Le contrôle 6.7, Travail à distance est un contrôle de la norme ISO 27002:2022 révisée. Il recommande aux organisations de disposer d'une politique en matière de travail à distance ainsi que d'un système de gestion de la sécurité de l'information comprenant des procédures permettant de sécuriser l'accès à distance aux systèmes et réseaux d'information.
Le travail à distance est devenu plus courant à mesure que la technologie s'est développée et il est désormais possible pour les employés de travailler à domicile sans nuire à la productivité ou à l'efficacité. Cependant, cela peut également soulever certaines inquiétudes quant à la sécurité des données.
Si vous êtes propriétaire d'une entreprise, vous voudrez savoir comment protéger votre propriété intellectuelle contre les cybercriminels et vous assurer que vos données sont à l'abri des pirates.
Voici quelques implications du travail à distance sur la sécurité des informations :
Le travail à distance peut être avantageux car il permet un accès plus facile aux informations et systèmes sensibles. Cependant, le travail à distance a plusieurs implications en matière de sécurité.
Le travail à distance, s'il n'est pas correctement géré, peut être exposé à des risques de sécurité tels que le piratage, les attaques de logiciels malveillants, les accès non autorisés, etc. Cela est particulièrement vrai lorsque les employés ne se trouvent pas physiquement dans un environnement sécurisé.
Le travail à distance peut également avoir un impact sur la sécurité physique d'une entreprise. En effet, cela peut signifier que les employés ne se trouvent plus physiquement dans un bureau ou un immeuble et, par conséquent, ne sont peut-être pas aussi susceptibles de voir ou d'entendre des activités suspectes.
Le travail à distance peut également présenter certains risques en matière de confidentialité. Par exemple, les employés peuvent accéder à des informations confidentielles à distance et y accéder sans le consentement de l'entreprise.
De plus, les employés peuvent facilement accéder aux informations sensibles de l’entreprise sur l’Internet public. En fait, il existe même des sites Web sur lesquels les employés peuvent télécharger des informations sensibles que tout le monde peut voir.
Le travail à distance peut également avoir un impact sur la vie privée d'une organisation. Par exemple, si les employés travaillent à domicile, ils seront plus susceptibles de laisser traîner leurs effets personnels.
Ces biens peuvent contenir des informations sensibles susceptibles de compromettre la vie privée d'une entreprise.
Le travail à distance peut également présenter un risque pour les données d'une entreprise. Par exemple, les employés peuvent accéder à distance aux données de l’entreprise, qui peuvent être stockées dans différents endroits.
Cela peut inclure des données sur des ordinateurs, des serveurs et des appareils mobiles. Si l’employé quitte le bureau et prend l’appareil, il peut être plus difficile de récupérer les données.
En outre, l’employé peut commettre une erreur ou faire quelque chose de malveillant avec l’appareil, ce qui peut compromettre les données.
Les attributs sont utilisés pour catégoriser les contrôles. Vous pouvez immédiatement faire correspondre votre option de contrôle avec des expressions et spécifications largement utilisées dans l'industrie en utilisant des attributs.
Les attributs du contrôle 6.7 sont présentés ci-dessous.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #La gestion d'actifs #Protection des informations #Sécurité physique #Sécurité du système et des réseaux | #Protection |
L'objectif du contrôle 6.7 est de garantir que le personnel travaillant à distance dispose de contrôles d'accès adéquats pour protéger la confidentialité, l'intégrité et la disponibilité des informations, processus et systèmes sensibles ou exclusifs contre tout accès non autorisé ou toute divulgation par des personnes non autorisées.
Pour garantir la sécurité des informations lorsque le personnel travaille à distance, les organisations doivent publier une politique thématique spécifique sur le travail à distance qui définit les conditions et restrictions pertinentes en matière de sécurité des informations. La politique doit être distribuée à tout le personnel et inclure des conseils sur la manière dont ils peuvent utiliser les technologies d'accès à distance en toute sécurité.
Une politique spécifique à un sujet comme celle-ci couvrira probablement :
En plus de ces exigences de base, il est également important de disposer d'une procédure clairement définie pour signaler les incidents, comprenant les coordonnées appropriées. Cela peut contribuer à réduire le risque de violations ou d’autres types d’incidents de sécurité.
La politique devra peut-être également aborder des problèmes tels que le cryptage, les pare-feu et les mises à jour des logiciels antivirus, ainsi que la formation des employés sur la façon d'utiliser la connectivité à distance en toute sécurité.
Afin de répondre aux exigences du contrôle 6.7, les organisations autorisant les activités de travail à distance devraient publier une politique thématique spécifique sur le travail à distance qui définit les conditions et restrictions pertinentes.
La politique doit être revue régulièrement, en particulier en cas de changement technologique ou législatif.
La politique doit être communiquée à tous les employés, sous-traitants et autres parties impliquées dans des activités de travail à distance.
La politique doit être documentée et mise à la disposition de tout tiers concerné, y compris les régulateurs et les auditeurs.
Les organisations doivent également s'assurer qu'elles disposent de mesures adéquates pour protéger les informations sensibles ou confidentielles transmises ou stockées électroniquement lors des activités de travail à distance.
Conformément aux dispositions du contrôle 6.7, les points suivants doivent être pris en compte :
Les lignes directrices et mesures à envisager devraient inclure :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Le contrôle 6.7 de la norme ISO 27002:2022 est une version modifiée du contrôle 6.2.2 de la norme ISO 27002:2013 et n'est pas un nouveau contrôle.
Bien que ces deux contrôles présentent de nombreuses caractéristiques, ils diffèrent quelque peu par leur nomenclature et leur formulation. Le nom du contrôle, par exemple, n'est pas le même. Le contrôle 6.2.2 de la norme ISO 27002:2013 est appelé télétravail. Le contrôle 6.7 parle de travail à distance. Parallèlement, le télétravail a été remplacé par le travail à distance dans la nouvelle version de la norme.
Dans le contrôle 6.7, ISO 27002:2022, la norme définit ce qu'est le travail à distance et les types de travail qui peuvent être qualifiés de travail à distance. Cela inclut le télétravail, qui est le nom original du contrôle dans la version 2013 de la norme.
Les directives de mise en œuvre sont quelque peu similaires même si le langage et les termes sont différents. La version 2022 utilise un langage convivial afin de garantir que les utilisateurs de la norme peuvent comprendre ce qu'ils font.
Cela dit, certains points ont été ajoutés dans le contrôle 6.7 et d'autres supprimés dans le contrôle 6.2.2.
De plus, la norme ISO 27002 version 2022 fournit des déclarations d'objectif et des tableaux d'attributs pour chaque contrôle, qui aident les utilisateurs à mieux comprendre et mettre en œuvre les contrôles.
La version 2013 ne comporte pas ces deux parties.
La responsabilité principale de la création d'une politique de sécurité des informations pour les travailleurs à distance incombe au responsable de la sécurité des informations de l'organisation. Cependant, d’autres parties prenantes devraient également être impliquées dans le processus.
Cela inclut les responsables informatiques, qui sont responsables de la mise en œuvre et du maintien de la politique, ainsi que les responsables des ressources humaines, qui sont chargés de s'assurer que les employés la comprennent et y adhèrent.
Si vous disposez d’un programme de gestion des fournisseurs, la réponse dépendra de la personne responsable de la gestion des sous-traitants et des fournisseurs en général. Dans la plupart des cas, cette personne sera également chargée de créer une politique de sécurité des informations pour les travailleurs à distance de ce service.
La norme ISO 27002 n'a pas été modifiée de manière significative, vous n'avez donc pas grand-chose à faire, à part vérifier que vos processus de sécurité des informations sont conformes à la mise à niveau.
Le principal changement consistait à modifier certains contrôles et à clarifier certaines exigences. Le principal effet en ce qui concerne le contrôle 6.7 est que si vous sous-traitez l’une de vos opérations à un tiers ou si des personnes travaillent à distance, vous devrez vous assurer qu’elles disposent d’un niveau approprié de contrôles de sécurité.
Si vous disposez déjà d'une certification ISO 27001, votre processus actuel de gestion de la sécurité des informations répondra aux nouvelles exigences.
Cela signifie que si vous souhaitez renouveler votre certification ISO 27001 actuelle, vous n'avez rien à faire du tout. Vous devez simplement vous assurer que vos processus sont toujours conformes à la nouvelle norme.
Toutefois, si vous partez de zéro, vous devrez alors réfléchir à la manière dont votre entreprise peut se préparer aux cyberattaques et autres menaces pesant sur ses actifs informationnels.
L'essentiel est qu'il est important de traiter les cyber-risques suffisamment au sérieux afin qu'ils soient gérés dans le cadre de votre stratégie commerciale globale plutôt que d'être traités comme un problème distinct par les seuls services informatiques ou de sécurité.
La plateforme ISMS.Online aide à tous les aspects de la mise en œuvre de la norme ISO 27002, depuis la gestion des activités d'évaluation des risques jusqu'à l'élaboration de politiques, procédures et lignes directrices pour se conformer aux exigences de la norme.
Il fournit un moyen de documenter vos découvertes et de les communiquer en ligne aux membres de votre équipe. ISMS.Online vous permet également de créer et d'enregistrer des listes de contrôle pour toutes les tâches impliquées dans la mise en œuvre de la norme ISO 27002, afin que vous puissiez facilement suivre la progression du programme de sécurité de votre organisation.
Grâce à son ensemble d'outils automatisés, ISMS.Online permet aux organisations de démontrer facilement leur conformité à la norme ISO 27002.
Contactez-nous aujourd'hui pour planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
