ISO 27002:2022, Contrôle 8.28 – Codage sécurisé

Contrôles révisés ISO 27002 : 2022

Demander demo

L'homme,mains,travail,sur,ordinateur portable

De mauvaises pratiques de codage telles qu'une validation d'entrée incorrecte et une génération de clé faible peuvent exposer les systèmes d'information à des vulnérabilités de sécurité et entraîner des cyberattaques et la compromission d'informations sensibles.

Par exemple, dans le fameux Incident de bug Heartbleed, les pirates ont exploité une validation incorrecte des entrées dans le code pour accéder à plus de 4 millions de données de patients.

Par conséquent, les organisations doivent veiller à ce que les principes de codage sécurisé soient suivis afin que de mauvaises pratiques de codage n’entraînent pas de failles de sécurité.

Objectif du contrôle 8.28

Control 8.28 permet aux organisations de prévenir les risques de sécurité et les vulnérabilités pouvant résulter de mauvaises pratiques de codage de logiciels en concevant, en mettant en œuvre et en révisant les principes de codage de logiciels sécurisés appropriés.

Tableau des attributs

Control 8.28 est un type de contrôle préventif qui aide les organisations à maintenir la sécurité des réseaux, des systèmes et des applications en éliminant les risques pouvant découler d'un code logiciel mal conçu.

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif #Confidentialité
#Intégrité
#Disponibilité		#Protéger #Sécurité des applications
#Sécurité du système et des réseaux		#Protection
Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Propriété du contrôle 8.28

Étant donné que l'article 8.28 exige la conception et la mise en œuvre de principes et de procédures de codage sécurisé à l'échelle de l'organisation, le responsable de la sécurité de l'information devrait être responsable de prendre les mesures appropriées pour assurer la conformité.

Orientations générales sur la conformité

Le contrôle 8.28 exige que les organisations établissent et mettent en œuvre des processus à l'échelle de l'organisation pour un codage sécurisé qui s'applique à la fois aux produits logiciels obtenus auprès de parties externes et aux composants logiciels open source.

En outre, les organisations doivent se tenir informées de l’évolution des menaces de sécurité réelles et des informations les plus récentes sur les vulnérabilités de sécurité logicielles connues ou potentielles. Cela permettra aux organisations d’améliorer et de mettre en œuvre des principes de codage de logiciels sécurisés et efficaces contre l’évolution des cybermenaces.

Orientations supplémentaires sur la planification

Les principes de codage sécurisé des logiciels doivent être suivis à la fois pour les nouveaux projets de codage et pour les opérations de réutilisation de logiciels.

Ces principes doivent être respectés à la fois pour les activités de développement de logiciels internes et pour le transfert des produits ou services logiciels de l'organisation à des tiers.

Lors de l’établissement d’un plan pour les principes de codage sécurisé et de la détermination des conditions préalables au codage sécurisé, les organisations doivent se conformer aux éléments suivants :

  • Les organisations doivent déterminer les attentes en matière de sécurité adaptées à leurs besoins et établir des principes approuvés pour le codage logiciel sécurisé qui s'appliqueront à la fois au développement logiciel interne et aux composants logiciels externalisés.

  • Les organisations doivent détecter et documenter les mauvaises pratiques et erreurs de conception de codage les plus répandues et historiques qui entraînent une compromission de la sécurité des informations.

  • Les organisations doivent mettre en place et configurer des outils de développement logiciel pour garantir la sécurité de tout le code créé. Un exemple de tels outils est celui des environnements de développement intégrés (IDE).

  • Les organisations doivent se conformer aux conseils et instructions fournis par les outils de développement logiciel.

  • Les organisations doivent examiner, maintenir et utiliser en toute sécurité les outils de développement tels que les compilateurs.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Conseils supplémentaires sur la sécurité pendant le codage

Les pratiques et procédures de codage sécurisé doivent prendre en compte les éléments suivants pour le processus de codage :

  • Les principes de codage de logiciels sécurisés doivent être adaptés à chaque langage de programmation et techniques utilisés.

  • Déploiement de techniques et méthodes de programmation sécurisées telles que le développement piloté par les tests et la programmation en binôme.

  • Utilisation de méthodes de programmation structurées.

  • Documentation appropriée du code et suppression des défauts du code.

  • Interdiction d'utiliser des méthodes de codage de logiciels non sécurisées telles que des échantillons de code non approuvés ou des mots de passe codés en dur.

Les instructions supplémentaires indiquent également que les tests de sécurité doivent être effectués pendant et après le développement conformément au contrôle 8.29.

Avant d'utiliser réellement le logiciel dans l'environnement d'application en direct, les organisations doivent prendre en compte les éléments suivants :

  • Quelle est la surface d’attaque ?

  • Le principe du moindre privilège est-il respecté ?

  • Effectuer une analyse des erreurs de programmation les plus répandues et documenter que ces risques ont été éliminés.

Orientations supplémentaires sur le processus d'examen

Une fois le code mis en œuvre dans l'environnement de production

  • Les mises à jour doivent être appliquées de manière sécurisée.

  • Les vulnérabilités de sécurité signalées conformément au contrôle 8.8 doivent être corrigées.

  • Les attaques suspectées contre les systèmes d'information et les erreurs doivent être enregistrées et ces enregistrements doivent être examinés à intervalles réguliers afin que les modifications appropriées puissent être apportées au code.

  • L'accès non autorisé, l'utilisation ou les modifications du code source doivent être empêchés via des mécanismes tels que des outils de gestion.

Lorsque les organisations utilisent des outils externes, elles doivent prendre en compte les éléments suivants

  • Les bibliothèques externes doivent être surveillées et mises à jour à intervalles réguliers en fonction de leurs cycles de publication.

  • Les composants logiciels doivent être soigneusement vérifiés, sélectionnés et autorisés, en particulier les composants de cryptographie et d'authentification.

  • Licence des composants externes et garantie de leur sécurité.

  • Le logiciel doit être suivi et entretenu. De plus, il faut s'assurer qu'il provient d'une source fiable.

  • Les ressources de développement doivent être disponibles à long terme.

Lorsque vous apportez des modifications à un progiciel, les éléments suivants doivent être pris en compte

  • Risques pouvant découler de contrôles intégrés ou de compromission des processus d’intégrité.

  • Si le vendeur donne son consentement aux modifications.

  • S'il est possible d'obtenir le consentement du fournisseur de logiciels pour des mises à jour régulières.

  • L'impact probable de la maintenance du logiciel qui découle des modifications.

  • Si les modifications seraient compatibles avec d'autres composants logiciels utilisés par l'organisation.

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

Conseils supplémentaires sur le contrôle 8.28

Les organisations doivent s’assurer que le code pertinent pour la sécurité est utilisé lorsque cela est nécessaire et qu’il résiste à la falsification.

Control 8.28 répertorie également les recommandations suivantes pour le code pertinent pour la sécurité :

  • Bien que les programmes installés via un code binaire incluent du code lié à la sécurité, celui-ci est limité aux données stockées dans l'application elle-même.

  • Le concept de code pertinent pour la sécurité n'est utile que lorsque le code est exécuté sur un serveur qui n'est pas accessible à l'utilisateur et qu'il est séparé des processus qui l'utilisent et que ses données sont conservées en toute sécurité dans une autre base de données. Par exemple, vous pouvez exécuter un code interprété sur un service cloud et l'accès au code peut être restreint aux administrateurs privilégiés. Il est recommandé de protéger ces droits d'accès via des méthodes telles que des privilèges d'administrateur juste à temps et des mécanismes d'authentification robustes.

  • Des configurations appropriées sur les serveurs Web doivent être mises en œuvre pour empêcher l'accès et la navigation non autorisés dans le répertoire.

  • Lors de la conception du code d’une application, vous devez partir de l’hypothèse que le code est vulnérable aux attaques dues à des erreurs de codage et aux actions d’acteurs malveillants. Vous devez concevoir les applications critiques de manière à ce qu'elles ne soient pas vulnérables aux pannes internes. Par exemple, le résultat produit par un algorithme peut être examiné pour garantir qu'il est conforme aux exigences de sécurité avant de pouvoir être utilisé dans des applications critiques telles que des applications liées à la finance.

  • Certaines applications Web sont très vulnérables aux menaces de sécurité en raison de mauvaises pratiques de codage telles que l'injection de bases de données et les attaques de scripts intersites.

  • Les organisations doivent se référer à la série ISO/IEC 15408 pour plus d'informations sur l'évaluation de la sécurité informatique.

Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/8.28 est un nouveau type de contrôle.

Comment ISMS.online vous aide

Notre plateforme a été développée spécifiquement pour ceux qui débutent dans le domaine de la sécurité de l'information ou qui ont besoin d'un moyen simple de se familiariser avec la norme ISO 27002 sans avoir à passer du temps à apprendre à partir de zéro ou à lire de longs documents.

ISMS.Online est équipé de tous les outils nécessaires pour assurer la conformité, notamment des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisées en fonction de vos besoins.

Vous voulez voir comment ça marche?

Contactez-nous dès aujourd'hui pour réserver une démo.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage