L'externalisation du développement des systèmes informatiques et des logiciels à des parties externes présente de nombreux avantages pour les entreprises, tels qu'une réduction des coûts et une plus grande évolutivité. Toutefois, ces gains d’efficacité ne doivent pas se faire au détriment de la sécurité.
Par exemple, les fournisseurs de services externes peuvent ne pas avoir mis en place de contrôles d’accès stricts aux réseaux ou ne pas appliquer un cryptage de niveau industriel aux données stockées dans le cloud, ce qui peut compromettre les systèmes informatiques et les produits logiciels.
Cela peut entraîner des violations de données et une perte de disponibilité, de confidentialité ou d’intégrité des informations.
D’après une rapport de Trustwave, l'externalisation du développement logiciel et informatique a joué un rôle dans plus de 60 % de toutes les violations de données.
Étant donné que l’externalisation entraîne inévitablement une perte de contrôle sur le processus de développement et rend plus difficile l’application et le maintien des exigences en matière de sécurité de l’information, les organisations doivent veiller à ce que les parties externes respectent les exigences en matière de sécurité de l’information définies par l’organisation.
Control 8.30 permet aux organisations de garantir que les exigences établies en matière de sécurité des informations sont respectées lorsque le développement du système et des logiciels est sous-traité à des fournisseurs externes.
Le contrôle 8.30 est de nature à la fois détective et préventive : il oblige les organisations à superviser et surveiller toutes les activités d'externalisation et à garantir que le processus de développement externalisé satisfait aux exigences de sécurité de l'information.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif #Détective | #Confidentialité #Intégrité #Disponibilité | #Identifier #Protéger #Détecter | #Sécurité du système et des réseaux #Sécurité des applications #Sécurité de la relation fournisseur | #Gouvernance et écosystème #Protection |
Le responsable de la sécurité de l'information doit être chargé d'établir et de mettre en œuvre les procédures et contrôles nécessaires pour garantir que ces exigences en matière de sécurité de l'information sont communiquées, acceptées et respectées par les fournisseurs externes.
Les orientations générales soulignent que les organisations doivent surveiller et vérifier en permanence que la livraison des travaux de développement externalisés satisfait aux exigences de sécurité des informations imposées au fournisseur de services externe.
Control 8.30 recommande aux organisations de prendre en compte les 11 facteurs suivants lors de l'externalisation du développement :
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Pour des conseils plus détaillés sur la gestion des relations avec les fournisseurs, les organisations peuvent se référer à la norme ISO/IEC 27036.
27002:2022/8.30 replace 27002:2013/(14.2.7)
Dans l’ensemble, il n’y a pas de différence matérielle entre les deux versions.
Les entreprises peuvent utiliser ISMS.Online pour les aider dans leurs efforts de conformité ISO 27002 en leur fournissant une plateforme qui facilite la gestion de leurs politiques et procédures de sécurité, leur mise à jour si nécessaire, leur test et le contrôle de leur efficacité.
Notre plateforme cloud vous permet de gérer rapidement et facilement tous les aspects de votre SMSI, y compris la gestion des risques, les politiques, les plans, les procédures et bien plus encore, dans un emplacement central. La plateforme est facile à utiliser et dispose d’une interface intuitive qui facilite l’apprentissage de son utilisation.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |