryptage et les puces de cartes constituent la passerelle vers les systèmes d'information qui hébergent des informations sensibles.

Une mauvaise gestion ou une attribution inappropriée des informations d'authentification peut entraîner un accès non autorisé aux systèmes d'information et une perte de confidentialité, de disponibilité et d'intégrité des informations sensibles.

Par exemple, Recherche 2021 de GoodFirm montre que 30 % de toutes les violations de données résultent de mots de passe faibles ou de mauvaises pratiques de gestion des mots de passe.

Par conséquent, les organisations doivent mettre en place un processus robuste de gestion des informations d’authentification pour allouer, gérer et protéger les informations d’authentification.

Objectif du contrôle 5.17

Control 5.17 permet aux organisations d'attribuer et de gérer correctement les informations d'authentification, d'éliminer les risques d'échec dans le processus d'authentification et de prévenir les risques de sécurité pouvant survenir en raison de la compromission des informations d'authentification.

Tableau des attributs

Le contrôle 5.17 est un type de contrôle préventif qui oblige les organisations à établir et à mettre en œuvre un processus de gestion des informations d'authentification approprié.

Type de contrôle Propriétés de sécurité des informationsConcepts de cybersécurité Capacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité
#Intégrité
#Disponibilité		#Protéger #Gestion des identités et des accès#Protection
Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Propriété du contrôle 5.17

Étant donné que le contrôle 5.17 implique l'établissement et la mise en œuvre de règles, procédures et mesures à l'échelle de l'organisation pour l'attribution et la gestion des informations d'authentification, les responsables de la sécurité de l'information devraient être responsables du respect du contrôle 5.17.

Conseils sur l'attribution des informations d'authentification

Les organisations doivent se conformer aux six exigences suivantes en matière d’attribution et de gestion des informations d’authentification :

  • Lorsque des mots de passe personnels ou des numéros d'identification personnels sont générés automatiquement pour l'inscription de nouveaux utilisateurs, ils ne doivent pas être devinables. De plus, les mots de passe doivent être uniques pour chaque utilisateur et il doit être obligatoire de changer les mots de passe après la première utilisation.

  • Les organisations doivent établir des procédures robustes pour authentifier l’identité d’un utilisateur avant de lui accorder de nouvelles informations d’authentification ou de remplacement ou avant qu’il ne reçoive des informations temporaires.

  • Les organisations doivent garantir la transmission sécurisée des informations d'authentification aux individus via des canaux sécurisés et ne doivent pas envoyer ces informations via des messages électroniques non sécurisés (par exemple en texte clair).

  • Les utilisateurs doivent confirmer la réception des informations d'authentification.

  • Une fois les nouveaux systèmes informatiques et logiciels installés, les organisations doivent immédiatement modifier les informations d’authentification par défaut.

  • Les organisations doivent établir et conserver des enregistrements de tous les événements importants liés à la gestion et à l'attribution des informations d'authentification. En outre, ces enregistrements doivent rester confidentiels et les méthodes de conservation des enregistrements doivent être autorisées, par exemple par l'utilisation d'un outil de mot de passe approuvé.

Conseils sur les responsabilités des utilisateurs

Les utilisateurs qui peuvent accéder aux informations d'authentification et les utiliser doivent être invités à respecter les conditions suivantes :

  1. Les utilisateurs doivent maintenir la confidentialité des informations d'authentification secrètes telles que les mots de passe et ne doivent pas partager ces informations secrètes avec quiconque. Lorsque plusieurs utilisateurs sont impliqués dans l'utilisation des informations d'authentification ou que les informations sont liées à des entités non personnelles, les informations d'authentification ne doivent pas être divulguées à des personnes non autorisées.

  2. Les utilisateurs doivent changer leurs mots de passe immédiatement si la confidentialité de leurs mots de passe est compromise.

  3. Les utilisateurs doivent sélectionner des mots de passe difficiles à deviner en suivant les meilleures pratiques du secteur. Par exemple:

    • Les mots de passe ne doivent pas être sélectionnés sur la base d’informations personnelles faciles à obtenir, telles que les noms ou les dates de naissance.

    • Les mots de passe ne doivent pas être créés sur la base de éléments faciles à deviner.

    • Les mots de passe ne doivent pas inclure de mots du dictionnaire ou des combinaisons de ces mots.

    • Des caractères alphanumériques et spéciaux doivent être utilisés dans le mot de passe.

    • Il devrait y avoir une longueur minimale pour les mots de passe.

  4. Les utilisateurs ne doivent pas utiliser le même mot de passe pour différents services.

  5. Les organisations devraient inclure les exigences relatives à la création et à l'utilisation de mots de passe dans leurs contrats de travail avec leurs employés.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Conseils sur les systèmes de gestion des mots de passe

Les organisations doivent se conformer aux éléments suivants lors de la mise en place d’un système de gestion des mots de passe :

  • Les utilisateurs devraient être autorisés à créer et modifier leurs mots de passe et une procédure de confirmation devrait être en place pour garantir que les erreurs de saisie sont identifiées et résolues.

  • Les organisations doivent mettre en œuvre un processus de sélection de mots de passe rigoureux, en tenant compte des meilleures pratiques du secteur en matière de sélection de mots de passe.

  • Les utilisateurs devraient être obligés de modifier leurs mots de passe par défaut après leur premier accès à un système.

  • Les changements de mot de passe doivent être mis en œuvre lorsque cela est nécessaire. Par exemple, un changement de mot de passe sera nécessaire après un incident de sécurité ou suite à la cessation d'emploi d'un utilisateur si cet utilisateur a accès aux mots de passe.

  • Les mots de passe précédents ne doivent pas être réutilisés.

  • L'utilisation de mots de passe très courants ou de mots de passe ou de noms d'utilisateur compromis utilisés pour accéder à des systèmes piratés devrait être interdite.

  • Lorsque les mots de passe sont saisis, ils doivent être visibles à l’écran en texte brut.

  • Les mots de passe doivent être stockés et transférés via des canaux protégés et dans un format sécurisé.

En outre, les organisations doivent appliquer des techniques de hachage et de chiffrement conformément aux méthodes de cryptographie autorisées pour les mots de passe, comme indiqué dans le contrôle 8.24.

Orientations supplémentaires sur le contrôle 5.17

Outre les mots de passe, il existe d'autres types d'informations d'authentification telles que les clés cryptographiques, les cartes à puce et les données biométriques telles que les empreintes digitales.

Il est conseillé aux organisations de se référer à la série ISO/IEC 24760 pour des conseils plus détaillés sur les informations d'authentification.

Étant donné que le changement fréquent des mots de passe peut être fastidieux et ennuyeux pour les utilisateurs, les organisations peuvent envisager de mettre en œuvre des méthodes alternatives telles que l'authentification unique ou des coffres-forts de mots de passe. Il convient toutefois de noter que ces méthodes alternatives peuvent exposer les informations d’authentification à un risque plus élevé de divulgation non autorisée.

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/5.17 remplace 27002:2013/(9.2.4, 9.3.1 9.4.3)

La version 2022 contient une nouvelle exigence en matière d'attribution et de gestion des informations d'authentification

Bien que les versions 2013 et 2022 soient très similaires en termes d'exigences d'attribution et de gestion des informations d'authentification, le contrôle 5.17 de la version 2022 introduit l'exigence suivante, qui n'était pas incluse dans la version 2013 :

  • Les organisations doivent établir et conserver des enregistrements de tous les événements importants liés à la gestion et à l'attribution des informations d'authentification. En outre, ces enregistrements doivent rester confidentiels et les méthodes de conservation des enregistrements doivent être autorisées, par exemple par l'utilisation d'un outil de mot de passe approuvé.

Le contrôle 5.17 de la version 2022 contient une exigence supplémentaire concernant l'utilisation des informations d'authentification

Le contrôle 5.17 introduit l'exigence suivante concernant les responsabilités des utilisateurs qui n'était pas mentionnée dans le contrôle 9.3.1 de la version 2013.

  • Les organisations devraient inclure les exigences relatives à la création et à l'utilisation de mots de passe dans leurs contrats de travail avec leurs employés et leur personnel.

La version 2013 contenait des exigences supplémentaires concernant les responsabilités des utilisateurs qui n'étaient pas incluses dans la version 2022.

Contrairement à la version 2022, le contrôle 9.3.1 contenait l'exigence suivante pour l'utilisation des informations d'authentification :

  • Les utilisateurs ne doivent pas utiliser les mêmes informations d'authentification, telles qu'un mot de passe, à des fins professionnelles et non professionnelles.

La version 2013 contenait une exigence supplémentaire pour les systèmes de gestion des mots de passe qui n'était pas incluse dans la version 2022.

Le contrôle 9.4.3 de la version 2013 comprenait l'exigence suivante pour les systèmes de gestion des mots de passe.

  • Les fichiers contenant des mots de passe doivent être hébergés dans un système distinct des données du système d'application.

Le contrôle 5.17 de la version 2022, en revanche, ne contenait pas cette exigence.

Comment ISMS.online vous aide

ISMS.Online aide les organisations et les entreprises à répondre aux exigences de la norme ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de confidentialité ou de non-divulgation, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.

Nous fournissons une plate-forme basée sur le cloud pour la gestion des systèmes de gestion de la confidentialité et de la sécurité de l'information, y compris les clauses de non-divulgation, la gestion des risques, les politiques, les plans et les procédures, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.

Contactez-nous aujourd'hui pour planifier une démo.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage