Les informations d'authentification telles que les mots de passe, les clés de cryptage et les puces de cartes constituent la passerelle vers les systèmes d'information qui hébergent des informations sensibles.
Une mauvaise gestion ou une attribution inappropriée des informations d'authentification peut entraîner un accès non autorisé aux systèmes d'information et une perte de confidentialité, de disponibilité et d'intégrité des informations sensibles.
Par exemple, Recherche 2021 de GoodFirm montre que 30 % de toutes les violations de données résultent de mots de passe faibles ou de mauvaises pratiques de gestion des mots de passe.
Par conséquent, les organisations doivent mettre en place un processus robuste de gestion des informations d’authentification pour allouer, gérer et protéger les informations d’authentification.
Control 5.17 permet aux organisations d'attribuer et de gérer correctement les informations d'authentification, d'éliminer les risques d'échec dans le processus d'authentification et de prévenir les risques de sécurité pouvant survenir en raison de la compromission des informations d'authentification.
Le contrôle 5.17 est un type de contrôle préventif qui oblige les organisations à établir et à mettre en œuvre un processus de gestion des informations d'authentification approprié.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Gestion des identités et des accès | #Protection |
Étant donné que le contrôle 5.17 implique l'établissement et la mise en œuvre de règles, procédures et mesures à l'échelle de l'organisation pour l'attribution et la gestion des informations d'authentification, les responsables de la sécurité de l'information devraient être responsables du respect du contrôle 5.17.
Les organisations doivent se conformer aux six exigences suivantes en matière d’attribution et de gestion des informations d’authentification :
Les utilisateurs qui peuvent accéder aux informations d'authentification et les utiliser doivent être invités à respecter les conditions suivantes :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Les organisations doivent se conformer aux éléments suivants lors de la mise en place d’un système de gestion des mots de passe :
En outre, les organisations doivent appliquer des techniques de hachage et de chiffrement conformément aux méthodes de cryptographie autorisées pour les mots de passe, comme indiqué dans le contrôle 8.24.
Outre les mots de passe, il existe d'autres types d'informations d'authentification telles que les clés cryptographiques, les cartes à puce et les données biométriques telles que les empreintes digitales.
Il est conseillé aux organisations de se référer à la série ISO/IEC 24760 pour des conseils plus détaillés sur les informations d'authentification.
Étant donné que le changement fréquent des mots de passe peut être fastidieux et ennuyeux pour les utilisateurs, les organisations peuvent envisager de mettre en œuvre des méthodes alternatives telles que l'authentification unique ou des coffres-forts de mots de passe. Il convient toutefois de noter que ces méthodes alternatives peuvent exposer les informations d’authentification à un risque plus élevé de divulgation non autorisée.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
27002:2022/5.17 remplace 27002:2013/(9.2.4, 9.3.1 9.4.3)
Bien que les versions 2013 et 2022 soient très similaires en termes d'exigences d'attribution et de gestion des informations d'authentification, le contrôle 5.17 de la version 2022 introduit l'exigence suivante, qui n'était pas incluse dans la version 2013 :
Le contrôle 5.17 introduit l'exigence suivante concernant les responsabilités des utilisateurs qui n'était pas mentionnée dans le contrôle 9.3.1 de la version 2013.
Contrairement à la version 2022, le contrôle 9.3.1 contenait l'exigence suivante pour l'utilisation des informations d'authentification :
Le contrôle 9.4.3 de la version 2013 comprenait l'exigence suivante pour les systèmes de gestion des mots de passe.
Le contrôle 5.17 de la version 2022, en revanche, ne contenait pas cette exigence.
ISMS.Online aide les organisations et les entreprises à répondre aux exigences de la norme ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de confidentialité ou de non-divulgation, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.
Nous fournissons une plate-forme basée sur le cloud pour la gestion des systèmes de gestion de la confidentialité et de la sécurité de l'information, y compris les clauses de non-divulgation, la gestion des risques, les politiques, les plans et les procédures, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.
Contactez-nous aujourd'hui pour planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |