Amélioration de la sécurité grâce au contrôle ISO 27002 8.22 : Stratégies de séparation du réseau
Lorsque les cybercriminels compromettent les réseaux, services ou appareils informatiques, ils ne se limitent pas aux actifs compromis.
Ils exploitent l'intrusion initiale pour infiltrer l'ensemble du réseau d'une organisation, accéder à des informations sensibles ou mener des attaques de ransomware.
Par exemple, les cybercriminels peuvent voler les identifiants de connexion des employés des ressources humaines (RH) d'un hôpital à la suite d'une attaque de phishing réussie et accéder aux systèmes de ressources humaines.
Ils peuvent ensuite utiliser ce point d'accès pour se déplacer latéralement sur l'ensemble du réseau et découvrir les réseaux qui hébergent des informations sensibles sur les patients. Cette intrusion peut entraîner la compromission des actifs informationnels, déclencher des temps d'arrêt ou exposer l'hôpital à une attaque de ransomware.
Si l'hôpital disposait de techniques de séparation des réseaux telles que des pare-feu, des réseaux virtuels ou l'isolation des serveurs, cela empêcherait probablement les intrus d'accéder aux informations sensibles et minimiserait l'impact de la violation.
Le contrôle 8.22 explique comment les organisations peuvent mettre en œuvre et maintenir des techniques de ségrégation de réseau appropriées pour éliminer les risques pour la disponibilité, l'intégrité et la confidentialité des actifs informationnels.
Objectif du contrôle 8.22
Control 8.22 permet aux organisations de diviser leurs réseaux informatiques en sous-réseaux en fonction du niveau de sensibilité et de criticité et de restreindre le flux de trafic entre ces différents sous-réseaux.
Cela aide les organisations à empêcher la propagation de logiciels malveillants ou de virus depuis des réseaux compromis vers d'autres réseaux stockant des informations sensibles.
Cela garantit que les organisations maintiennent la confidentialité, l’intégrité et la disponibilité des informations hébergées sur les sous-réseaux critiques.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
Attributs Table de contrôle 8.22
Le contrôle 8.22 est de nature préventive car il oblige les organisations à adopter une approche proactive et à établir et mettre en œuvre des règles, des procédures et des techniques appropriées pour séparer le réseau informatique plus vaste en domaines de réseau plus petits afin d'éviter la compromission des réseaux sensibles.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité | #Protéger | #Sécurité du système et des réseaux | #Protection |
#Intégrité | ||||
#Disponibilité |
Propriété du contrôle 8.22
Étant donné que le contrôle 8.22 implique la segmentation des réseaux, des appareils et des systèmes en fonction du niveau de risques encourus ainsi que la mise en œuvre de techniques et de procédures de ségrégation des réseaux, un responsable de la sécurité de l'information devrait être tenu responsable de la conformité.
Orientations générales sur la conformité
Lors de la mise en œuvre de mesures de ségrégation des réseaux, les organisations doivent essayer de trouver un équilibre entre les besoins opérationnels et les problèmes de sécurité.
Le contrôle 8.22 énumère trois recommandations à prendre en compte lors de la mise en œuvre de la ségrégation des réseaux.
Comment séparer le réseau en sous-réseaux plus petits
Lors de la séparation du réseau en sous-domaines réseau plus petits, les organisations doivent prendre en compte le niveau de sensibilité et de criticité de chaque domaine réseau. En fonction de cette analyse, les sous-domaines du réseau peuvent être attribués à des « domaines publics », des « domaines de bureau », des « domaines de serveur » ou des « systèmes à haut risque ».
En outre, les organisations peuvent également prendre en compte les départements commerciaux tels que les ressources humaines, le marketing et les finances lors de la séparation du réseau.
Il convient également de noter que les organisations peuvent combiner ces deux critères et attribuer des sous-domaines réseau dans des catégories telles que « domaine de serveur se connectant au service commercial ».
Périmètres de sécurité et contrôle d'accès
Les organisations doivent définir clairement le périmètre de chaque sous-domaine du réseau. S'il y a un accès entre deux domaines réseau différents, cet accès doit être restreint au niveau du périmètre via la passerelle telle que des pare-feu ou des routeurs de filtrage.
Les organisations doivent évaluer les exigences de sécurité pour chaque domaine spécifique lors de la mise en œuvre de la ségrégation des réseaux et lors de l'autorisation de l'accès via les passerelles.
Cette évaluation doit être effectuée conformément à la politique de contrôle d'accès, comme l'exige le contrôle 5.15, et doit également prendre en compte les éléments suivants :
- Niveau de classification attribué aux actifs informationnels.
- Criticité de l'information.
- Coût et considérations pratiques pour l’utilisation d’une technologie de passerelle particulière.
Réseaux sans fil
Étant donné qu'il est difficile de définir les paramètres de sécurité des réseaux sans fil, Control 8.22 recommande aux organisations d'adhérer aux pratiques suivantes :
- L'utilisation de techniques d'ajustement de la couverture radio pour séparer les réseaux sans fil devrait être évaluée.
- Pour les réseaux sensibles, les organisations peuvent considérer toutes les tentatives d'accès sans fil comme des connexions externes et empêcher l'accès aux réseaux internes jusqu'à ce que le contrôle de la passerelle approuve l'accès.
- Si le personnel utilise uniquement ses propres appareils conformément à la politique de l'organisation, l'accès au réseau sans fil fourni au personnel et aux invités doit être séparé.
- L'utilisation du Wi-Fi par les clients doit être soumise aux mêmes restrictions et contrôles imposés au personnel.
Orientations supplémentaires sur le contrôle 8.22
Control 8.22 note que les organisations concluent souvent divers partenariats commerciaux avec d'autres entreprises et partagent leur réseau, leurs appareils informatiques et d'autres installations d'information.
Par conséquent, les réseaux sensibles peuvent être exposés à un risque accru d’accès non autorisé par d’autres utilisateurs et les organisations doivent prendre les mesures appropriées pour prévenir ce risque.
Gérez toute votre conformité en un seul endroit
ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27002:2013
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Bien que les versions 2022 et 2013 soient dans une large mesure similaires, il existe une différence clé.
Contrairement à la version 2013, la version 2022 inclut les exigences suivantes pour les réseaux sans fil :
- Si le personnel utilise uniquement ses propres appareils conformément à la politique de l'organisation, l'accès au réseau sans fil fourni au personnel et aux invités doit être séparé.
- L'utilisation du Wi-Fi par les clients doit être soumise aux mêmes restrictions et contrôles imposés au personnel.
Nouveaux contrôles ISO 27002
Nouveaux contrôles
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Équipement | Intelligence de la menace |
5.23 | Équipement | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Équipement | Préparation aux TIC pour la continuité des activités |
7.4 | Équipement | Surveillance de la sécurité physique |
8.9 | Équipement | Gestion de la configuration |
8.10 | Équipement | Suppression des informations |
8.11 | Équipement | Masquage des données |
8.12 | Équipement | Prévention des fuites de données |
8.16 | Équipement | Activités de surveillance |
8.23 | Équipement | filtrage web |
8.28 | Équipement | Codage sécurisé |
Contrôles organisationnels
Contrôles des personnes
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Contrôles physiques
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Équipement | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Contrôles technologiques
Comment ISMS.online vous aide
ISMS.Online vous permet de :
- Documentez vos processus. Cette interface intuitive vous permet de documenter vos processus sans installer de logiciel sur votre ordinateur ou votre réseau.
- Automatisez votre processus d’évaluation des risques.
- Démontrez facilement votre conformité avec des rapports et des listes de contrôle en ligne.
- Gardez une trace des progrès tout en travaillant vers la certification.
ISMS.Online offre une gamme complète de fonctionnalités pour aider les organisations et les entreprises à se conformer à la norme industrielle ISO 27001 et/ou ISO 27002 ISMS.
Veuillez nous contacter aujourd'hui pour planifier une démo.