Alors que le passage au travail à distance et l'utilisation croissante des appareils mobiles améliorent la productivité des employés et permettent aux organisations d'économiser de l'argent, les terminaux des utilisateurs tels que les ordinateurs portables, les téléphones mobiles et les tablettes sont vulnérables aux cybermenaces. En effet, les cybercriminels exploitent souvent ces appareils pour gagner accès non autorisé aux réseaux d’entreprise et compromission des actifs informationnels.
Par exemple, les cybercriminels peuvent cibler les employés avec une attaque de phishing, les persuader de télécharger une pièce jointe d'un logiciel malveillant, puis utiliser ce terminal utilisateur infecté par un logiciel malveillant pour propager le logiciel malveillant sur l'ensemble du réseau de l'entreprise. Cette attaque peut entraîner la perte de disponibilité, intégrité ou confidentialité des actifs informationnels.
D’après une enquête menée auprès de 700 professionnels de l'informatique, environ 70 % des organisations ont été confrontées à une compromission de leurs actifs informationnels et de leur infrastructure informatique à la suite d'une attaque liée à l'appareil d'un utilisateur final en 2020.
Control 8.1 explique comment les organisations peuvent établir, maintenir et mettre en œuvre des politiques, des procédures et des mesures techniques spécifiques à un sujet pour garantir que les actifs informationnels hébergés ou traités sur les appareils des utilisateurs ne sont pas compromis, perdus ou volés.
Control 8.1 permet aux organisations de protéger et de maintenir la sécurité, la confidentialité, l'intégrité et la disponibilité des informations hébergées sur ou accessibles via les appareils des utilisateurs finaux en mettant en place politiques, procédures et contrôles appropriés.
Le contrôle 8.1 est de nature préventive. Cela oblige les organisations à mettre en œuvre des politiques, des procédures et des mesures techniques qui s'appliquent à tous les terminaux des utilisateurs qui hébergent ou traitent des informations afin qu'elles ne soient pas compromises, perdues ou volées.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #La gestion d'actifs #Protection des informations | #Protection |
Considérant que la conformité au contrôle 8.1 implique la création, le maintien et le respect de politiques, de procédures et de mesures techniques spécifiques à un sujet à l'échelle de l'organisation, le chef le responsable de la sécurité de l'information devrait assumer la responsabilité de la conformité aux exigences du contrôle 8.1.
Control 8.1 exige que les organisations créent une politique spécifique à un sujet qui explique comment les appareils de point de terminaison des utilisateurs doivent être configurés en toute sécurité et comment ces appareils doivent être gérés par les utilisateurs.
Tout le personnel doit être informé de cette politique et celle-ci doit couvrir les points suivants :
En outre, les orientations générales indiquent que les organisations devraient envisager d’interdire le stockage d’actifs d’informations sensibles sur les appareils des utilisateurs en mettant en œuvre des contrôles techniques.
Ces contrôles techniques peuvent inclure la désactivation des fonctions de stockage local telles que les cartes SD.
En mettant ces recommandations en pratique, les organisations doivent recourir à la gestion des configurations comme indiqué dans le Contrôle 8.9 et utiliser des outils automatisés.
Tout le personnel doit être informé des mesures de sécurité applicables aux terminaux des utilisateurs et des procédures qu'ils doivent respecter. De plus, ils devraient être conscients de leurs responsabilités pour appliquer ces mesures et procédures.
Les organisations doivent demander à leur personnel de se conformer aux règles et procédures suivantes :
En outre, il est également conseillé aux organisations d'établir une procédure spéciale en cas de perte ou de vol des appareils des utilisateurs. Cette procédure doit être créée en tenant compte des exigences légales, contractuelles et de sécurité.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Si permettre au personnel d’utiliser ses propres appareils personnels à des fins professionnelles permet aux organisations d’économiser de l’argent, cela expose les informations sensibles à de nouveaux risques.
Control 8.1 énumère cinq recommandations que les organisations devraient prendre en compte lorsqu'elles autorisent les employés à utiliser leurs propres appareils pour des tâches liées au travail :
Les organisations doivent développer et maintenir des procédures pour :
Lorsque les terminaux des utilisateurs sont retirés des locaux de l'organisation, les actifs informationnels peuvent être exposés à des risques accrus de compromission. Par conséquent, les organisations devront peut-être établir des contrôles différents pour les appareils utilisés à l’extérieur des locaux.
De plus, Control 8.1 met en garde les organisations contre la perte d'informations due à deux risques liés aux connexions sans fil :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
27002:2022/8.1 remplace 27002:2013/(6.2.1 et 12.2.8)
In contrairement à la version 2022 qui traite les terminaux des utilisateurs sous un seul contrôle (8.1), la version 2013 comprenait deux contrôles distincts : la stratégie des appareils mobiles dans le contrôle 6.2.1 et l'équipement utilisateur sans surveillance dans le contrôle 11.2.8.
De plus, alors que le Control 8.1 de la version 2022 s'applique à tous les appareils finaux des utilisateurs tels que les ordinateurs portables, les tablettes et les téléphones mobiles, la version 2013 ne faisait référence qu'aux appareils mobiles.
Bien que les deux versions soient largement similaires en termes d'exigences en matière de responsabilité des utilisateurs, la version 2022 contient une exigence supplémentaire :
Par rapport à la version 2013, le contrôle 8.1 de la version 2022 introduit trois nouvelles exigences pour l'utilisation des appareils privés du personnel (BYOD) :
Semblable à la version 2013, la version 2022 exige également que les organisations adoptent une politique spécifique à un sujet sur les appareils des utilisateurs.
Cependant, le contrôle 8.1 de la version 2022 est plus complet car il contient trois nouveaux éléments à inclure :
ISMS.Online est le principal logiciel de système de gestion ISO 27002 qui prend en charge la conformité aux ISO 27002et aide les entreprises à aligner leurs politiques de sécurité et procédures avec la norme.
La plateforme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) selon ISO 27002.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |