Passer au contenu
ISMS.en ligne

ISO 27002:2022 – Contrôle 8.28 – Codage sécurisé

La page Contrôle 27002 – Codage sécurisé de la norme ISO 2022:8.28 souligne l’importance de mettre en œuvre des principes de codage logiciel sécurisé pour prévenir les vulnérabilités de sécurité, garantir la confidentialité, l’intégrité et la sécurité du système grâce aux meilleures pratiques et aux mesures de conformité.

Auteur
Sam Peters
Mise à jour en juillet 25, 2025
4 / 5 Etoiles

Qu'est-ce que la norme ISO 27002:2022 Contrôle 8.28 sur le codage sécurisé ?

De mauvaises pratiques de codage telles qu'une validation d'entrée incorrecte et une génération de clé faible peuvent exposer les systèmes d'information à des vulnérabilités de sécurité et entraîner des cyberattaques et la compromission d'informations sensibles.

Par exemple, dans le fameux Incident de bug Heartbleed, les pirates ont exploité une validation incorrecte des entrées dans le code pour accéder à plus de 4 millions de données de patients.

Par conséquent, les organisations doivent veiller à ce que les principes de codage sécurisé soient suivis afin que de mauvaises pratiques de codage n’entraînent pas de failles de sécurité.

Objectif du contrôle 8.28

Control 8.28 permet aux organisations de prévenir les risques de sécurité et les vulnérabilités pouvant résulter de mauvaises pratiques de codage de logiciels en concevant, en mettant en œuvre et en révisant les principes de codage de logiciels sécurisés appropriés.

Attributs Table de contrôle 8.28

Control 8.28 est un type de contrôle préventif qui aide les organisations à maintenir la sécurité des réseaux, des systèmes et des applications en éliminant les risques pouvant découler d'un code logiciel mal conçu.

Type de contrôle Propriétés de sécurité des informations Concepts de cybersécurité Capacités opérationnelles Domaines de sécurité
#Préventif #Confidentialité #Protéger #Sécurité des applications #Protection
#Intégrité #Sécurité du système et des réseaux
#Disponibilité


ISMS.online vous donne une longueur d'avance de 81 % dès votre connexion

La norme ISO 27001 simplifiée

Une avance de 81 % dès le premier jour

Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.

Commencer


Propriété du contrôle 8.28

Étant donné que l'article 8.28 exige la conception et la mise en œuvre de principes et de procédures de codage sécurisé à l'échelle de l'organisation, le responsable de la sécurité de l'information devrait être responsable de prendre les mesures appropriées pour assurer la conformité.

Orientations générales sur la conformité

Le contrôle 8.28 exige que les organisations établissent et mettent en œuvre des processus à l'échelle de l'organisation pour un codage sécurisé qui s'applique à la fois aux produits logiciels obtenus auprès de parties externes et aux composants logiciels open source.

En outre, les organisations doivent se tenir informées de l’évolution des menaces de sécurité réelles et des informations les plus récentes sur les vulnérabilités de sécurité logicielles connues ou potentielles. Cela permettra aux organisations d’améliorer et de mettre en œuvre des principes de codage de logiciels sécurisés et efficaces contre l’évolution des cybermenaces.

Orientations supplémentaires sur la planification

Les principes de codage sécurisé des logiciels doivent être suivis à la fois pour les nouveaux projets de codage et pour les opérations de réutilisation de logiciels.

Ces principes doivent être respectés à la fois pour les activités de développement de logiciels internes et pour le transfert des produits ou services logiciels de l'organisation à des tiers.

Lors de l’établissement d’un plan pour les principes de codage sécurisé et de la détermination des conditions préalables au codage sécurisé, les organisations doivent se conformer aux éléments suivants :

  • Les organisations doivent déterminer les attentes en matière de sécurité adaptées à leurs besoins et établir des principes approuvés pour le codage logiciel sécurisé qui s'appliqueront à la fois au développement logiciel interne et aux composants logiciels externalisés.
  • Les organisations doivent détecter et documenter les mauvaises pratiques et erreurs de conception de codage les plus répandues et historiques qui entraînent une compromission de la sécurité des informations.
  • Les organisations doivent mettre en place et configurer des outils de développement logiciel pour garantir la sécurité de tout le code créé. Un exemple de tels outils est celui des environnements de développement intégrés (IDE).
  • Les organisations doivent se conformer aux conseils et instructions fournis par les outils de développement logiciel.
  • Les organisations doivent examiner, maintenir et utiliser en toute sécurité les outils de développement tels que les compilateurs.

Conseils supplémentaires sur la sécurité pendant le codage

Les pratiques et procédures de codage sécurisé doivent prendre en compte les éléments suivants pour le processus de codage :

  • Les principes de codage de logiciels sécurisés doivent être adaptés à chaque langage de programmation et techniques utilisés.
  • Déploiement de techniques et méthodes de programmation sécurisées telles que le développement piloté par les tests et la programmation en binôme.
  • Utilisation de méthodes de programmation structurées.
  • Documentation appropriée du code et suppression des défauts du code.
  • Interdiction d'utiliser des méthodes de codage de logiciels non sécurisées telles que des échantillons de code non approuvés ou des mots de passe codés en dur.

Les instructions supplémentaires indiquent également que les tests de sécurité doivent être effectués pendant et après le développement conformément au contrôle 8.29.

Avant d'utiliser réellement le logiciel dans l'environnement d'application en direct, les organisations doivent prendre en compte les éléments suivants :

  • Quelle est la surface d’attaque ?
  • Le principe du moindre privilège est-il respecté ?
  • Effectuer une analyse des erreurs de programmation les plus répandues et documenter que ces risques ont été éliminés.


escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Orientations supplémentaires sur le processus d'examen

Une fois le code mis en œuvre dans l'environnement de production

  • Les mises à jour doivent être appliquées de manière sécurisée.
  • Les vulnérabilités de sécurité signalées conformément au contrôle 8.8 doivent être corrigées.
  • Les attaques suspectées contre les systèmes d'information et les erreurs doivent être enregistrées et ces enregistrements doivent être examinés à intervalles réguliers afin que les modifications appropriées puissent être apportées au code.
  • L'accès non autorisé, l'utilisation ou les modifications du code source doivent être empêchés via des mécanismes tels que des outils de gestion.

Lorsque les organisations utilisent des outils externes, elles doivent prendre en compte les éléments suivants

  • Les bibliothèques externes doivent être surveillées et mises à jour à intervalles réguliers en fonction de leurs cycles de publication.
  • Les composants logiciels doivent être soigneusement vérifiés, sélectionnés et autorisés, en particulier les composants de cryptographie et d'authentification.
  • Licence des composants externes et garantie de leur sécurité.
  • Le logiciel doit être suivi et entretenu. De plus, il faut s'assurer qu'il provient d'une source fiable.
  • Les ressources de développement doivent être disponibles à long terme.

Lorsque vous apportez des modifications à un progiciel, les éléments suivants doivent être pris en compte

  • Risques pouvant découler de contrôles intégrés ou de compromission des processus d’intégrité.
  • Si le vendeur donne son consentement aux modifications.
  • S'il est possible d'obtenir le consentement du fournisseur de logiciels pour des mises à jour régulières.
  • L'impact probable de la maintenance du logiciel qui découle des modifications.
  • Si les modifications seraient compatibles avec d'autres composants logiciels utilisés par l'organisation.

Conseils supplémentaires sur le contrôle 8.28

Les organisations doivent s’assurer que le code pertinent pour la sécurité est utilisé lorsque cela est nécessaire et qu’il résiste à la falsification.

Control 8.28 répertorie également les recommandations suivantes pour le code pertinent pour la sécurité :

  • Bien que les programmes installés via un code binaire incluent du code lié à la sécurité, celui-ci est limité aux données stockées dans l'application elle-même.
  • Le concept de code pertinent pour la sécurité n'est utile que lorsque le code est exécuté sur un serveur qui n'est pas accessible à l'utilisateur et qu'il est séparé des processus qui l'utilisent et que ses données sont conservées en toute sécurité dans une autre base de données. Par exemple, vous pouvez exécuter un code interprété sur un service cloud et l'accès au code peut être restreint aux administrateurs privilégiés. Il est recommandé de protéger ces droits d'accès via des méthodes telles que des privilèges d'administrateur juste à temps et des mécanismes d'authentification robustes.
  • Des configurations appropriées sur les serveurs Web doivent être mises en œuvre pour empêcher l'accès et la navigation non autorisés dans le répertoire.
  • Lors de la conception du code d’une application, vous devez partir de l’hypothèse que le code est vulnérable aux attaques dues à des erreurs de codage et aux actions d’acteurs malveillants. Vous devez concevoir les applications critiques de manière à ce qu'elles ne soient pas vulnérables aux pannes internes. Par exemple, le résultat produit par un algorithme peut être examiné pour garantir qu'il est conforme aux exigences de sécurité avant de pouvoir être utilisé dans des applications critiques telles que des applications liées à la finance.
  • Certaines applications Web sont très vulnérables aux menaces de sécurité en raison de mauvaises pratiques de codage telles que l'injection de bases de données et les attaques de scripts intersites.
  • Les organisations doivent se référer à la série ISO/IEC 15408 pour plus d'informations sur l'évaluation de la sécurité informatique.


ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/8.28 est un nouveau type de contrôle.

Nouveaux contrôles ISO 27002

Nouveaux contrôles
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.7 NOUVEAU Intelligence de la menace
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.30 NOUVEAU Préparation aux TIC pour la continuité des activités
7.4 NOUVEAU Surveillance de la sécurité physique
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.16 NOUVEAU Activités de surveillance
8.23 NOUVEAU filtrage web
8.28 NOUVEAU Codage sécurisé
Contrôles organisationnels
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
5.1 05.1.1, 05.1.2 Politiques de sécurité des informations
5.2 06.1.1 Rôles et responsabilités en matière de sécurité de l'information
5.3 06.1.2 Séparation des tâches
5.4 07.2.1 Responsabilités de gestion
5.5 06.1.3 Contact avec les autorités
5.6 06.1.4 Contact avec des groupes d'intérêts particuliers
5.7 NOUVEAU Intelligence de la menace
5.8 06.1.5, 14.1.1 Sécurité de l'information dans la gestion de projet
5.9 08.1.1, 08.1.2 Inventaire des informations et autres actifs associés
5.10 08.1.3, 08.2.3 Utilisation acceptable des informations et autres actifs associés
5.11 08.1.4 Restitution des actifs
5.12 08.2.1 Classement des informations
5.13 08.2.2 Étiquetage des informations
5.14 13.2.1, 13.2.2, 13.2.3 Transfert d'information
5.15 09.1.1, 09.1.2 Contrôle d'accès
5.16 09.2.1 Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3 Informations d'authentification
5.18 09.2.2, 09.2.5, 09.2.6 Des droits d'accès
5.19 15.1.1 Sécurité de l'information dans les relations avec les fournisseurs
5.20 15.1.2 Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21 15.1.3 Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22 15.2.1, 15.2.2 Suivi, revue et gestion du changement des services fournisseurs
5.23 NOUVEAU Sécurité des informations pour l'utilisation des services cloud
5.24 16.1.1 Planification et préparation de la gestion des incidents de sécurité de l’information
5.25 16.1.4 Évaluation et décision sur les événements liés à la sécurité de l'information
5.26 16.1.5 Réponse aux incidents de sécurité de l'information
5.27 16.1.6 Tirer les leçons des incidents de sécurité de l’information
5.28 16.1.7 Collecte de preuves
5.29 17.1.1, 17.1.2, 17.1.3 Sécurité des informations en cas de perturbation
5.30 5.30 Préparation aux TIC pour la continuité des activités
5.31 18.1.1, 18.1.5 Exigences légales, statutaires, réglementaires et contractuelles
5.32 18.1.2 Droit de la propriété intellectuelle
5.33 18.1.3 Protection des dossiers
5.34 18.1.4 Confidentialité et protection des informations personnelles
5.35 18.2.1 Examen indépendant de la sécurité de l’information
5.36 18.2.2, 18.2.3 Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37 12.1.1 Procédures opérationnelles documentées
Contrôles des personnes
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
6.1 07.1.1 Présélection
6.2 07.1.2 Termes et conditions d'emploi
6.3 07.2.2 Sensibilisation, éducation et formation à la sécurité de l’information
6.4 07.2.3 Processus disciplinaire
6.5 07.3.1 Responsabilités après la cessation ou le changement d'emploi
6.6 13.2.4 Accords de confidentialité ou de non-divulgation
6.7 06.2.2 Travail à distance
6.8 16.1.2, 16.1.3 Rapports d'événements liés à la sécurité des informations
Contrôles physiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
7.1 11.1.1 Périmètres de sécurité physique
7.2 11.1.2, 11.1.6 Entrée physique
7.3 11.1.3 Sécurisation des bureaux, des locaux et des installations
7.4 NOUVEAU Surveillance de la sécurité physique
7.5 11.1.4 Se protéger contre les menaces physiques et environnementales
7.6 11.1.5 Travailler dans des zones sécurisées
7.7 11.2.9 Bureau clair et écran clair
7.8 11.2.1 Implantation et protection des équipements
7.9 11.2.6 Sécurité des actifs hors site
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Supports de stockage
7.11 11.2.2 Utilitaires pris en charge
7.12 11.2.3 Sécurité du câblage
7.13 11.2.4 La maintenance des équipements
7.14 11.2.7 Élimination ou réutilisation sécurisée des équipements
Contrôles technologiques
Identifiant de contrôle ISO/IEC 27002:2022 Identifiant de contrôle ISO/IEC 27002:2013 Nom du contrôle
8.1 06.2.1, 11.2.8 Appareils de point de terminaison utilisateur
8.2 09.2.3 Droits d'accès privilégiés
8.3 09.4.1 Restriction d'accès aux informations
8.4 09.4.5 Accès au code source
8.5 09.4.2 Authentification sécurisée
8.6 12.1.3 Gestion de la capacité
8.7 12.2.1 Protection contre les logiciels malveillants
8.8 12.6.1, 18.2.3 Gestion des vulnérabilités techniques
8.9 NOUVEAU Gestion de la configuration
8.10 NOUVEAU Suppression des informations
8.11 NOUVEAU Masquage des données
8.12 NOUVEAU Prévention des fuites de données
8.13 12.3.1 Sauvegarde des informations
8.14 17.2.1 Redondance des installations de traitement de l'information
8.15 12.4.1, 12.4.2, 12.4.3 Journal
8.16 NOUVEAU Activités de surveillance
8.17 12.4.4 La synchronisation d'horloge
8.18 09.4.4 Utilisation de programmes utilitaires privilégiés
8.19 12.5.1, 12.6.2 Installation de logiciels sur les systèmes opérationnels
8.20 13.1.1 Sécurité des réseaux
8.21 13.1.2 Sécurité des services réseau
8.22 13.1.3 Ségrégation des réseaux
8.23 NOUVEAU filtrage web
8.24 10.1.1, 10.1.2 Utilisation de la cryptographie
8.25 14.2.1 Cycle de vie de développement sécurisé
8.26 14.1.2, 14.1.3 Exigences de sécurité des applications
8.27 14.2.5 Architecture de système sécurisée et principes d’ingénierie
8.28 NOUVEAU Codage sécurisé
8.29 14.2.8, 14.2.9 Tests de sécurité en développement et acceptation
8.30 14.2.7 Développement externalisé
8.31 12.1.4, 14.2.6 Séparation des environnements de développement, de test et de production
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestion du changement
8.33 14.3.1 Informations de test
8.34 12.7.1 Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Notre plateforme a été développée spécifiquement pour ceux qui débutent dans le domaine de la sécurité de l'information ou qui ont besoin d'un moyen simple de se familiariser avec la norme ISO 27002 sans avoir à passer du temps à apprendre à partir de zéro ou à lire de longs documents.

ISMS.Online est équipé de tous les outils nécessaires pour assurer la conformité, notamment des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisées en fonction de vos besoins.

Vous voulez voir comment ça marche?

Contactez-nous dès aujourd'hui pour réserver une démo.

Sam Peters

Sam est directeur des produits chez ISMS.online et dirige le développement de toutes les caractéristiques et fonctionnalités du produit. Sam est un expert dans de nombreux domaines de la conformité et travaille avec ses clients sur des projets sur mesure ou à grande échelle.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement en cristal

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Automne 2025
Entreprise performante, petite entreprise - Automne 2025, Royaume-Uni
Responsable régional - Automne 2025 Europe
Responsable régional - Automne 2025 EMEA
Responsable régional - Automne 2025 Royaume-Uni
High Performer - Automne 2025 Europe Mid-market

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.