Passer au contenu
Travaillez plus intelligemment grâce à notre nouvelle navigation améliorée !
Découvrez comment IO simplifie la conformité. Lire le blog
ISMS.en ligne

ISO 27002:2022 – Contrôle 5.17 – Informations d'authentification

Le contrôle 27002 de la norme ISO 2022:5.17 porte sur la gestion sécurisée des informations d'authentification (par exemple, mots de passe, codes PIN et clés de chiffrement) afin d'empêcher tout accès non autorisé. Il décrit les meilleures pratiques pour générer, transmettre et gérer les informations d'identification tout en garantissant la conformité et la responsabilité des utilisateurs.

Auteur
Sam Peters
Mise à jour en juillet 25, 2025
4 / 5 Etoiles

Gestion des informations d'authentification sécurisée : explication du contrôle 27002 de la norme ISO 5.17

Les informations d'authentification telles que les mots de passe, les clés de cryptage et les puces de cartes constituent la passerelle vers les systèmes d'information qui hébergent des informations sensibles.

Une mauvaise gestion ou une attribution inappropriée des informations d'authentification peut entraîner un accès non autorisé aux systèmes d'information et une perte de confidentialité, de disponibilité et d'intégrité des informations sensibles.

Par exemple, Recherche 2021 de GoodFirm montre que 30 % de toutes les violations de données résultent de mots de passe faibles ou de mauvaises pratiques de gestion des mots de passe.

Par conséquent, les organisations doivent mettre en place un processus robuste de gestion des informations d’authentification pour allouer, gérer et protéger les informations d’authentification.

Objectif du contrôle 5.17

Control 5.17 permet aux organisations d'attribuer et de gérer correctement les informations d'authentification, d'éliminer les risques d'échec dans le processus d'authentification et de prévenir les risques de sécurité pouvant survenir en raison de la compromission des informations d'authentification.

Attributs du contrôle 5.17

Le contrôle 5.17 est un type de contrôle préventif qui oblige les organisations à établir et à mettre en œuvre un processus de gestion des informations d'authentification approprié.

Type de contrôle Propriétés de sécurité des informations Concepts de cybersécurité Capacités opérationnelles Domaines de sécurité
#Préventif #Confidentialité #Protéger #Gestion des identités et des accès #Protection
#Intégrité
#Disponibilité

Propriété du contrôle 5.17

Étant donné que le contrôle 5.17 implique l'établissement et la mise en œuvre de règles, procédures et mesures à l'échelle de l'organisation pour l'attribution et la gestion des informations d'authentification, les responsables de la sécurité de l'information devraient être responsables du respect du contrôle 5.17.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Conseils sur l'attribution des informations d'authentification

Les organisations doivent se conformer aux six exigences suivantes en matière d’attribution et de gestion des informations d’authentification :

  • Lorsque des mots de passe personnels ou des numéros d'identification personnels sont générés automatiquement pour l'inscription de nouveaux utilisateurs, ils ne doivent pas être devinables. De plus, les mots de passe doivent être uniques pour chaque utilisateur et il doit être obligatoire de changer les mots de passe après la première utilisation.
  • Les organisations doivent établir des procédures robustes pour authentifier l’identité d’un utilisateur avant de lui accorder de nouvelles informations d’authentification ou de remplacement ou avant qu’il ne reçoive des informations temporaires.
  • Les organisations doivent garantir la transmission sécurisée des informations d'authentification aux individus via des canaux sécurisés et ne doivent pas envoyer ces informations via des messages électroniques non sécurisés (par exemple en texte clair).
  • Les utilisateurs doivent confirmer la réception des informations d'authentification.
  • Une fois les nouveaux systèmes informatiques et logiciels installés, les organisations doivent immédiatement modifier les informations d’authentification par défaut.
  • Les organisations doivent établir et conserver des enregistrements de tous les événements importants liés à la gestion et à l'attribution des informations d'authentification. En outre, ces enregistrements doivent rester confidentiels et les méthodes de conservation des enregistrements doivent être autorisées, par exemple par l'utilisation d'un outil de mot de passe approuvé.

Conseils sur les responsabilités des utilisateurs

Les utilisateurs qui peuvent accéder aux informations d'authentification et les utiliser doivent être invités à respecter les conditions suivantes :

  1. Les utilisateurs doivent maintenir la confidentialité des informations d'authentification secrètes telles que les mots de passe et ne doivent pas partager ces informations secrètes avec quiconque. Lorsque plusieurs utilisateurs sont impliqués dans l'utilisation des informations d'authentification ou que les informations sont liées à des entités non personnelles, les informations d'authentification ne doivent pas être divulguées à des personnes non autorisées.
  2. Les utilisateurs doivent changer leurs mots de passe immédiatement si la confidentialité de leurs mots de passe est compromise.
  3. Les utilisateurs doivent sélectionner des mots de passe difficiles à deviner en suivant les meilleures pratiques du secteur. Par exemple:

    • Les mots de passe ne doivent pas être sélectionnés sur la base d’informations personnelles faciles à obtenir, telles que les noms ou les dates de naissance.
    • Les mots de passe ne doivent pas être créés sur la base de éléments faciles à deviner.
    • Les mots de passe ne doivent pas inclure de mots du dictionnaire ou des combinaisons de ces mots.
    • Des caractères alphanumériques et spéciaux doivent être utilisés dans le mot de passe.
    • Il devrait y avoir une longueur minimale pour les mots de passe.
  4. Les utilisateurs ne doivent pas utiliser le même mot de passe pour différents services.
  5. Les organisations devraient inclure les exigences relatives à la création et à l'utilisation de mots de passe dans leurs contrats de travail avec leurs employés.


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Conseils sur les systèmes de gestion des mots de passe

Les organisations doivent se conformer aux éléments suivants lors de la mise en place d’un système de gestion des mots de passe :

  • Les utilisateurs devraient être autorisés à créer et modifier leurs mots de passe et une procédure de confirmation devrait être en place pour garantir que les erreurs de saisie sont identifiées et résolues.
  • Les organisations doivent mettre en œuvre un processus de sélection de mots de passe rigoureux, en tenant compte des meilleures pratiques du secteur en matière de sélection de mots de passe.
  • Les utilisateurs devraient être obligés de modifier leurs mots de passe par défaut après leur premier accès à un système.
  • Les changements de mot de passe doivent être mis en œuvre lorsque cela est nécessaire. Par exemple, un changement de mot de passe sera nécessaire après un incident de sécurité ou suite à la cessation d'emploi d'un utilisateur si cet utilisateur a accès aux mots de passe.
  • Les mots de passe précédents ne doivent pas être réutilisés.
  • L'utilisation de mots de passe très courants ou de mots de passe ou de noms d'utilisateur compromis utilisés pour accéder à des systèmes piratés devrait être interdite.
  • Lorsque les mots de passe sont saisis, ils doivent être visibles à l’écran en texte brut.
  • Les mots de passe doivent être stockés et transférés via des canaux protégés et dans un format sécurisé.

En outre, les organisations doivent appliquer des techniques de hachage et de chiffrement conformément aux méthodes de cryptographie autorisées pour les mots de passe, comme indiqué dans le contrôle 8.24.

Orientations supplémentaires sur le contrôle 5.17

Outre les mots de passe, il existe d'autres types d'informations d'authentification telles que les clés cryptographiques, les cartes à puce et les données biométriques telles que les empreintes digitales.

Il est conseillé aux organisations de se référer à la série ISO/IEC 24760 pour des conseils plus détaillés sur les informations d'authentification.

Étant donné que le changement fréquent des mots de passe peut être fastidieux et ennuyeux pour les utilisateurs, les organisations peuvent envisager de mettre en œuvre des méthodes alternatives telles que l'authentification unique ou des coffres-forts de mots de passe. Il convient toutefois de noter que ces méthodes alternatives peuvent exposer les informations d’authentification à un risque plus élevé de divulgation non autorisée.



ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/5.17 remplace 27002:2013/(9.2.4, 9.3.1 9.4.3)

La version 2022 contient une nouvelle exigence en matière d'attribution et de gestion des informations d'authentification

Bien que les versions 2013 et 2022 soient très similaires en termes d'exigences d'attribution et de gestion des informations d'authentification, le contrôle 5.17 de la version 2022 introduit l'exigence suivante, qui n'était pas incluse dans la version 2013 :

  • Les organisations doivent établir et conserver des enregistrements de tous les événements importants liés à la gestion et à l'attribution des informations d'authentification. En outre, ces enregistrements doivent rester confidentiels et les méthodes de conservation des enregistrements doivent être autorisées, par exemple par l'utilisation d'un outil de mot de passe approuvé.

Le contrôle 5.17 de la version 2022 contient une exigence supplémentaire concernant l'utilisation des informations d'authentification

Le contrôle 5.17 introduit l'exigence suivante concernant les responsabilités des utilisateurs qui n'était pas mentionnée dans le contrôle 9.3.1 de la version 2013.

  • Les organisations devraient inclure les exigences relatives à la création et à l'utilisation de mots de passe dans leurs contrats de travail avec leurs employés et leur personnel.

La version 2013 contenait des exigences supplémentaires concernant les responsabilités des utilisateurs qui n'étaient pas incluses dans la version 2022.

Contrairement à la version 2022, le contrôle 9.3.1 contenait l'exigence suivante pour l'utilisation des informations d'authentification :

  • Les utilisateurs ne doivent pas utiliser les mêmes informations d'authentification, telles qu'un mot de passe, à des fins professionnelles et non professionnelles.

La version 2013 contenait une exigence supplémentaire pour les systèmes de gestion des mots de passe qui n'était pas incluse dans la version 2022.

Le contrôle 9.4.3 de la version 2013 comprenait l'exigence suivante pour les systèmes de gestion des mots de passe.

  • Les fichiers contenant des mots de passe doivent être hébergés dans un système distinct des données du système d'application.

Le contrôle 5.17 de la version 2022, en revanche, ne contenait pas cette exigence.

Nouveaux contrôles ISO 27002

Nouveaux contrôles
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.7 NOUVEAU Intelligence de la menace
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.30 NOUVEAU Préparation aux TIC pour la continuité des activités
7.4 NOUVEAU Surveillance de la sécurité physique
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.16 NOUVEAU Activités de surveillance
8.23 NOUVEAU filtrage web
8.28 NOUVEAU Codage sécurisé
Contrôles organisationnels
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.1 05.1.1, 05.1.2 Politiques de sécurité des informations
5.2 06.1.1 Rôles et responsabilités en matière de sécurité de l'information
5.3 06.1.2 Séparation des tâches
5.4 07.2.1 Responsabilités de gestion
5.5 06.1.3 Contact avec les autorités
5.6 06.1.4 Contact avec des groupes d'intérêts particuliers
5.7 NOUVEAU Intelligence de la menace
5.8 06.1.5, 14.1.1 Sécurité de l'information dans la gestion de projet
5.9 08.1.1, 08.1.2 Inventaire des informations et autres actifs associés
5.10 08.1.3, 08.2.3 Utilisation acceptable des informations et autres actifs associés
5.11 08.1.4 Restitution des actifs
5.12 08.2.1 Classement des informations
5.13 08.2.2 Étiquetage des informations
5.14 13.2.1, 13.2.2, 13.2.3 Transfert d'information
5.15 09.1.1, 09.1.2 Contrôle d'accès
5.16 09.2.1 Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3 Informations d'authentification
5.18 09.2.2, 09.2.5, 09.2.6 Des droits d'accès
5.19 15.1.1 Sécurité de l'information dans les relations avec les fournisseurs
5.20 15.1.2 Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21 15.1.3 Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22 15.2.1, 15.2.2 Suivi, revue et gestion du changement des services fournisseurs
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.24 16.1.1 Planification et préparation de la gestion des incidents de sécurité de l’information
5.25 16.1.4 Évaluation et décision sur les événements liés à la sécurité de l'information
5.26 16.1.5 Réponse aux incidents de sécurité de l'information
5.27 16.1.6 Tirer les leçons des incidents de sécurité de l’information
5.28 16.1.7 Collecte de preuves
5.29 17.1.1, 17.1.2, 17.1.3 Sécurité des informations en cas de perturbation
5.30 5.30 Préparation aux TIC pour la continuité des activités
5.31 18.1.1, 18.1.5 Exigences légales, statutaires, réglementaires et contractuelles
5.32 18.1.2 Droit de la propriété intellectuelle
5.33 18.1.3 Protection des dossiers
5.34 18.1.4 Confidentialité et protection des informations personnelles
5.35 18.2.1 Examen indépendant de la sécurité de l’information
5.36 18.2.2, 18.2.3 Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37 12.1.1 Procédures opérationnelles documentées
Contrôles des personnes
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
6.1 07.1.1 Présélection
6.2 07.1.2 Termes et conditions d'emploi
6.3 07.2.2 Sensibilisation, éducation et formation à la sécurité de l’information
6.4 07.2.3 Processus disciplinaire
6.5 07.3.1 Responsabilités après la cessation ou le changement d'emploi
6.6 13.2.4 Accords de confidentialité ou de non-divulgation
6.7 06.2.2 Travail à distance
6.8 16.1.2, 16.1.3 Rapports d'événements liés à la sécurité des informations
Contrôles physiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
7.1 11.1.1 Périmètres de sécurité physique
7.2 11.1.2, 11.1.6 Entrée physique
7.3 11.1.3 Sécurisation des bureaux, des locaux et des installations
7.4 NOUVEAU Surveillance de la sécurité physique
7.5 11.1.4 Se protéger contre les menaces physiques et environnementales
7.6 11.1.5 Travailler dans des zones sécurisées
7.7 11.2.9 Bureau clair et écran clair
7.8 11.2.1 Implantation et protection des équipements
7.9 11.2.6 Sécurité des actifs hors site
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Supports de stockage
7.11 11.2.2 Utilitaires pris en charge
7.12 11.2.3 Sécurité du câblage
7.13 11.2.4 La maintenance des équipements
7.14 11.2.7 Élimination ou réutilisation sécurisée des équipements
Contrôles technologiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
8.1 06.2.1, 11.2.8 Appareils de point de terminaison utilisateur
8.2 09.2.3 Droits d'accès privilégiés
8.3 09.4.1 Restriction d'accès aux informations
8.4 09.4.5 Accès au code source
8.5 09.4.2 Authentification sécurisée
8.6 12.1.3 Gestion de la capacité
8.7 12.2.1 Protection contre les logiciels malveillants
8.8 12.6.1, 18.2.3 Gestion des vulnérabilités techniques
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.13 12.3.1 Sauvegarde des informations
8.14 17.2.1 Redondance des installations de traitement de l'information
8.15 12.4.1, 12.4.2, 12.4.3 Journal
8.16 NOUVEAU Activités de surveillance
8.17 12.4.4 La synchronisation d'horloge
8.18 09.4.4 Utilisation de programmes utilitaires privilégiés
8.19 12.5.1, 12.6.2 Installation de logiciels sur les systèmes opérationnels
8.20 13.1.1 Sécurité des réseaux
8.21 13.1.2 Sécurité des services réseau
8.22 13.1.3 Ségrégation des réseaux
8.23 NOUVEAU filtrage web
8.24 10.1.1, 10.1.2 Utilisation de la cryptographie
8.25 14.2.1 Cycle de vie de développement sécurisé
8.26 14.1.2, 14.1.3 Exigences de sécurité des applications
8.27 14.2.5 Architecture de système sécurisée et principes d’ingénierie
8.28 NOUVEAU Codage sécurisé
8.29 14.2.8, 14.2.9 Tests de sécurité en développement et acceptation
8.30 14.2.7 Développement externalisé
8.31 12.1.4, 14.2.6 Séparation des environnements de développement, de test et de production
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestion du changement
8.33 14.3.1 Informations de test
8.34 12.7.1 Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

ISMS.Online aide les organisations et les entreprises à répondre aux exigences de la norme ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de confidentialité ou de non-divulgation, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.

Nous fournissons une plate-forme basée sur le cloud pour la gestion des systèmes de gestion de la confidentialité et de la sécurité de l'information, y compris les clauses de non-divulgation, la gestion des risques, les politiques, les plans et les procédures, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.

Contactez-nous aujourd'hui pour planifier une démo.

Sam Peters

Sam est directeur des produits chez ISMS.online et dirige le développement de toutes les caractéristiques et fonctionnalités du produit. Sam est un expert dans de nombreux domaines de la conformité et travaille avec ses clients sur des projets sur mesure ou à grande échelle.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.