Lorsque des informations sont transmises entre des réseaux et des appareils, les cyberattaquants peuvent utiliser diverses techniques pour voler des informations sensibles pendant le transit, altérer le contenu des informations, usurper l'identité de l'expéditeur/destinataire pour obtenir un accès non autorisé aux informations ou intercepter le transfert d'informations.
Par exemple, les cybercriminels peuvent utiliser la technique d'attaque de l'homme du milieu (MITM), intercepter la transmission de données et usurper l'identité du serveur pour persuader l'expéditeur de divulguer ses identifiants de connexion au faux serveur. Ils peuvent ensuite utiliser ces informations d’identification pour accéder aux systèmes et compromettre des informations sensibles.
L'utilisation de la cryptographie telle que le cryptage peut être efficace pour protéger la confidentialité, l'intégrité et la disponibilité des actifs informationnels lorsqu'ils sont en transit.
De plus, les techniques cryptographiques peuvent également maintenir la sécurité des actifs informationnels lorsqu’ils sont au repos.
Le contrôle 8.24 explique comment les organisations peuvent établir et mettre en œuvre des règles et des procédures pour l'utilisation de la cryptographie.
Control 8.24 permet aux organisations de maintenir la confidentialité, l'intégrité, l'authenticité et la disponibilité des actifs informationnels en mettant en œuvre correctement les techniques cryptographiques et en prenant en compte les critères suivants :
Le contrôle 8.24 est un type de contrôle préventif qui oblige les organisations à établir des règles et des procédures pour l'utilisation efficace des techniques cryptographiques et ainsi éliminer et minimiser les risques de compromission des actifs informationnels lorsqu'ils sont en transit ou au repos.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Configuration sécurisée | #Protection |
La conformité à 8.24 nécessite l'établissement et la mise en œuvre d'une politique spécifique en matière de cryptographie, la création d'un processus de gestion de clés efficace et la détermination du type de technique cryptographique appropriée au niveau de classification des informations attribué à un actif informationnel particulier.
Par conséquent, le responsable de la sécurité de l’information devrait être chargé d’établir les règles et procédures appropriées pour l’utilisation des clés cryptographiques.
Control 8.24 énumère sept exigences que les organisations doivent respecter lorsqu'elles utilisent des techniques cryptographiques :
En outre, le contrôle 8.24 souligne que les organisations doivent prendre en compte les lois et exigences susceptibles de restreindre l'utilisation de la cryptographie, y compris le transfert transfrontalier d'informations cryptées.
Enfin, il est également conseillé aux organisations de prendre en compte la responsabilité et la continuité des services lorsqu'elles concluent des accords de service avec des tiers pour la fourniture de services cryptographiques.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Les organisations doivent définir et appliquer des procédures sécurisées pour la création, le stockage, la récupération et la destruction des clés cryptographiques.
En particulier, les organisations doivent mettre en place un système de gestion des clés robuste qui comprend des règles, des processus et des normes pour les éléments suivants :
Enfin et surtout, ces lignes directrices supplémentaires mettent en garde les organisations contre trois risques particuliers :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Après avoir souligné que les organisations peuvent garantir l'authenticité des clés publiques par des méthodes telles que les processus de gestion des clés publiques, Control 8.24 explique comment la cryptographie peut aider les organisations à atteindre quatre objectifs de sécurité de l'information :
27002:2022/8.24 remplace 27002:2013/(10.1.1. Et 10.1.2)
Bien que le contenu des deux versions soit presque identique, quelques changements structurels sont à noter.
Alors que la version 2013 traitait de l'utilisation de la cryptographie sous deux contrôles distincts, à savoir 10.1.1. Et 10.1.2, la version 2022 combinait ces deux sous un seul contrôle, 8.24.
ISMS.Online est le principal logiciel de système de gestion ISO 27002 qui prend en charge la conformité à la norme ISO 27002 et aide les entreprises à aligner leurs politiques et procédures de sécurité sur la norme.
La plate-forme basée sur le cloud fournit un ensemble complet d'outils pour aider les organisations à mettre en place un système de gestion de la sécurité de l'information (ISMS) conformément à la norme ISO 27002.
Contactez-nous et réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
