Les cybercriminels inventent constamment de nouveaux moyens et améliorent leurs stratégies pour infiltrer les réseaux d'entreprise et accéder aux informations sensibles.
Par exemple, les cyberattaquants peuvent exploiter une vulnérabilité liée au mécanisme d'authentification du code source pour s'introduire dans les réseaux. En outre, ils peuvent également tenter de manipuler les utilisateurs finaux côté client pour qu'ils effectuent des actions visant à infiltrer les réseaux, à accéder aux données ou à mener des attaques de ransomware.
Si une application, un logiciel ou un système informatique est déployé dans le monde réel avec des vulnérabilités, cela exposerait les informations sensibles à un risque de compromission.
Par conséquent, les organisations doivent établir et mettre en œuvre une procédure de test de sécurité appropriée pour identifier et remédier à toutes les vulnérabilités des systèmes informatiques avant leur déploiement dans le monde réel.
Control 8.29 permet aux organisations de vérifier que toutes les exigences de sécurité des informations sont satisfaites lorsque de nouvelles applications, bases de données, logiciels ou codes sont mis en service en établissant et en appliquant une procédure de test de sécurité robuste.
Cela aide les organisations à détecter et à éliminer les vulnérabilités du code, des réseaux, des serveurs, des applications ou d'autres systèmes informatiques avant qu'ils ne soient utilisés dans le monde réel.
Le contrôle 8.29 est de nature préventive. Elle oblige les organisations à soumettre les nouveaux systèmes d'information et leurs versions nouvelles/mises à jour à un processus de tests de sécurité avant leur publication dans l'environnement de production.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier | #Sécurité des applications #Assurance de la sécurité de l'information #Sécurité du système et des réseaux | #Protection |
Étant donné que le contrôle 8.29 implique l'établissement, la maintenance et la mise en œuvre d'une procédure de test de sécurité qui s'appliquera à tous les nouveaux systèmes d'information, qu'ils soient développés en interne ou par des parties externes, le responsable de la sécurité de l'information devrait être responsable de la conformité.
Les organisations doivent intégrer des tests de sécurité dans le processus de test de tous les systèmes et doivent s'assurer que tous les nouveaux systèmes d'information et leurs versions nouvelles/mises à jour satisfont aux exigences de sécurité des informations lorsqu'ils se trouvent dans l'environnement de production.
Le contrôle 8.29 répertorie trois éléments qui doivent être inclus dans le processus de test de sécurité :
Lors de la conception des plans de tests de sécurité, les organisations doivent prendre en compte le niveau de criticité et la nature du système d’information concerné.
Le plan de tests de sécurité doit couvrir les éléments suivants :
Lorsque les systèmes informatiques sont développés par l'équipe de développement interne, cette équipe doit effectuer les tests de sécurité initiaux pour garantir que le système informatique répond aux exigences de sécurité.
Ces tests initiaux doivent ensuite être suivis d'un test d'acceptation d'indépendance conformément au contrôle 5.8.
En ce qui concerne le développement interne, les éléments suivants doivent être pris en compte :
Les organisations doivent suivre un processus d'acquisition strict lorsqu'elles externalisent le développement ou lorsqu'elles achètent des composants informatiques auprès de parties externes.
Les organisations doivent conclure un accord avec leurs fournisseurs et cet accord doit répondre aux exigences de sécurité des informations prescrites dans le contrôle 5.20.
De plus, les organisations doivent s'assurer que les produits et services qu'elles achètent sont conformes aux normes de sécurité de l'information.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Les organisations peuvent créer plusieurs environnements de test pour effectuer divers tests tels que des tests fonctionnels, non fonctionnels et de performances.
De plus, ils peuvent créer des environnements de test virtuels, puis configurer ces environnements pour tester les systèmes informatiques dans divers paramètres opérationnels.
Control 8.29 note également que des tests de sécurité efficaces nécessitent que les organisations testent et surveillent les environnements, outils et technologies de test.
Enfin, les organisations doivent prendre en compte le niveau de sensibilité et de criticité des données lors de la détermination du nombre de couches de méta-tests.
27002:2022/8.29 remplace 27002:2013/(14.2.8 et 14.2.9)
Alors que la version 2022 aborde les tests sécurisés sous un seul contrôle, la version 2013 faisait référence à des tests sécurisés dans deux contrôles distincts ; Tests de sécurité du système dans Control 14.2.8 et tests d'acceptation du système dans Control 14.2.9
Contrairement à la version 2013, la version 2022 comprend des exigences et des recommandations plus détaillées sur les points suivants :
Contrairement à la version 2022, la version 2013 était plus prescriptive pour les tests d'acceptation du système. Il comprenait des exigences telles que des tests de sécurité sur les composants reçus et l'utilisation d'outils automatisés.
ISMS.online rationalise le processus de mise en œuvre de la norme ISO 27002 en fournissant un cadre sophistiqué basé sur le cloud pour documenter les procédures et les listes de contrôle du système de gestion de la sécurité de l'information afin de garantir la conformité aux normes reconnues.
Contactez-nous et réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
