Amélioration de la sécurité grâce au contrôle ISO 27002 8.22 : Stratégies de séparation du réseau

Lorsque les cybercriminels compromettent les réseaux, services ou appareils informatiques, ils ne se limitent pas aux actifs compromis.

Ils exploitent l'intrusion initiale pour infiltrer l'ensemble du réseau d'une organisation, accéder à des informations sensibles ou mener des attaques de ransomware.

Par exemple, les cybercriminels peuvent voler les identifiants de connexion des employés des ressources humaines (RH) d'un hôpital à la suite d'une attaque de phishing réussie et accéder aux systèmes de ressources humaines.

Ils peuvent ensuite utiliser ce point d'accès pour se déplacer latéralement sur l'ensemble du réseau et découvrir les réseaux qui hébergent des informations sensibles sur les patients. Cette intrusion peut entraîner la compromission des actifs informationnels, déclencher des temps d'arrêt ou exposer l'hôpital à une attaque de ransomware.

Si l'hôpital disposait de techniques de séparation des réseaux telles que des pare-feu, des réseaux virtuels ou l'isolation des serveurs, cela empêcherait probablement les intrus d'accéder aux informations sensibles et minimiserait l'impact de la violation.

Le contrôle 8.22 explique comment les organisations peuvent mettre en œuvre et maintenir des techniques de ségrégation de réseau appropriées pour éliminer les risques pour la disponibilité, l'intégrité et la confidentialité des actifs informationnels.

Objectif du contrôle 8.22

Control 8.22 permet aux organisations de diviser leurs réseaux informatiques en sous-réseaux en fonction du niveau de sensibilité et de criticité et de restreindre le flux de trafic entre ces différents sous-réseaux.

Cela aide les organisations à empêcher la propagation de logiciels malveillants ou de virus depuis des réseaux compromis vers d'autres réseaux stockant des informations sensibles.

Cela garantit que les organisations maintiennent la confidentialité, l’intégrité et la disponibilité des informations hébergées sur les sous-réseaux critiques.




Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo



Attributs Table de contrôle 8.22

Le contrôle 8.22 est de nature préventive car il oblige les organisations à adopter une approche proactive et à établir et mettre en œuvre des règles, des procédures et des techniques appropriées pour séparer le réseau informatique plus vaste en domaines de réseau plus petits afin d'éviter la compromission des réseaux sensibles.

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité#Protéger#Sécurité du système et des réseaux#Protection
#Intégrité
#Disponibilité

Propriété du contrôle 8.22

Étant donné que le contrôle 8.22 implique la segmentation des réseaux, des appareils et des systèmes en fonction du niveau de risques encourus ainsi que la mise en œuvre de techniques et de procédures de ségrégation des réseaux, un responsable de la sécurité de l'information devrait être tenu responsable de la conformité.

Orientations générales sur la conformité

Lors de la mise en œuvre de mesures de ségrégation des réseaux, les organisations doivent essayer de trouver un équilibre entre les besoins opérationnels et les problèmes de sécurité.

Le contrôle 8.22 énumère trois recommandations à prendre en compte lors de la mise en œuvre de la ségrégation des réseaux.

Comment séparer le réseau en sous-réseaux plus petits

Lors de la séparation du réseau en sous-domaines réseau plus petits, les organisations doivent prendre en compte le niveau de sensibilité et de criticité de chaque domaine réseau. En fonction de cette analyse, les sous-domaines du réseau peuvent être attribués à des « domaines publics », des « domaines de bureau », des « domaines de serveur » ou des « systèmes à haut risque ».

En outre, les organisations peuvent également prendre en compte les départements commerciaux tels que les ressources humaines, le marketing et les finances lors de la séparation du réseau.

Il convient également de noter que les organisations peuvent combiner ces deux critères et attribuer des sous-domaines réseau dans des catégories telles que « domaine de serveur se connectant au service commercial ».

Périmètres de sécurité et contrôle d'accès

Les organisations doivent définir clairement le périmètre de chaque sous-domaine du réseau. S'il y a un accès entre deux domaines réseau différents, cet accès doit être restreint au niveau du périmètre via la passerelle telle que des pare-feu ou des routeurs de filtrage.

Les organisations doivent évaluer les exigences de sécurité pour chaque domaine spécifique lors de la mise en œuvre de la ségrégation des réseaux et lors de l'autorisation de l'accès via les passerelles.

Cette évaluation doit être effectuée conformément à la politique de contrôle d'accès, comme l'exige le contrôle 5.15, et doit également prendre en compte les éléments suivants :

  • Niveau de classification attribué aux actifs informationnels.
  • Criticité de l'information.
  • Coût et considérations pratiques pour l’utilisation d’une technologie de passerelle particulière.

Réseaux sans fil

Étant donné qu'il est difficile de définir les paramètres de sécurité des réseaux sans fil, Control 8.22 recommande aux organisations d'adhérer aux pratiques suivantes :

  • L'utilisation de techniques d'ajustement de la couverture radio pour séparer les réseaux sans fil devrait être évaluée.
  • Pour les réseaux sensibles, les organisations peuvent considérer toutes les tentatives d'accès sans fil comme des connexions externes et empêcher l'accès aux réseaux internes jusqu'à ce que le contrôle de la passerelle approuve l'accès.
  • Si le personnel utilise uniquement ses propres appareils conformément à la politique de l'organisation, l'accès au réseau sans fil fourni au personnel et aux invités doit être séparé.
  • L'utilisation du Wi-Fi par les clients doit être soumise aux mêmes restrictions et contrôles imposés au personnel.

Orientations supplémentaires sur le contrôle 8.22

Control 8.22 note que les organisations concluent souvent divers partenariats commerciaux avec d'autres entreprises et partagent leur réseau, leurs appareils informatiques et d'autres installations d'information.

Par conséquent, les réseaux sensibles peuvent être exposés à un risque accru d’accès non autorisé par d’autres utilisateurs et les organisations doivent prendre les mesures appropriées pour prévenir ce risque.




Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo



Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/8.22 replaces 27002:2013/(13.1.3)

Bien que les versions 2022 et 2013 soient dans une large mesure similaires, il existe une différence clé.

Contrairement à la version 2013, la version 2022 inclut les exigences suivantes pour les réseaux sans fil :

  • Si le personnel utilise uniquement ses propres appareils conformément à la politique de l'organisation, l'accès au réseau sans fil fourni au personnel et aux invités doit être séparé.
  • L'utilisation du Wi-Fi par les clients doit être soumise aux mêmes restrictions et contrôles imposés au personnel.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7ÉquipementIntelligence de la menace
5.23ÉquipementSécurité des informations pour l'utilisation des services cloud
5.30ÉquipementPréparation aux TIC pour la continuité des activités
7.4ÉquipementSurveillance de la sécurité physique
8.9ÉquipementGestion de la configuration
8.10ÉquipementSuppression des informations
8.11ÉquipementMasquage des données
8.12ÉquipementPrévention des fuites de données
8.16ÉquipementActivités de surveillance
8.23Équipementfiltrage web
8.28ÉquipementCodage sécurisé


Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7ÉquipementIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.1208.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.1709.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23ÉquipementSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30ÉquipementPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées


Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9ÉquipementGestion de la configuration
8.10ÉquipementSuppression des informations
8.11ÉquipementMasquage des données
8.12ÉquipementPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16ÉquipementActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Équipementfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28ÉquipementCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit


Comment ISMS.online vous aide

ISMS.Online vous permet de :

  • Documentez vos processus. Cette interface intuitive vous permet de documenter vos processus sans installer de logiciel sur votre ordinateur ou votre réseau.
  • Automatisez votre processus d’évaluation des risques.
  • Démontrez facilement votre conformité avec des rapports et des listes de contrôle en ligne.
  • Gardez une trace des progrès tout en travaillant vers la certification.

ISMS.Online offre une gamme complète de fonctionnalités pour aider les organisations et les entreprises à se conformer à la norme industrielle ISO 27001 et/ou ISO 27002 ISMS.

Veuillez nous contacter aujourd'hui pour planifier une démo.


Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Printemps 2025
Momentum Leader - Printemps 2025
Responsable régional - Printemps 2025 Royaume-Uni
Responsable régional - Printemps 2025 UE
Meilleure estimation. ROI Entreprise - Printemps 2025
Les plus susceptibles de recommander Enterprise - Printemps 2025

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !