Passer au contenu
ISMS.en ligne

ISO 27002:2022 – Contrôle 5.3 – Séparation des tâches

ISO 27002: 2022 contrôle 5.3 — Séparation des tâches, anciennement connu sous le nom de contrôle 6.1.2 dans la norme ISO 27002 : 2013, définit le système par lequel les tâches et les domaines de responsabilité conflictuels sont séparés.

Auteur
Sam Peters
Mise à jour en juillet 25, 2025
4 / 5 Etoiles

Qu'est-ce que le contrôle 5.3 Séparation des tâches ?

Tâches et domaines de responsabilités conflictuels expliqués

Chaque organisation dispose d'un ensemble de politiques et de procédures (P&P) qui régissent son fonctionnement interne. Les P&P sont censés être documentés, mais souvent ils ne le sont pas.

Si ces P&P ne sont pas claires ou bien communiquées, il en résulte une confusion parmi les employés quant à leurs domaines de responsabilités. Cela peut être encore pire lorsque les employés ont des responsabilités qui se chevauchent ou des domaines de responsabilité conflictuels.

Des conflits peuvent survenir lorsque deux employés ou plus ont des responsabilités similaires ou différentes face à une tâche particulière. Lorsque cela se produit, les employés peuvent finir par faire deux fois la même chose ou faire des choses différentes qui annulent les efforts de chacun. Cela gaspille les ressources de l'entreprise et réduit la productivité, ce qui affecte à la fois les résultats financiers et le moral de l'entreprise.

Afin de vous assurer que votre organisation ne souffre pas de ce problème, il est important de comprendre quels sont les domaines de responsabilités conflictuels, pourquoi ils se produisent et comment vous pouvez les empêcher de se produire dans votre organisation. Pour l'essentiel, cela signifie séparer les tâches afin que différentes personnes s'acquittent de différentes tâches. rôles dans l'organisation.

Attributs Table de contrôle 5.3

Les contrôles sont classés selon leurs attributs. Les attributs vous aident à aligner votre sélection de contrôles sur les normes et le langage du secteur. Dans le contrôle 5.3, ce sont :

Type de contrôle Propriétés de sécurité des informations Concepts de cybersécurité Capacités opérationnelles Domaines de sécurité
#Préventif #Confidentialité #Protéger #Gouvernance #Gouvernance et écosystème
#Intégrité #Gestion des identités et des accès
#Disponibilité


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Quel est le but du contrôle 5.3 ?

L'objectif du contrôle 5.3 Séparation des tâches dans la norme ISO 27002 est de réduire le risque de fraude, d'erreur et de contournement des contrôles de sécurité de l'information en garantissant que les tâches conflictuelles sont séparées.

Contrôle 5.3 expliqué

Le contrôle 5.3 couvre les directives de mise en œuvre des tâches et fonctions de séparation dans une organisation conformément au cadre de ISO 27001.

Le principe consiste à décomposer les tâches clés en sous-tâches et à les attribuer à différentes personnes. Cela crée un système de freins et contrepoids qui peut réduire le risque d’erreurs ou de fraude.

Le contrôle est conçu pour empêcher qu'une seule personne puisse commettre, dissimuler et justifier des actions inappropriées, réduisant ainsi le risque de fraude ou d'erreur. Cela empêche également une seule personne de pouvoir contourner les contrôles de sécurité des informations.

Si un employé dispose de tous les droits requis pour une tâche particulière, le risque de fraude ou d’erreur est plus élevé puisqu’une seule personne peut tout faire sans aucun contrôle et contrepoids. Cependant, si aucune personne ne dispose de tous les droits d’accès requis pour une tâche particulière, cela réduit le risque qu’un employé puisse causer un préjudice important ou une perte financière.

Qu'est-ce que cela implique et comment répondre aux exigences

Les tâches et les domaines de responsabilités qui ne sont pas séparés pourraient conduire à des fraudes, des abus, des accès inappropriés et d'autres incidents de sécurité.

En outre, la séparation des tâches est nécessaire pour atténuer les risques associés à une éventuelle collusion entre individus. Ces risques sont accrus lorsque les contrôles sont insuffisants pour prévenir ou détecter la collusion.

Afin de répondre aux exigences du contrôle 5.3 de la norme ISO 27002:2022, l'organisation doit déterminer quelles tâches et quels domaines de responsabilité doivent être séparés et des contrôles de séparation exploitables doivent être mis en place.

Lorsque de tels contrôles ne sont pas possibles, en particulier pour les petites organisations disposant d'un effectif minimal, le suivi des activités, pistes d’audit et contrôle de gestion peut être utilisé. Pour les grandes organisations, des outils automatisés peuvent être utilisés pour identifier et séparer les rôles afin que des rôles conflictuels ne soient pas attribués aux personnes.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Différences entre ISO 27002:2013 et ISO 27002:2022

Le numéro de contrôle 5.3 Séparation des tâches dans la norme ISO 27002:2022 n'est pas un nouveau contrôle. Il s'agit simplement d'une version améliorée du contrôle 6.1.2 Séparation des tâches trouvé dans la norme ISO 27002:2013.

Les bases de la séparation des tâches sont les mêmes dans le contrôle 5.3 ISO 27002:2022 et dans le contrôle 6.1.2 ISO 27002:2013. Cependant, la nouvelle version décrit un ensemble d'activités qui nécessitent une ségrégation lors de la mise en œuvre de ce contrôle.

Ces activités sont :

a) initier, approuver et exécuter un changement ;

b) demander, approuver et mettre en œuvre les droits d'accès ;

c) concevoir, mettre en œuvre et réviser le code ;

d) développer des logiciels et administrer des systèmes de production ;

e) utiliser et administrer des applications ;

f) utiliser des applications et administrer des bases de données ;

g) concevoir, auditer et assurer contrôles de sécurité de l'information.

Qui est en charge de ce processus ?

Plusieurs personnes sont responsables de la séparation des tâches dans la norme ISO 27002. Premièrement, un membre senior de l'équipe de direction doit être impliqué pour s'assurer que le premier évaluation des risques a été complété.

Ensuite, les processus qui couvrent différentes parties de l'organisation doivent être attribués à différents groupes d'employés qualifiés. Pour empêcher des employés malveillants de porter atteinte à la sécurité de l'entreprise, cela se fait généralement en attribuant des tâches à différentes unités de travail et en départementalisant les activités d'exploitation et de maintenance liées à l'informatique.

Enfin, la séparation des tâches ne peut être établie correctement sans un programme d'audit informatique approprié, une stratégie efficace de gestion des risques, ainsi qu'un environnement de contrôle approprié.

Nouveaux contrôles ISO 27002

Nouveaux contrôles
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.7 NOUVEAU Intelligence de la menace
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.30 NOUVEAU Préparation aux TIC pour la continuité des activités
7.4 NOUVEAU Surveillance de la sécurité physique
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.16 NOUVEAU Activités de surveillance
8.23 NOUVEAU filtrage web
8.28 NOUVEAU Codage sécurisé
Contrôles organisationnels
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.1 05.1.1, 05.1.2 Politiques de sécurité des informations
5.2 06.1.1 Rôles et responsabilités en matière de sécurité de l'information
5.3 06.1.2 Séparation des tâches
5.4 07.2.1 Responsabilités de gestion
5.5 06.1.3 Contact avec les autorités
5.6 06.1.4 Contact avec des groupes d'intérêts particuliers
5.7 NOUVEAU Intelligence de la menace
5.8 06.1.5, 14.1.1 Sécurité de l'information dans la gestion de projet
5.9 08.1.1, 08.1.2 Inventaire des informations et autres actifs associés
5.10 08.1.3, 08.2.3 Utilisation acceptable des informations et autres actifs associés
5.11 08.1.4 Restitution des actifs
5.12 08.2.1 Classement des informations
5.13 08.2.2 Étiquetage des informations
5.14 13.2.1, 13.2.2, 13.2.3 Transfert d'information
5.15 09.1.1, 09.1.2 Contrôle d'accès
5.16 09.2.1 Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3 Informations d'authentification
5.18 09.2.2, 09.2.5, 09.2.6 Des droits d'accès
5.19 15.1.1 Sécurité de l'information dans les relations avec les fournisseurs
5.20 15.1.2 Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21 15.1.3 Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22 15.2.1, 15.2.2 Suivi, revue et gestion du changement des services fournisseurs
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.24 16.1.1 Planification et préparation de la gestion des incidents de sécurité de l’information
5.25 16.1.4 Évaluation et décision sur les événements liés à la sécurité de l'information
5.26 16.1.5 Réponse aux incidents de sécurité de l'information
5.27 16.1.6 Tirer les leçons des incidents de sécurité de l’information
5.28 16.1.7 Collecte de preuves
5.29 17.1.1, 17.1.2, 17.1.3 Sécurité des informations en cas de perturbation
5.30 5.30 Préparation aux TIC pour la continuité des activités
5.31 18.1.1, 18.1.5 Exigences légales, statutaires, réglementaires et contractuelles
5.32 18.1.2 Droit de la propriété intellectuelle
5.33 18.1.3 Protection des dossiers
5.34 18.1.4 Confidentialité et protection des informations personnelles
5.35 18.2.1 Examen indépendant de la sécurité de l’information
5.36 18.2.2, 18.2.3 Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37 12.1.1 Procédures opérationnelles documentées
Contrôles des personnes
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
6.1 07.1.1 Présélection
6.2 07.1.2 Termes et conditions d'emploi
6.3 07.2.2 Sensibilisation, éducation et formation à la sécurité de l’information
6.4 07.2.3 Processus disciplinaire
6.5 07.3.1 Responsabilités après la cessation ou le changement d'emploi
6.6 13.2.4 Accords de confidentialité ou de non-divulgation
6.7 06.2.2 Travail à distance
6.8 16.1.2, 16.1.3 Rapports d'événements liés à la sécurité des informations
Contrôles physiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
7.1 11.1.1 Périmètres de sécurité physique
7.2 11.1.2, 11.1.6 Entrée physique
7.3 11.1.3 Sécurisation des bureaux, des locaux et des installations
7.4 NOUVEAU Surveillance de la sécurité physique
7.5 11.1.4 Se protéger contre les menaces physiques et environnementales
7.6 11.1.5 Travailler dans des zones sécurisées
7.7 11.2.9 Bureau clair et écran clair
7.8 11.2.1 Implantation et protection des équipements
7.9 11.2.6 Sécurité des actifs hors site
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Supports de stockage
7.11 11.2.2 Utilitaires pris en charge
7.12 11.2.3 Sécurité du câblage
7.13 11.2.4 La maintenance des équipements
7.14 11.2.7 Élimination ou réutilisation sécurisée des équipements
Contrôles technologiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
8.1 06.2.1, 11.2.8 Appareils de point de terminaison utilisateur
8.2 09.2.3 Droits d'accès privilégiés
8.3 09.4.1 Restriction d'accès aux informations
8.4 09.4.5 Accès au code source
8.5 09.4.2 Authentification sécurisée
8.6 12.1.3 Gestion de la capacité
8.7 12.2.1 Protection contre les logiciels malveillants
8.8 12.6.1, 18.2.3 Gestion des vulnérabilités techniques
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.13 12.3.1 Sauvegarde des informations
8.14 17.2.1 Redondance des installations de traitement de l'information
8.15 12.4.1, 12.4.2, 12.4.3 Journal
8.16 NOUVEAU Activités de surveillance
8.17 12.4.4 La synchronisation d'horloge
8.18 09.4.4 Utilisation de programmes utilitaires privilégiés
8.19 12.5.1, 12.6.2 Installation de logiciels sur les systèmes opérationnels
8.20 13.1.1 Sécurité des réseaux
8.21 13.1.2 Sécurité des services réseau
8.22 13.1.3 Ségrégation des réseaux
8.23 NOUVEAU filtrage web
8.24 10.1.1, 10.1.2 Utilisation de la cryptographie
8.25 14.2.1 Cycle de vie de développement sécurisé
8.26 14.1.2, 14.1.3 Exigences de sécurité des applications
8.27 14.2.5 Architecture de système sécurisée et principes d’ingénierie
8.28 NOUVEAU Codage sécurisé
8.29 14.2.8, 14.2.9 Tests de sécurité en développement et acceptation
8.30 14.2.7 Développement externalisé
8.31 12.1.4, 14.2.6 Séparation des environnements de développement, de test et de production
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestion du changement
8.33 14.3.1 Informations de test
8.34 12.7.1 Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

La nouvelle norme ISO 27002:2022 ne vous oblige pas à faire grand-chose d'autre que améliorez votre SMSI processus pour refléter les contrôles améliorés. Et si votre équipe n'y parvient pas, ISMS.en ligne peut vous aider.

ISMS.online rationalise le processus de mise en œuvre de la norme ISO 27002 en fournissant un cadre sophistiqué basé sur le cloud pour documenter les procédures et les listes de contrôle du système de gestion de la sécurité de l'information afin de garantir la conformité aux normes reconnues.

Lorsque vous utilisez ISMS.online, vous pourrez :

  • créer un SMSI compatible avec les normes ISO 27001.
  • effectuer des tâches et soumettre une preuve indiquant qu’ils satisfont aux exigences de la norme.
  • répartir les tâches et suivre les progrès vers le respect de la loi.
  • accédez à une équipe de conseillers spécialisés qui vous accompagneront tout au long de votre cheminement vers la conformité.

Grâce à notre plateforme cloud, il est désormais possible de gérer de manière centralisée vos listes de contrôle, d'interagir avec vos collègues et d'utiliser un ensemble complet d'outils pour aider votre organisation à créer et exploiter un SMSI conformément aux meilleures pratiques mondiales.

Contactez-nous dès aujourd'hui pour réserver une démo.

Sam Peters

Sam est directeur des produits chez ISMS.online et dirige le développement de toutes les caractéristiques et fonctionnalités du produit. Sam est un expert dans de nombreux domaines de la conformité et travaille avec ses clients sur des projets sur mesure ou à grande échelle.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.