Objectif du contrôle 8.8
Aucun réseau informatique, système, logiciel ou appareil n’est sécurisé à 100 %. Les vulnérabilités font partie intégrante de l'exploitation d'un LAN ou d'un WAN moderne, et il est important pour les organisations de reconnaître que d'une part, elles existent et, d'autre part, de la nécessité de minimiser les risques là où ils sont susceptibles de se produire.
Control 8.8 contient une quantité importante de conseils qui aident les organisations à empêcher l'exploitation interne et externe des vulnérabilités sur l'ensemble de leur réseau. Le contrôle 8.8 s'appuie sur les procédures et lignes directrices de nombreux autres contrôles ISO 27002:2022, en particulier ceux liés à la gestion des changements (voir Contrôle 8.32) et aux protocoles de contrôle d'accès.
Attributs Table de contrôle 8.8
Le contrôle 8.8 est un préventif contrôler cela maintient le risque en mettant en œuvre des procédures qui collectent des informations sur les vulnérabilités techniques et permettent à l'organisation de prendre les mesures appropriées pour protéger les actifs, les systèmes, les données et le matériel.
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité | #Identifier | #Gestion des menaces et des vulnérabilités | #Gouvernance et écosystème |
| #Intégrité | #Protéger | #Protection | ||
| #Disponibilité | #La défense |
Propriété du contrôle 8.8
Le contrôle 8.8 traite de la gestion technique et administrative des logiciels, des systèmes et des actifs TIC. Certaines des lignes directrices impliquent le déploiement d'une approche très détaillée de la gestion des logiciels, de la gestion des actifs et de l'audit de la sécurité des réseaux.
En tant que tel, la propriété du Contrôle 8.8 doit appartenir à la personne qui assume la responsabilité globale de la maintenance de l'infrastructure TIC de l'organisation, telle que le responsable informatique ou son équivalent organisationnel.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Conseils – Identifier les vulnérabilités
Avant la mise en œuvre des contrôles de vulnérabilité, il est essentiel d'obtenir une liste complète et à jour des actifs physiques et numériques (voir Contrôles 5.9 et 5.14) détenus et exploités par l'organisation.
Les informations sur les actifs logiciels doivent inclure :
- Nom du fournisseur
- Nom de l'application
- Numéros de version actuellement en service
- Où le logiciel est déployé dans le domaine
Lorsqu’elles tentent d’identifier les vulnérabilités techniques, les organisations doivent :
- Indiquez clairement qui (au sein de l'organisation) est responsable de la gestion des vulnérabilités d'un point de vue technique, conformément à ses différentes fonctions, notamment (mais sans s'y limiter) :
- Gestion d'actifs
- L'évaluation des risques
- Le Monitoring
- Mise à jour
- Qui est responsable du logiciel au sein de l'organisation
- Maintenir un inventaire des applications et des ressources qui seront utilisées pour identifier les vulnérabilités techniques.
- Demandez aux fournisseurs et vendeurs de divulguer les vulnérabilités lors de la fourniture de nouveaux systèmes et matériels (voir Contrôle 5.20) et de le préciser dans tous les contrats et accords de service pertinents.
- Utilisez des outils d’analyse des vulnérabilités, y compris des fonctionnalités de mise à jour de correctifs.
- Réalisez des tests d’intrusion réguliers et documentés – soit en interne, soit via un tiers certifié.
- Soyez attentif à l'utilisation de bibliothèques de code tierces et/ou de code source pour les vulnérabilités programmatiques sous-jacentes (voir Contrôle 8.28).
Orientation – Activités publiques
En plus des systèmes internes, les organisations doivent développer des politiques et des procédures qui détectent les vulnérabilités dans tous leurs produits et services, et recevoir des évaluations de vulnérabilité liées à la fourniture desdits produits et services.
L'ISO conseille aux organisations de déployer des efforts publics pour détecter toute vulnérabilité et encourage les tiers à s'engager dans des efforts de gestion des vulnérabilités via l'utilisation de programmes de primes (dans lesquels les exploits sont recherchés et signalés à l'organisation contre une récompense).
Les organisations devraient se rendre accessibles au grand public via des forums, des adresses électroniques publiques et des activités de recherche afin que les connaissances collectives du grand public puissent être utilisées pour protéger les produits et services à la source.
Lorsque des mesures correctives ont été prises qui affectent les utilisateurs ou les clients, les organisations doivent envisager de divulguer les informations pertinentes aux personnes ou organisations concernées, et collaborer avec des organisations de sécurité spécialisées pour diffuser des informations sur les vulnérabilités et les vecteurs d'attaque.
En outre, les organisations devraient envisager de proposer une procédure de mise à jour automatique à laquelle les clients peuvent adhérer ou non, en fonction de leurs besoins commerciaux.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Conseils – Évaluation des vulnérabilités
Des rapports adéquats sont essentiels pour garantir des mesures correctives rapides et efficaces lorsque des vulnérabilités sont découvertes.
Lors de l’évaluation des vulnérabilités, les organisations doivent :
- Analysez attentivement tous les rapports et décidez des mesures à prendre, y compris (mais sans s'y limiter) la modification, la mise à jour ou la suppression des systèmes et/ou du matériel concernés.
- Convenez d’une résolution qui prend en compte les autres contrôles ISO (en particulier ceux liés à la norme ISO 27002:2022) et reconnaît le niveau de risques impliqués.
Conseils – Contrer les vulnérabilités logicielles
Les vulnérabilités logicielles sont mieux combattues grâce à une approche proactive des mises à jour logicielles et de la gestion des correctifs.
Avant la mise en œuvre de toute modification, les organisations doivent s'assurer que les versions logicielles existantes sont conservées, que toutes les modifications sont entièrement testées et appliquées à une copie désignée du logiciel.
Lorsqu’elles s’attaquent directement aux vulnérabilités après leur identification, les organisations doivent :
- Chercher à résoudre toutes les vulnérabilités de manière rapide et efficace.
- Dans la mesure du possible, suivez les procédures organisationnelles sur la gestion du changement (voir Contrôle 8.32) et la réponse aux incidents (voir Contrôle 5.26).
- Appliquez uniquement des mises à jour et des correctifs émanant de sources fiables et/ou certifiées, en particulier dans le cas de logiciels et d'équipements de fournisseurs tiers.
- En ce qui concerne les logiciels des fournisseurs, les organisations doivent faire un jugement, en fonction des informations disponibles, quant à la nécessité d'appliquer des mises à jour automatiques (ou des parties de celles-ci) aux logiciels et au matériel acquis.
- Testez toutes les mises à jour requises avant l’installation, pour éviter tout incident imprévu dans un environnement opérationnel.
- Cherchez à traiter en priorité les systèmes à haut risque et critiques pour l’entreprise.
- Assurez-vous que toutes les mesures correctives sont efficaces et authentiques.
En cas d'indisponibilité d'une mise à jour ou de problèmes empêchant l'installation d'une mise à jour (tels que des problèmes de coût), les organisations doivent envisager d'autres mesures, telles que :
- Demander conseil au fournisseur sur une solution de contournement ou une solution de « plâtre collant » pendant que les efforts correctifs s'intensifient.
- Désactiver ou arrêter tous les services réseau affectés par la vulnérabilité.
- Mettre en œuvre des contrôles de sécurité du réseau aux points de passerelle critiques, y compris des règles de trafic et des filtres.
- Augmenter le niveau global de surveillance en fonction du risque associé.
- Assurez-vous que toutes les parties concernées sont conscientes de la vulnérabilité, y compris les fournisseurs et les clients.
- Retarder la mise à jour pour mieux évaluer les risques associés, en particulier lorsque les coûts opérationnels peuvent poser problème.
Contrôles pris en charge
- 5.14
- 5.20
- 5.9
- 8.20
- 8.22
- 8.28
Orientations supplémentaires sur le contrôle 8.8
- Les organisations doivent tenir un journal d'audit de toutes les activités pertinentes de gestion des vulnérabilités, afin de faciliter les efforts correctifs et d'améliorer les procédures en cas d'incident de sécurité.
- L'ensemble du processus de gestion des vulnérabilités doit être périodiquement revu et évalué, afin d'améliorer les performances et d'identifier davantage de vulnérabilités à la source.
- Si l'organisation a utilisé un logiciel hébergé par un fournisseur de services cloud, elle doit s'assurer que la position du fournisseur de services en matière de gestion des vulnérabilités est alignée sur la sienne et doit constituer un élément clé de tout accord de service contraignant entre les deux parties, y compris les procédures de reporting. (voir Contrôle 5.32).
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27002:2013
L'ISO 27002:2022-8.8 remplace deux contrôles de l'ISO 27002:2013 :
- 12.6.1 – Gestion des vulnérabilités techniques
- 18.2.3 – Examen de la conformité technique
27002:2022-8.8 représente une approche de gestion des vulnérabilités fondamentalement différente de celle contenue dans 27002:2013.
27002:2013-12.6.1 concerne en grande partie la mise en œuvre d'actions correctives une fois qu'une vulnérabilité a été identifiée, tandis que 18.2.3 se limite aux outils techniques (principalement des tests d'intrusion).
27002:2022-8.8 contient des sections entièrement nouvelles sur des sujets tels que les activités publiques d'une organisation, la manière dont les vulnérabilités sont identifiées en premier lieu et le rôle que jouent les fournisseurs de cloud pour garantir que les vulnérabilités soient réduites au minimum.
Dans l’ensemble, l’ISO met davantage l’accent sur le rôle que joue la gestion des vulnérabilités dans d’autres domaines de la norme 27002:2022 (notamment la gestion du changement) et préconise une approche holistique qui s’appuie sur de nombreux autres contrôles et procédures de sécurité de l’information.
Nouveaux contrôles ISO 27002
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | NOUVEAU | Intelligence de la menace |
| 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 8.9 | NOUVEAU | Gestion de la configuration |
| 8.10 | NOUVEAU | Suppression des informations |
| 8.11 | NOUVEAU | Masquage des données |
| 8.12 | NOUVEAU | Prévention des fuites de données |
| 8.16 | NOUVEAU | Activités de surveillance |
| 8.23 | NOUVEAU | filtrage web |
| 8.28 | NOUVEAU | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Présélection |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
Comment ISMS.online vous aide
Notre plateforme est intuitive et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de création de votre SMSI, car cela vous aide à construire un système véritablement durable.
Contactez-nous dès aujourd'hui pour réserver une démo.
