ISO 27002:2022, Contrôle 8.1 – Périphériques de point de terminaison utilisateur

Contrôles révisés ISO 27002 : 2022

Demander demo

Femme,à l'aide,ordinateur portable,intérieur.close up,main

Alors que le passage au travail à distance et l'utilisation croissante des appareils mobiles améliorent la productivité des employés et permettent aux organisations d'économiser de l'argent, les terminaux des utilisateurs tels que les ordinateurs portables, les téléphones mobiles et les tablettes sont vulnérables aux cybermenaces. En effet, les cybercriminels exploitent souvent ces appareils pour gagner accès non autorisé aux réseaux d’entreprise et compromission des actifs informationnels.

Par exemple, les cybercriminels peuvent cibler les employés avec une attaque de phishing, les persuader de télécharger une pièce jointe d'un logiciel malveillant, puis utiliser ce terminal utilisateur infecté par un logiciel malveillant pour propager le logiciel malveillant sur l'ensemble du réseau de l'entreprise. Cette attaque peut entraîner la perte de disponibilité, intégrité ou confidentialité des actifs informationnels.

D’après une enquête menée auprès de 700 professionnels de l'informatique, environ 70 % des organisations ont été confrontées à une compromission de leurs actifs informationnels et de leur infrastructure informatique à la suite d'une attaque liée à l'appareil d'un utilisateur final en 2020.

Control 8.1 explique comment les organisations peuvent établir, maintenir et mettre en œuvre des politiques, des procédures et des mesures techniques spécifiques à un sujet pour garantir que les actifs informationnels hébergés ou traités sur les appareils des utilisateurs ne sont pas compromis, perdus ou volés.

Objectif du contrôle 8.1

Control 8.1 permet aux organisations de protéger et de maintenir la sécurité, la confidentialité, l'intégrité et la disponibilité des informations hébergées sur ou accessibles via les appareils des utilisateurs finaux en mettant en place politiques, procédures et contrôles appropriés.

Tableau des attributs

Le contrôle 8.1 est de nature préventive. Cela oblige les organisations à mettre en œuvre des politiques, des procédures et des mesures techniques qui s'appliquent à tous les terminaux des utilisateurs qui hébergent ou traitent des informations afin qu'elles ne soient pas compromises, perdues ou volées.

Type de contrôle Propriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif #Confidentialité
#Intégrité
#Disponibilité		#Protéger #La gestion d'actifs
#Protection des informations		#Protection
Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Propriété du contrôle 8.1

Considérant que la conformité au contrôle 8.1 implique la création, le maintien et le respect de politiques, de procédures et de mesures techniques spécifiques à un sujet à l'échelle de l'organisation, le chef le responsable de la sécurité de l'information devrait assumer la responsabilité de la conformité aux exigences du contrôle 8.1.

Orientations générales sur la conformité

Control 8.1 exige que les organisations créent une politique spécifique à un sujet qui explique comment les appareils de point de terminaison des utilisateurs doivent être configurés en toute sécurité et comment ces appareils doivent être gérés par les utilisateurs.

Tout le personnel doit être informé de cette politique et celle-ci doit couvrir les points suivants :

  • Quel type d'informations, en particulier sur quel niveau de classification, peut être traité, stocké ou utilisé dans les terminaux des utilisateurs.

  • Comment les appareils doivent être enregistrés.

  • Exigences relatives à la protection physique des appareils.

  • Restrictions sur l'installation de logiciels sur les appareils.

  • Règles sur l'installation de logiciels sur les appareils et sur les mises à jour de logiciels.

  • Règles sur la manière dont les terminaux des utilisateurs peuvent être connectés aux réseaux publics ou à des réseaux situés dans d'autres locaux hors site.

  • Contrôles d'accès.

  • Cryptage des supports de stockage hébergeant des actifs informationnels.

  • Comment les appareils seront protégés contre les attaques de logiciels malveillants.

  • Comment les appareils peuvent être désactivés ou verrouillés. Comment les informations contenues dans les appareils peuvent être effacées à distance.

  • Méthodes et procédures de sauvegarde.

  • Règles d'utilisation des applications et services Web.

  • Analyse du comportement de l'utilisateur final.

  • Comment les supports de stockage amovibles tels que les clés USB peuvent être utilisés et comment les ports physiques tels que les ports USB peuvent être désactivés.

  • Comment les capacités de ségrégation peuvent être utilisées pour séparer les informations de l'organisation actifs à partir d’autres actifs stockés sur la machine utilisateur.

En outre, les orientations générales indiquent que les organisations devraient envisager d’interdire le stockage d’actifs d’informations sensibles sur les appareils des utilisateurs en mettant en œuvre des contrôles techniques.

Ces contrôles techniques peuvent inclure la désactivation des fonctions de stockage local telles que les cartes SD.

En mettant ces recommandations en pratique, les organisations doivent recourir à la gestion des configurations comme indiqué dans le Contrôle 8.9 et utiliser des outils automatisés.

Conseils supplémentaires sur la responsabilité de l'utilisateur

Tout le personnel doit être informé des mesures de sécurité applicables aux terminaux des utilisateurs et des procédures qu'ils doivent respecter. De plus, ils devraient être conscients de leurs responsabilités pour appliquer ces mesures et procédures.

Les organisations doivent demander à leur personnel de se conformer aux règles et procédures suivantes :

  • Lorsqu'un service n'est plus requis ou lorsqu'une session se termine, les utilisateurs doivent se déconnecter de la session et mettre fin aux services.

  • Le personnel ne doit pas laisser ses appareils sans surveillance. Lorsque les appareils ne sont pas utilisés, le personnel doit maintenir le sécurité des appareils contre tout accès ou utilisation non autorisés en appliquant des contrôles physiques tels que les serrures à clé et par des contrôles techniques tels que des mots de passe robustes.

  • Le personnel doit agir avec une prudence particulière lorsqu'il utilise des terminaux contenant des informations sensibles dans des lieux publics non sécurisés.

  • Les terminaux des utilisateurs doivent être protégés contre le vol, en particulier dans les zones à risque telles que les chambres d'hôtel, les salles de conférence ou les transports publics.

En outre, il est également conseillé aux organisations d'établir une procédure spéciale en cas de perte ou de vol des appareils des utilisateurs. Cette procédure doit être créée en tenant compte des exigences légales, contractuelles et de sécurité.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Conseils supplémentaires sur l'utilisation des appareils personnels (BYOD)

Si permettre au personnel d’utiliser ses propres appareils personnels à des fins professionnelles permet aux organisations d’économiser de l’argent, cela expose les informations sensibles à de nouveaux risques.

Control 8.1 énumère cinq recommandations que les organisations devraient prendre en compte lorsqu'elles autorisent les employés à utiliser leurs propres appareils pour des tâches liées au travail :

  1. Des mesures techniques telles que des outils logiciels doivent être mises en place pour séparer l'utilisation personnelle et professionnelle des appareils afin que les informations de l'organisation soient protégées.

  2. Le personnel ne doit être autorisé à utiliser son propre appareil qu'après avoir accepté ce qui suit :

    • Le personnel reconnaît son devoir de protéger physiquement les appareils et d'effectuer les mises à jour logicielles nécessaires.

    • Le personnel s'engage à ne revendiquer aucune propriété sur les actifs informationnels de l'organisation.

    • Le personnel accepte que les informations contenues dans l'appareil puissent être supprimées à distance en cas de perte ou de vol de l'appareil, sous réserve de exigences légales pour les données personnelles.
  3. Établissement de politiques sur la propriété des droits de propriété intellectuelle créés via l'utilisation des terminaux des utilisateurs.

  4. Comment les appareils privés du personnel seront accessibles compte tenu des restrictions légales sur un tel accès.

  5. Permettre au personnel d'utiliser ses appareils privés peut entraîner une responsabilité juridique en raison de l'utilisation de logiciels tiers sur ces appareils. Les organisations doivent tenir compte des accords de licence logicielle qu’elles ont conclus avec leurs fournisseurs.

Conseils supplémentaires sur les connexions sans fil

Les organisations doivent développer et maintenir des procédures pour :

Conseils supplémentaires sur le contrôle 8.1

Lorsque les terminaux des utilisateurs sont retirés des locaux de l'organisation, les actifs informationnels peuvent être exposés à des risques accrus de compromission. Par conséquent, les organisations devront peut-être établir des contrôles différents pour les appareils utilisés à l’extérieur des locaux.

De plus, Control 8.1 met en garde les organisations contre la perte d'informations due à deux risques liés aux connexions sans fil :

  • Les connexions sans fil à faible bande passante peuvent entraîner l'échec de la sauvegarde des données.

  • Les terminaux des utilisateurs peuvent parfois être déconnectés du réseau sans fil et les sauvegardes planifiées peuvent échouer.

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/8.1 remplace 27002:2013/(6.2.1 et 12.2.8)

Différences structurelles

In contrairement à la version 2022 qui traite les terminaux des utilisateurs sous un seul contrôle (8.1), la version 2013 comprenait deux contrôles distincts : la stratégie des appareils mobiles dans le contrôle 6.2.1 et l'équipement utilisateur sans surveillance dans le contrôle 11.2.8.

De plus, alors que le Control 8.1 de la version 2022 s'applique à tous les appareils finaux des utilisateurs tels que les ordinateurs portables, les tablettes et les téléphones mobiles, la version 2013 ne faisait référence qu'aux appareils mobiles.

La version 2022 prescrit des exigences supplémentaires concernant la responsabilité des utilisateurs

Bien que les deux versions soient largement similaires en termes d'exigences en matière de responsabilité des utilisateurs, la version 2022 contient une exigence supplémentaire :

  • Le personnel doit agir avec une prudence particulière lorsqu'il utilise des terminaux contenant des informations sensibles dans des lieux publics non sécurisés.

La version 2022 est plus complète en termes de BYOD

Par rapport à la version 2013, le contrôle 8.1 de la version 2022 introduit trois nouvelles exigences pour l'utilisation des appareils privés du personnel (BYOD) :

  • Établissement de politiques sur la propriété des droits de propriété intellectuelle créés via l'utilisation des terminaux des utilisateurs.

  • Comment les appareils privés du personnel seront accessibles compte tenu des restrictions légales sur un tel accès.

  • Permettre au personnel d'utiliser ses appareils privés peut entraîner une responsabilité juridique en raison de l'utilisation de logiciels tiers sur ces appareils. Les organisations doivent tenir compte des accords de licence logicielle qu’elles ont conclus avec leurs fournisseurs.

La version 2022 nécessite une politique thématique plus détaillée

Semblable à la version 2013, la version 2022 exige également que les organisations adoptent une politique spécifique à un sujet sur les appareils des utilisateurs.

Cependant, le contrôle 8.1 de la version 2022 est plus complet car il contient trois nouveaux éléments à inclure :

  1. Analyse du comportement des utilisateurs finaux.
  2. Comment les périphériques amovibles tels que les clés USB peuvent être utilisés et comment les ports physiques tels que les ports USB peuvent être désactivés.
  3. Comment les capacités de ségrégation peuvent être utilisées pour séparer les informations de l'organisation actifs à partir d’autres actifs stockés sur la machine utilisateur.

Comment ISMS.online vous aide

ISMS.Online est le principal logiciel de système de gestion ISO 27002 qui prend en charge la conformité aux ISO 27002et aide les entreprises à aligner leurs politiques de sécurité et procédures avec la norme.

La plateforme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) selon ISO 27002.

Contactez-nous dès aujourd'hui pour réserver une démo.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage