ISO 27002:2022 – Contrôle 8.28 – Codage sécurisé

La page Contrôle 27002 – Codage sécurisé de la norme ISO 2022:8.28 souligne l’importance de mettre en œuvre des principes de codage logiciel sécurisé pour prévenir les vulnérabilités de sécurité, garantir la confidentialité, l’intégrité et la sécurité du système grâce aux meilleures pratiques et aux mesures de conformité.

Demander demo
Auteur
Max Edwards
Mis à jour le 18 février 2025
LinkedIn Twitter Twitter

Qu'est-ce que la norme ISO 27002:2022 Contrôle 8.28 sur le codage sécurisé ?

De mauvaises pratiques de codage telles qu'une validation d'entrée incorrecte et une génération de clé faible peuvent exposer les systèmes d'information à des vulnérabilités de sécurité et entraîner des cyberattaques et la compromission d'informations sensibles.

Par exemple, dans le fameux Incident de bug Heartbleed, les pirates ont exploité une validation incorrecte des entrées dans le code pour accéder à plus de 4 millions de données de patients.

Par conséquent, les organisations doivent veiller à ce que les principes de codage sécurisé soient suivis afin que de mauvaises pratiques de codage n’entraînent pas de failles de sécurité.

Objectif du contrôle 8.28

Control 8.28 permet aux organisations de prévenir les risques de sécurité et les vulnérabilités pouvant résulter de mauvaises pratiques de codage de logiciels en concevant, en mettant en œuvre et en révisant les principes de codage de logiciels sécurisés appropriés.

Attributs Table de contrôle 8.28

Control 8.28 est un type de contrôle préventif qui aide les organisations à maintenir la sécurité des réseaux, des systèmes et des applications en éliminant les risques pouvant découler d'un code logiciel mal conçu.

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité#Protéger#Sécurité des applications#Protection
#Intégrité#Sécurité du système et des réseaux
#Disponibilité


Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


Propriété du contrôle 8.28

Étant donné que l'article 8.28 exige la conception et la mise en œuvre de principes et de procédures de codage sécurisé à l'échelle de l'organisation, le responsable de la sécurité de l'information devrait être responsable de prendre les mesures appropriées pour assurer la conformité.

Orientations générales sur la conformité

Le contrôle 8.28 exige que les organisations établissent et mettent en œuvre des processus à l'échelle de l'organisation pour un codage sécurisé qui s'applique à la fois aux produits logiciels obtenus auprès de parties externes et aux composants logiciels open source.

En outre, les organisations doivent se tenir informées de l’évolution des menaces de sécurité réelles et des informations les plus récentes sur les vulnérabilités de sécurité logicielles connues ou potentielles. Cela permettra aux organisations d’améliorer et de mettre en œuvre des principes de codage de logiciels sécurisés et efficaces contre l’évolution des cybermenaces.

Orientations supplémentaires sur la planification

Les principes de codage sécurisé des logiciels doivent être suivis à la fois pour les nouveaux projets de codage et pour les opérations de réutilisation de logiciels.

Ces principes doivent être respectés à la fois pour les activités de développement de logiciels internes et pour le transfert des produits ou services logiciels de l'organisation à des tiers.

Lors de l’établissement d’un plan pour les principes de codage sécurisé et de la détermination des conditions préalables au codage sécurisé, les organisations doivent se conformer aux éléments suivants :

  • Les organisations doivent déterminer les attentes en matière de sécurité adaptées à leurs besoins et établir des principes approuvés pour le codage logiciel sécurisé qui s'appliqueront à la fois au développement logiciel interne et aux composants logiciels externalisés.
  • Les organisations doivent détecter et documenter les mauvaises pratiques et erreurs de conception de codage les plus répandues et historiques qui entraînent une compromission de la sécurité des informations.
  • Les organisations doivent mettre en place et configurer des outils de développement logiciel pour garantir la sécurité de tout le code créé. Un exemple de tels outils est celui des environnements de développement intégrés (IDE).
  • Les organisations doivent se conformer aux conseils et instructions fournis par les outils de développement logiciel.
  • Les organisations doivent examiner, maintenir et utiliser en toute sécurité les outils de développement tels que les compilateurs.

Conseils supplémentaires sur la sécurité pendant le codage

Les pratiques et procédures de codage sécurisé doivent prendre en compte les éléments suivants pour le processus de codage :

  • Les principes de codage de logiciels sécurisés doivent être adaptés à chaque langage de programmation et techniques utilisés.
  • Déploiement de techniques et méthodes de programmation sécurisées telles que le développement piloté par les tests et la programmation en binôme.
  • Utilisation de méthodes de programmation structurées.
  • Documentation appropriée du code et suppression des défauts du code.
  • Interdiction d'utiliser des méthodes de codage de logiciels non sécurisées telles que des échantillons de code non approuvés ou des mots de passe codés en dur.

Les instructions supplémentaires indiquent également que les tests de sécurité doivent être effectués pendant et après le développement conformément au contrôle 8.29.

Avant d'utiliser réellement le logiciel dans l'environnement d'application en direct, les organisations doivent prendre en compte les éléments suivants :

  • Quelle est la surface d’attaque ?
  • Le principe du moindre privilège est-il respecté ?
  • Effectuer une analyse des erreurs de programmation les plus répandues et documenter que ces risques ont été éliminés.


La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


Orientations supplémentaires sur le processus d'examen

Une fois le code mis en œuvre dans l'environnement de production

  • Les mises à jour doivent être appliquées de manière sécurisée.
  • Les vulnérabilités de sécurité signalées conformément au contrôle 8.8 doivent être corrigées.
  • Les attaques suspectées contre les systèmes d'information et les erreurs doivent être enregistrées et ces enregistrements doivent être examinés à intervalles réguliers afin que les modifications appropriées puissent être apportées au code.
  • L'accès non autorisé, l'utilisation ou les modifications du code source doivent être empêchés via des mécanismes tels que des outils de gestion.

Lorsque les organisations utilisent des outils externes, elles doivent prendre en compte les éléments suivants

  • Les bibliothèques externes doivent être surveillées et mises à jour à intervalles réguliers en fonction de leurs cycles de publication.
  • Les composants logiciels doivent être soigneusement vérifiés, sélectionnés et autorisés, en particulier les composants de cryptographie et d'authentification.
  • Licence des composants externes et garantie de leur sécurité.
  • Le logiciel doit être suivi et entretenu. De plus, il faut s'assurer qu'il provient d'une source fiable.
  • Les ressources de développement doivent être disponibles à long terme.

Lorsque vous apportez des modifications à un progiciel, les éléments suivants doivent être pris en compte

  • Risques pouvant découler de contrôles intégrés ou de compromission des processus d’intégrité.
  • Si le vendeur donne son consentement aux modifications.
  • S'il est possible d'obtenir le consentement du fournisseur de logiciels pour des mises à jour régulières.
  • L'impact probable de la maintenance du logiciel qui découle des modifications.
  • Si les modifications seraient compatibles avec d'autres composants logiciels utilisés par l'organisation.

Conseils supplémentaires sur le contrôle 8.28

Les organisations doivent s’assurer que le code pertinent pour la sécurité est utilisé lorsque cela est nécessaire et qu’il résiste à la falsification.

Control 8.28 répertorie également les recommandations suivantes pour le code pertinent pour la sécurité :

  • Bien que les programmes installés via un code binaire incluent du code lié à la sécurité, celui-ci est limité aux données stockées dans l'application elle-même.
  • Le concept de code pertinent pour la sécurité n'est utile que lorsque le code est exécuté sur un serveur qui n'est pas accessible à l'utilisateur et qu'il est séparé des processus qui l'utilisent et que ses données sont conservées en toute sécurité dans une autre base de données. Par exemple, vous pouvez exécuter un code interprété sur un service cloud et l'accès au code peut être restreint aux administrateurs privilégiés. Il est recommandé de protéger ces droits d'accès via des méthodes telles que des privilèges d'administrateur juste à temps et des mécanismes d'authentification robustes.
  • Des configurations appropriées sur les serveurs Web doivent être mises en œuvre pour empêcher l'accès et la navigation non autorisés dans le répertoire.
  • Lors de la conception du code d’une application, vous devez partir de l’hypothèse que le code est vulnérable aux attaques dues à des erreurs de codage et aux actions d’acteurs malveillants. Vous devez concevoir les applications critiques de manière à ce qu'elles ne soient pas vulnérables aux pannes internes. Par exemple, le résultat produit par un algorithme peut être examiné pour garantir qu'il est conforme aux exigences de sécurité avant de pouvoir être utilisé dans des applications critiques telles que des applications liées à la finance.
  • Certaines applications Web sont très vulnérables aux menaces de sécurité en raison de mauvaises pratiques de codage telles que l'injection de bases de données et les attaques de scripts intersites.
  • Les organisations doivent se référer à la série ISO/IEC 15408 pour plus d'informations sur l'évaluation de la sécurité informatique.


Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo


Modifications et différences par rapport à la norme ISO 27002:2013

27002:2022/8.28 est un nouveau type de contrôle.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NEWIntelligence de la menace
5.23NEWSécurité des informations pour l'utilisation des services cloud
5.30NEWPréparation aux TIC pour la continuité des activités
7.4NEWSurveillance de la sécurité physique
8.9NEWGestion de la configuration
8.10NEWSuppression des informations
8.11NEWMasquage des données
8.12NEWPrévention des fuites de données
8.16NEWActivités de surveillance
8.23NEWfiltrage web
8.28NEWCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NEWIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.1208.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.1709.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NEWSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NEWPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NEWSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NEWGestion de la configuration
8.10NEWSuppression des informations
8.11NEWMasquage des données
8.12NEWPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NEWActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23NEWfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NEWCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Notre plateforme a été développée spécifiquement pour ceux qui débutent dans le domaine de la sécurité de l'information ou qui ont besoin d'un moyen simple de se familiariser avec la norme ISO 27002 sans avoir à passer du temps à apprendre à partir de zéro ou à lire de longs documents.

ISMS.Online est équipé de tous les outils nécessaires pour assurer la conformité, notamment des modèles de documents, des listes de contrôle et des politiques qui peuvent être personnalisées en fonction de vos besoins.

Vous voulez voir comment ça marche?

Contactez-nous dès aujourd'hui pour réserver une démo.

Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Été 2025
Momentum Leader - Été 2025
Responsable régional - Été 2025 Europe
Responsable régional - Été 2025 EMEA
Responsable régional - Été 2025 Royaume-Uni
High Performer - Été 2025 Europe

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.