Aucun réseau informatique, système, logiciel ou appareil n’est sécurisé à 100 %. Les vulnérabilités font partie intégrante de l'exploitation d'un LAN ou d'un WAN moderne, et il est important pour les organisations de reconnaître que d'une part, elles existent et, d'autre part, de la nécessité de minimiser les risques là où ils sont susceptibles de se produire.
Control 8.8 contient une quantité importante de conseils qui aident les organisations à empêcher l'exploitation interne et externe des vulnérabilités sur l'ensemble de leur réseau. Le contrôle 8.8 s'appuie sur les procédures et lignes directrices de nombreux autres contrôles ISO 27002:2022, en particulier ceux liés à la gestion des changements (voir Contrôle 8.32) et aux protocoles de contrôle d'accès.
Le contrôle 8.8 est un préventif contrôler cela maintient le risque en mettant en œuvre des procédures qui collectent des informations sur les vulnérabilités techniques et permettent à l'organisation de prendre les mesures appropriées pour protéger les actifs, les systèmes, les données et le matériel.
Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
---|---|---|---|---|
#Préventif | #Confidentialité #Intégrité #Disponibilité | #Identifier #Protéger | #Gestion des menaces et des vulnérabilités | #Gouvernance et écosystème #Protection #La défense |
Le contrôle 8.8 traite de la gestion technique et administrative des logiciels, des systèmes et des actifs TIC. Certaines des lignes directrices impliquent le déploiement d'une approche très détaillée de la gestion des logiciels, de la gestion des actifs et de l'audit de la sécurité des réseaux.
En tant que tel, la propriété du Contrôle 8.8 doit appartenir à la personne qui assume la responsabilité globale de la maintenance de l'infrastructure TIC de l'organisation, telle que le responsable informatique ou son équivalent organisationnel.
Avant la mise en œuvre des contrôles de vulnérabilité, il est essentiel d'obtenir une liste complète et à jour des actifs physiques et numériques (voir Contrôles 5.9 et 5.14) détenus et exploités par l'organisation.
Les informations sur les actifs logiciels doivent inclure :
Lorsqu’elles tentent d’identifier les vulnérabilités techniques, les organisations doivent :
En plus des systèmes internes, les organisations doivent développer des politiques et des procédures qui détectent les vulnérabilités dans tous leurs produits et services, et recevoir des évaluations de vulnérabilité liées à la fourniture desdits produits et services.
L'ISO conseille aux organisations de déployer des efforts publics pour détecter toute vulnérabilité et encourage les tiers à s'engager dans des efforts de gestion des vulnérabilités via l'utilisation de programmes de primes (dans lesquels les exploits sont recherchés et signalés à l'organisation contre une récompense).
Les organisations devraient se rendre accessibles au grand public via des forums, des adresses électroniques publiques et des activités de recherche afin que les connaissances collectives du grand public puissent être utilisées pour protéger les produits et services à la source.
Lorsque des mesures correctives ont été prises qui affectent les utilisateurs ou les clients, les organisations doivent envisager de divulguer les informations pertinentes aux personnes ou organisations concernées, et collaborer avec des organisations de sécurité spécialisées pour diffuser des informations sur les vulnérabilités et les vecteurs d'attaque.
En outre, les organisations devraient envisager de proposer une procédure de mise à jour automatique à laquelle les clients peuvent adhérer ou non, en fonction de leurs besoins commerciaux.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Des rapports adéquats sont essentiels pour garantir des mesures correctives rapides et efficaces lorsque des vulnérabilités sont découvertes.
Lors de l’évaluation des vulnérabilités, les organisations doivent :
Les vulnérabilités logicielles sont mieux combattues grâce à une approche proactive des mises à jour logicielles et de la gestion des correctifs.
Avant la mise en œuvre de toute modification, les organisations doivent s'assurer que les versions logicielles existantes sont conservées, que toutes les modifications sont entièrement testées et appliquées à une copie désignée du logiciel.
Lorsqu’elles s’attaquent directement aux vulnérabilités après leur identification, les organisations doivent :
En cas d'indisponibilité d'une mise à jour ou de problèmes empêchant l'installation d'une mise à jour (tels que des problèmes de coût), les organisations doivent envisager d'autres mesures, telles que :
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
L'ISO 27002:2022-8.8 remplace deux contrôles de l'ISO 27002:2013 :
27002:2022-8.8 représente une approche de gestion des vulnérabilités fondamentalement différente de celle contenue dans 27002:2013.
27002:2013-12.6.1 concerne en grande partie la mise en œuvre d'actions correctives une fois qu'une vulnérabilité a été identifiée, tandis que 18.2.3 se limite aux outils techniques (principalement des tests d'intrusion).
27002:2022-8.8 contient des sections entièrement nouvelles sur des sujets tels que les activités publiques d'une organisation, la manière dont les vulnérabilités sont identifiées en premier lieu et le rôle que jouent les fournisseurs de cloud pour garantir que les vulnérabilités soient réduites au minimum.
Dans l’ensemble, l’ISO met davantage l’accent sur le rôle que joue la gestion des vulnérabilités dans d’autres domaines de la norme 27002:2022 (notamment la gestion du changement) et préconise une approche holistique qui s’appuie sur de nombreux autres contrôles et procédures de sécurité de l’information.
Notre plateforme est intuitive et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de création de votre SMSI, car cela vous aide à construire un système véritablement durable.
Contactez-nous dès aujourd'hui pour réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
5.7 | Nouveauté | Intelligence de la menace |
5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
7.4 | Nouveauté | Surveillance de la sécurité physique |
8.9 | Nouveauté | Gestion de la configuration |
8.10 | Nouveauté | Suppression des informations |
8.11 | Nouveauté | Masquage des données |
8.12 | Nouveauté | Prévention des fuites de données |
8.16 | Nouveauté | Activités de surveillance |
8.23 | Nouveauté | filtrage web |
8.28 | Nouveauté | Codage sécurisé |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
6.1 | 07.1.1 | Tamisage |
6.2 | 07.1.2 | Termes et conditions d'emploi |
6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
6.4 | 07.2.3 | Processus disciplinaire |
6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
6.7 | 06.2.2 | Travail à distance |
6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
---|---|---|
7.1 | 11.1.1 | Périmètres de sécurité physique |
7.2 | 11.1.2, 11.1.6 | Entrée physique |
7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
7.4 | Nouveauté | Surveillance de la sécurité physique |
7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
7.6 | 11.1.5 | Travailler dans des zones sécurisées |
7.7 | 11.2.9 | Bureau clair et écran clair |
7.8 | 11.2.1 | Implantation et protection des équipements |
7.9 | 11.2.6 | Sécurité des actifs hors site |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
7.11 | 11.2.2 | Utilitaires pris en charge |
7.12 | 11.2.3 | Sécurité du câblage |
7.13 | 11.2.4 | La maintenance des équipements |
7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |