Passer au contenu
ISMS.en ligne

ISO 27002:2022 – Contrôle 8.1 – Périphériques de point de terminaison utilisateur

La norme ISO 27002 Contrôle 8.1 se concentre sur la sécurisation des terminaux utilisateurs (par exemple, ordinateurs portables, smartphones) pour protéger les informations sensibles contre toute compromission, vol ou perte en mettant en œuvre des politiques de sécurité, des contrôles techniques et des programmes de sensibilisation des utilisateurs.

Auteur
Sam Peters
Mise à jour en juillet 25, 2025
4 / 5 Etoiles

Sécurisation des terminaux utilisateurs : explication du contrôle 27002 de la norme ISO 8.1

Alors que le passage au travail à distance et l'utilisation croissante des appareils mobiles améliorent la productivité des employés et permettent aux organisations d'économiser de l'argent, les terminaux des utilisateurs tels que les ordinateurs portables, les téléphones mobiles et les tablettes sont vulnérables aux cybermenaces. En effet, les cybercriminels exploitent souvent ces appareils pour gagner accès non autorisé aux réseaux d’entreprise et compromission des actifs informationnels.

Par exemple, les cybercriminels peuvent cibler les employés avec une attaque de phishing, les persuader de télécharger une pièce jointe d'un logiciel malveillant, puis utiliser ce terminal utilisateur infecté par un logiciel malveillant pour propager le logiciel malveillant sur l'ensemble du réseau de l'entreprise. Cette attaque peut entraîner la perte de disponibilité, intégrité ou confidentialité des actifs informationnels.

D’après une enquête menée auprès de 700 professionnels de l'informatique, environ 70 % des organisations ont été confrontées à une compromission de leurs actifs informationnels et de leur infrastructure informatique à la suite d'une attaque liée à l'appareil d'un utilisateur final en 2020.

Control 8.1 explique comment les organisations peuvent établir, maintenir et mettre en œuvre des politiques, des procédures et des mesures techniques spécifiques à un sujet pour garantir que les actifs informationnels hébergés ou traités sur les appareils des utilisateurs ne sont pas compromis, perdus ou volés.

Objectif du contrôle 8.1

Control 8.1 permet aux organisations de protéger et de maintenir la sécurité, la confidentialité, l'intégrité et la disponibilité des informations hébergées sur ou accessibles via les appareils des utilisateurs finaux en mettant en place politiques, procédures et contrôles appropriés.

Attributs Table de contrôle 8.1

Le contrôle 8.1 est de nature préventive. Cela oblige les organisations à mettre en œuvre des politiques, des procédures et des mesures techniques qui s'appliquent à tous les terminaux des utilisateurs qui hébergent ou traitent des informations afin qu'elles ne soient pas compromises, perdues ou volées.

Type de contrôle Propriétés de sécurité des informations Concepts de cybersécurité Capacités opérationnelles Domaines de sécurité
#Préventif #Confidentialité #Protéger #La gestion d'actifs #Protection
#Intégrité #Protection des informations
#Disponibilité


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Propriété du contrôle 8.1

Considérant que la conformité au contrôle 8.1 implique la création, le maintien et le respect de politiques, de procédures et de mesures techniques spécifiques à un sujet à l'échelle de l'organisation, le chef le responsable de la sécurité de l'information devrait assumer la responsabilité de la conformité aux exigences du contrôle 8.1.

Orientations générales sur la conformité

Control 8.1 exige que les organisations créent une politique spécifique à un sujet qui explique comment les appareils de point de terminaison des utilisateurs doivent être configurés en toute sécurité et comment ces appareils doivent être gérés par les utilisateurs.

Tout le personnel doit être informé de cette politique et celle-ci doit couvrir les points suivants :

  • Quel type d'informations, en particulier sur quel niveau de classification, peut être traité, stocké ou utilisé dans les terminaux des utilisateurs.
  • Comment les appareils doivent être enregistrés.
  • Exigences relatives à la protection physique des appareils.
  • Restrictions sur l'installation de logiciels sur les appareils.
  • Règles sur l'installation de logiciels sur les appareils et sur les mises à jour de logiciels.
  • Règles sur la manière dont les terminaux des utilisateurs peuvent être connectés aux réseaux publics ou à des réseaux situés dans d'autres locaux hors site.
  • Contrôles d'accès.
  • Cryptage des supports de stockage hébergeant des actifs informationnels.
  • Comment les appareils seront protégés contre les attaques de logiciels malveillants.
  • Comment les appareils peuvent être désactivés ou verrouillés. Comment les informations contenues dans les appareils peuvent être effacées à distance.
  • Méthodes et procédures de sauvegarde.
  • Règles d'utilisation des applications et services Web.
  • Analyse du comportement de l'utilisateur final.
  • Comment les supports de stockage amovibles tels que les clés USB peuvent être utilisés et comment les ports physiques tels que les ports USB peuvent être désactivés.
  • En quoi les capacités de ségrégation peuvent être utilisées pour séparer les informations de l'organisation actifs à partir d’autres actifs stockés sur la machine utilisateur.

En outre, les orientations générales indiquent que les organisations devraient envisager d’interdire le stockage d’actifs d’informations sensibles sur les appareils des utilisateurs en mettant en œuvre des contrôles techniques.

Ces contrôles techniques peuvent inclure la désactivation des fonctions de stockage local telles que les cartes SD.

En mettant ces recommandations en pratique, les organisations doivent recourir à la gestion des configurations comme indiqué dans le Contrôle 8.9 et utiliser des outils automatisés.

Conseils supplémentaires sur la responsabilité de l'utilisateur

Tout le personnel doit être informé des mesures de sécurité applicables aux terminaux des utilisateurs et des procédures qu'ils doivent respecter. De plus, ils devraient être conscients de leurs responsabilités pour appliquer ces mesures et procédures.

Les organisations doivent demander à leur personnel de se conformer aux règles et procédures suivantes :

  • Lorsqu'un service n'est plus requis ou lorsqu'une session se termine, les utilisateurs doivent se déconnecter de la session et mettre fin aux services.
  • Le personnel ne doit pas laisser ses appareils sans surveillance. Lorsque les appareils ne sont pas utilisés, le personnel doit maintenir le sécurité des appareils contre tout accès ou utilisation non autorisés en appliquant des contrôles physiques tels que les serrures à clé et par des contrôles techniques tels que des mots de passe robustes.
  • Le personnel doit agir avec une prudence particulière lorsqu'il utilise des terminaux contenant des informations sensibles dans des lieux publics non sécurisés.
  • Les terminaux des utilisateurs doivent être protégés contre le vol, en particulier dans les zones à risque telles que les chambres d'hôtel, les salles de conférence ou les transports publics.

En outre, il est également conseillé aux organisations d'établir une procédure spéciale en cas de perte ou de vol des appareils des utilisateurs. Cette procédure doit être créée en tenant compte des exigences légales, contractuelles et de sécurité.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Conseils supplémentaires sur l'utilisation des appareils personnels (BYOD)

Si permettre au personnel d’utiliser ses propres appareils personnels à des fins professionnelles permet aux organisations d’économiser de l’argent, cela expose les informations sensibles à de nouveaux risques.

Control 8.1 énumère cinq recommandations que les organisations devraient prendre en compte lorsqu'elles autorisent les employés à utiliser leurs propres appareils pour des tâches liées au travail :

  1. Des mesures techniques telles que des outils logiciels doivent être mises en place pour séparer l'utilisation personnelle et professionnelle des appareils afin que les informations de l'organisation soient protégées.
  2. Le personnel ne doit être autorisé à utiliser son propre appareil qu'après avoir accepté ce qui suit :

    • Le personnel reconnaît son devoir de protéger physiquement les appareils et d'effectuer les mises à jour logicielles nécessaires.
    • Le personnel s'engage à ne revendiquer aucune propriété sur les actifs informationnels de l'organisation.
    • Le personnel accepte que les informations contenues dans l'appareil puissent être supprimées à distance en cas de perte ou de vol de l'appareil, sous réserve de exigences légales pour les données personnelles.
  3. Établissement de politiques sur la propriété des droits de propriété intellectuelle créés via l'utilisation des terminaux des utilisateurs.
  4. Comment les appareils privés du personnel seront accessibles compte tenu des restrictions légales sur un tel accès.
  5. Permettre au personnel d'utiliser ses appareils privés peut entraîner une responsabilité juridique en raison de l'utilisation de logiciels tiers sur ces appareils. Les organisations doivent tenir compte des accords de licence logicielle qu’elles ont conclus avec leurs fournisseurs.

Conseils supplémentaires sur les connexions sans fil

Les organisations doivent développer et maintenir des procédures pour :

Conseils supplémentaires sur le contrôle 8.1

Lorsque les terminaux des utilisateurs sont retirés des locaux de l'organisation, les actifs informationnels peuvent être exposés à des risques accrus de compromission. Par conséquent, les organisations devront peut-être établir des contrôles différents pour les appareils utilisés à l’extérieur des locaux.

De plus, Control 8.1 met en garde les organisations contre la perte d'informations due à deux risques liés aux connexions sans fil :

  • Les connexions sans fil à faible bande passante peuvent entraîner l'échec de la sauvegarde des données.
  • Les terminaux des utilisateurs peuvent parfois être déconnectés du réseau sans fil et les sauvegardes planifiées peuvent échouer.


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/8.1 remplace 27002:2013/(6.2.1 et 12.2.8)

Différences structurelles

In contrairement à la version 2022 qui traite les terminaux des utilisateurs sous un seul contrôle (8.1), la version 2013 comprenait deux contrôles distincts : la stratégie des appareils mobiles dans le contrôle 6.2.1 et l'équipement utilisateur sans surveillance dans le contrôle 11.2.8.

De plus, alors que le Control 8.1 de la version 2022 s'applique à tous les appareils finaux des utilisateurs tels que les ordinateurs portables, les tablettes et les téléphones mobiles, la version 2013 ne faisait référence qu'aux appareils mobiles.

La version 2022 prescrit des exigences supplémentaires concernant la responsabilité des utilisateurs

Bien que les deux versions soient largement similaires en termes d'exigences en matière de responsabilité des utilisateurs, la version 2022 contient une exigence supplémentaire :

  • Le personnel doit agir avec une prudence particulière lorsqu'il utilise des terminaux contenant des informations sensibles dans des lieux publics non sécurisés.

La version 2022 est plus complète en termes de BYOD

Par rapport à la version 2013, le contrôle 8.1 de la version 2022 introduit trois nouvelles exigences pour l'utilisation des appareils privés du personnel (BYOD) :

  • Établissement de politiques sur la propriété des droits de propriété intellectuelle créés via l'utilisation des terminaux des utilisateurs.
  • Comment les appareils privés du personnel seront accessibles compte tenu des restrictions légales sur un tel accès.
  • Permettre au personnel d'utiliser ses appareils privés peut entraîner une responsabilité juridique en raison de l'utilisation de logiciels tiers sur ces appareils. Les organisations doivent tenir compte des accords de licence logicielle qu’elles ont conclus avec leurs fournisseurs.

La version 2022 nécessite une politique thématique plus détaillée

Semblable à la version 2013, la version 2022 exige également que les organisations adoptent une politique spécifique à un sujet sur les appareils des utilisateurs.

Cependant, le contrôle 8.1 de la version 2022 est plus complet car il contient trois nouveaux éléments à inclure :

  1. Analyse du comportement des utilisateurs finaux.
  2. Comment les périphériques amovibles tels que les clés USB peuvent être utilisés et comment les ports physiques tels que les ports USB peuvent être désactivés.
  3. En quoi les capacités de ségrégation peuvent être utilisées pour séparer les informations de l'organisation actifs à partir d’autres actifs stockés sur la machine utilisateur.

Nouveaux contrôles ISO 27002

Nouveaux contrôles
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.7 NOUVEAU Intelligence de la menace
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.30 NOUVEAU Préparation aux TIC pour la continuité des activités
7.4 NOUVEAU Surveillance de la sécurité physique
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.16 NOUVEAU Activités de surveillance
8.23 NOUVEAU filtrage web
8.28 NOUVEAU Codage sécurisé
Contrôles organisationnels
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.1 05.1.1, 05.1.2 Politiques de sécurité des informations
5.2 06.1.1 Rôles et responsabilités en matière de sécurité de l'information
5.3 06.1.2 Séparation des tâches
5.4 07.2.1 Responsabilités de gestion
5.5 06.1.3 Contact avec les autorités
5.6 06.1.4 Contact avec des groupes d'intérêts particuliers
5.7 NOUVEAU Intelligence de la menace
5.8 06.1.5, 14.1.1 Sécurité de l'information dans la gestion de projet
5.9 08.1.1, 08.1.2 Inventaire des informations et autres actifs associés
5.10 08.1.3, 08.2.3 Utilisation acceptable des informations et autres actifs associés
5.11 08.1.4 Restitution des actifs
5.12 08.2.1 Classement des informations
5.13 08.2.2 Étiquetage des informations
5.14 13.2.1, 13.2.2, 13.2.3 Transfert d'information
5.15 09.1.1, 09.1.2 Contrôle d'accès
5.16 09.2.1 Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3 Informations d'authentification
5.18 09.2.2, 09.2.5, 09.2.6 Des droits d'accès
5.19 15.1.1 Sécurité de l'information dans les relations avec les fournisseurs
5.20 15.1.2 Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21 15.1.3 Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22 15.2.1, 15.2.2 Suivi, revue et gestion du changement des services fournisseurs
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.24 16.1.1 Planification et préparation de la gestion des incidents de sécurité de l’information
5.25 16.1.4 Évaluation et décision sur les événements liés à la sécurité de l'information
5.26 16.1.5 Réponse aux incidents de sécurité de l'information
5.27 16.1.6 Tirer les leçons des incidents de sécurité de l’information
5.28 16.1.7 Collecte de preuves
5.29 17.1.1, 17.1.2, 17.1.3 Sécurité des informations en cas de perturbation
5.30 5.30 Préparation aux TIC pour la continuité des activités
5.31 18.1.1, 18.1.5 Exigences légales, statutaires, réglementaires et contractuelles
5.32 18.1.2 Droit de la propriété intellectuelle
5.33 18.1.3 Protection des dossiers
5.34 18.1.4 Confidentialité et protection des informations personnelles
5.35 18.2.1 Examen indépendant de la sécurité de l’information
5.36 18.2.2, 18.2.3 Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37 12.1.1 Procédures opérationnelles documentées
Contrôles des personnes
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
6.1 07.1.1 Présélection
6.2 07.1.2 Termes et conditions d'emploi
6.3 07.2.2 Sensibilisation, éducation et formation à la sécurité de l’information
6.4 07.2.3 Processus disciplinaire
6.5 07.3.1 Responsabilités après la cessation ou le changement d'emploi
6.6 13.2.4 Accords de confidentialité ou de non-divulgation
6.7 06.2.2 Travail à distance
6.8 16.1.2, 16.1.3 Rapports d'événements liés à la sécurité des informations
Contrôles physiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
7.1 11.1.1 Périmètres de sécurité physique
7.2 11.1.2, 11.1.6 Entrée physique
7.3 11.1.3 Sécurisation des bureaux, des locaux et des installations
7.4 NOUVEAU Surveillance de la sécurité physique
7.5 11.1.4 Se protéger contre les menaces physiques et environnementales
7.6 11.1.5 Travailler dans des zones sécurisées
7.7 11.2.9 Bureau clair et écran clair
7.8 11.2.1 Implantation et protection des équipements
7.9 11.2.6 Sécurité des actifs hors site
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Supports de stockage
7.11 11.2.2 Utilitaires pris en charge
7.12 11.2.3 Sécurité du câblage
7.13 11.2.4 La maintenance des équipements
7.14 11.2.7 Élimination ou réutilisation sécurisée des équipements
Contrôles technologiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
8.1 06.2.1, 11.2.8 Appareils de point de terminaison utilisateur
8.2 09.2.3 Droits d'accès privilégiés
8.3 09.4.1 Restriction d'accès aux informations
8.4 09.4.5 Accès au code source
8.5 09.4.2 Authentification sécurisée
8.6 12.1.3 Gestion de la capacité
8.7 12.2.1 Protection contre les logiciels malveillants
8.8 12.6.1, 18.2.3 Gestion des vulnérabilités techniques
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.13 12.3.1 Sauvegarde des informations
8.14 17.2.1 Redondance des installations de traitement de l'information
8.15 12.4.1, 12.4.2, 12.4.3 Journal
8.16 NOUVEAU Activités de surveillance
8.17 12.4.4 La synchronisation d'horloge
8.18 09.4.4 Utilisation de programmes utilitaires privilégiés
8.19 12.5.1, 12.6.2 Installation de logiciels sur les systèmes opérationnels
8.20 13.1.1 Sécurité des réseaux
8.21 13.1.2 Sécurité des services réseau
8.22 13.1.3 Ségrégation des réseaux
8.23 NOUVEAU filtrage web
8.24 10.1.1, 10.1.2 Utilisation de la cryptographie
8.25 14.2.1 Cycle de vie de développement sécurisé
8.26 14.1.2, 14.1.3 Exigences de sécurité des applications
8.27 14.2.5 Architecture de système sécurisée et principes d’ingénierie
8.28 NOUVEAU Codage sécurisé
8.29 14.2.8, 14.2.9 Tests de sécurité en développement et acceptation
8.30 14.2.7 Développement externalisé
8.31 12.1.4, 14.2.6 Séparation des environnements de développement, de test et de production
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestion du changement
8.33 14.3.1 Informations de test
8.34 12.7.1 Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

ISMS.Online est le principal logiciel de système de gestion ISO 27002 qui prend en charge la conformité aux ISO 27002bauen aide les entreprises à aligner leurs politiques de sécurité et procédures avec la norme.

La plateforme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) selon ISO 27002.

Contactez-nous dès aujourd'hui pour réserver une démo.

Sam Peters

Sam est directeur des produits chez ISMS.online et dirige le développement de toutes les caractéristiques et fonctionnalités du produit. Sam est un expert dans de nombreux domaines de la conformité et travaille avec ses clients sur des projets sur mesure ou à grande échelle.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.