De mauvaises pratiques de codage telles qu'une validation d'entrée incorrecte et une génération de clé faible peuvent exposer les systèmes d'information à des vulnérabilités de sécurité et entraîner des cyberattaques et la compromission d'informations sensibles.
Par exemple, dans le fameux Incident de bug Heartbleed, les pirates ont exploité une validation incorrecte des entrées dans le code pour accéder à plus de 4 millions de données de patients.
Par conséquent, les organisations doivent veiller à ce que les principes de codage sécurisé soient suivis afin que de mauvaises pratiques de codage n’entraînent pas de failles de sécurité.
Control 8.28 permet aux organisations de prévenir les risques de sécurité et les vulnérabilités pouvant résulter de mauvaises pratiques de codage de logiciels en concevant, en mettant en œuvre et en révisant les principes de codage de logiciels sécurisés appropriés.
Control 8.28 est un type de contrôle préventif qui aide les organisations à maintenir la sécurité des réseaux, des systèmes et des applications en éliminant les risques pouvant découler d'un code logiciel mal conçu.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Sécurité des applications #Sécurité du système et des réseaux | #Protection |
Étant donné que l'article 8.28 exige la conception et la mise en œuvre de principes et de procédures de codage sécurisé à l'échelle de l'organisation, le responsable de la sécurité de l'information devrait être responsable de prendre les mesures appropriées pour assurer la conformité.
Le contrôle 8.28 exige que les organisations établissent et mettent en œuvre des processus à l'échelle de l'organisation pour un codage sécurisé qui s'applique à la fois aux produits logiciels obtenus auprès de parties externes et aux composants logiciels open source.
En outre, les organisations doivent se tenir informées de l’évolution des menaces de sécurité réelles et des informations les plus récentes sur les vulnérabilités de sécurité logicielles connues ou potentielles. Cela permettra aux organisations d’améliorer et de mettre en œuvre des principes de codage de logiciels sécurisés et efficaces contre l’évolution des cybermenaces.
Les principes de codage sécurisé des logiciels doivent être suivis à la fois pour les nouveaux projets de codage et pour les opérations de réutilisation de logiciels.
Ces principes doivent être respectés à la fois pour les activités de développement de logiciels internes et pour le transfert des produits ou services logiciels de l'organisation à des tiers.
Lors de l’établissement d’un plan pour les principes de codage sécurisé et de la détermination des conditions préalables au codage sécurisé, les organisations doivent se conformer aux éléments suivants :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Les pratiques et procédures de codage sécurisé doivent prendre en compte les éléments suivants pour le processus de codage :
Les instructions supplémentaires indiquent également que les tests de sécurité doivent être effectués pendant et après le développement conformément au contrôle 8.29.
Avant d'utiliser réellement le logiciel dans l'environnement d'application en direct, les organisations doivent prendre en compte les éléments suivants :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
Les organisations doivent s’assurer que le code pertinent pour la sécurité est utilisé lorsque cela est nécessaire et qu’il résiste à la falsification.
Control 8.28 répertorie également les recommandations suivantes pour le code pertinent pour la sécurité :
27002:2022/8.28 est un nouveau type de contrôle.
Notre plateforme a été développée spécifiquement pour ceux qui débutent dans le domaine de la sécurité de l'information ou qui ont besoin d'un moyen simple de se familiariser avec la norme ISO 27002 sans avoir à passer du temps à apprendre à partir de zéro ou à lire de longs documents.
ISMS.Online est équipé de tous les outils nécessaires pour assurer la conformité, notamment des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisées en fonction de vos besoins.
Vous voulez voir comment ça marche?
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |