Control 8.8, Gestion des vulnérabilités techniques

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Objectif du contrôle 8.8

Aucun réseau informatique, système, logiciel ou appareil n’est sécurisé à 100 %. Les vulnérabilités font partie intégrante de l'exploitation d'un LAN ou d'un WAN moderne, et il est important pour les organisations de reconnaître que d'une part, elles existent et, d'autre part, de la nécessité de minimiser les risques là où ils sont susceptibles de se produire.

Control 8.8 contient une quantité importante de conseils qui aident les organisations à empêcher l'exploitation interne et externe des vulnérabilités sur l'ensemble de leur réseau. Le contrôle 8.8 s'appuie sur les procédures et lignes directrices de nombreux autres contrôles ISO 27002:2022, en particulier ceux liés à la gestion des changements (voir Contrôle 8.32) et aux protocoles de contrôle d'accès.

Attributs Table de contrôle 8.8

Le contrôle 8.8 est un préventif contrôler cela maintient le risque en mettant en œuvre des procédures qui collectent des informations sur les vulnérabilités techniques et permettent à l'organisation de prendre les mesures appropriées pour protéger les actifs, les systèmes, les données et le matériel.

Type de contrôle	Propriétés de sécurité des informations	Concepts de cybersécurité	Capacités opérationnelles	Domaines de sécurité
#Préventif	#Confidentialité	#Identifier	#Gestion des menaces et des vulnérabilités	#Gouvernance et écosystème
	#Intégrité	#Protéger		#Protection
	#Disponibilité			#La défense

Propriété du contrôle 8.8

Le contrôle 8.8 traite de la gestion technique et administrative des logiciels, des systèmes et des actifs TIC. Certaines des lignes directrices impliquent le déploiement d'une approche très détaillée de la gestion des logiciels, de la gestion des actifs et de l'audit de la sécurité des réseaux.

En tant que tel, la propriété du Contrôle 8.8 doit appartenir à la personne qui assume la responsabilité globale de la maintenance de l'infrastructure TIC de l'organisation, telle que le responsable informatique ou son équivalent organisationnel.

Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Conseils – Identifier les vulnérabilités

Avant la mise en œuvre des contrôles de vulnérabilité, il est essentiel d'obtenir une liste complète et à jour des actifs physiques et numériques (voir Contrôles 5.9 et 5.14) détenus et exploités par l'organisation.

Les informations sur les actifs logiciels doivent inclure :

Nom du fournisseur
Nom de l'application
Numéros de version actuellement en service
Où le logiciel est déployé dans le domaine

Lorsqu’elles tentent d’identifier les vulnérabilités techniques, les organisations doivent :

Indiquez clairement qui (au sein de l'organisation) est responsable de la gestion des vulnérabilités d'un point de vue technique, conformément à ses différentes fonctions, notamment (mais sans s'y limiter) :

Gestion d'actifs
L'évaluation des risques
Le Monitoring
Mise à jour

Qui est responsable du logiciel au sein de l'organisation
Maintenir un inventaire des applications et des ressources qui seront utilisées pour identifier les vulnérabilités techniques.
Demandez aux fournisseurs et vendeurs de divulguer les vulnérabilités lors de la fourniture de nouveaux systèmes et matériels (voir Contrôle 5.20) et de le préciser dans tous les contrats et accords de service pertinents.
Utilisez des outils d’analyse des vulnérabilités, y compris des fonctionnalités de mise à jour de correctifs.
Réalisez des tests d’intrusion réguliers et documentés – soit en interne, soit via un tiers certifié.
Soyez attentif à l'utilisation de bibliothèques de code tierces et/ou de code source pour les vulnérabilités programmatiques sous-jacentes (voir Contrôle 8.28).

Orientation – Activités publiques

En plus des systèmes internes, les organisations doivent développer des politiques et des procédures qui détectent les vulnérabilités dans tous leurs produits et services, et recevoir des évaluations de vulnérabilité liées à la fourniture desdits produits et services.

L'ISO conseille aux organisations de déployer des efforts publics pour détecter toute vulnérabilité et encourage les tiers à s'engager dans des efforts de gestion des vulnérabilités via l'utilisation de programmes de primes (dans lesquels les exploits sont recherchés et signalés à l'organisation contre une récompense).

Les organisations devraient se rendre accessibles au grand public via des forums, des adresses électroniques publiques et des activités de recherche afin que les connaissances collectives du grand public puissent être utilisées pour protéger les produits et services à la source.

Lorsque des mesures correctives ont été prises qui affectent les utilisateurs ou les clients, les organisations doivent envisager de divulguer les informations pertinentes aux personnes ou organisations concernées, et collaborer avec des organisations de sécurité spécialisées pour diffuser des informations sur les vulnérabilités et les vecteurs d'attaque.

En outre, les organisations devraient envisager de proposer une procédure de mise à jour automatique à laquelle les clients peuvent adhérer ou non, en fonction de leurs besoins commerciaux.

La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo

Conseils – Évaluation des vulnérabilités

Des rapports adéquats sont essentiels pour garantir des mesures correctives rapides et efficaces lorsque des vulnérabilités sont découvertes.

Lors de l’évaluation des vulnérabilités, les organisations doivent :

Analysez attentivement tous les rapports et décidez des mesures à prendre, y compris (mais sans s'y limiter) la modification, la mise à jour ou la suppression des systèmes et/ou du matériel concernés.
Convenez d’une résolution qui prend en compte les autres contrôles ISO (en particulier ceux liés à la norme ISO 27002:2022) et reconnaît le niveau de risques impliqués.

Conseils – Contrer les vulnérabilités logicielles

Les vulnérabilités logicielles sont mieux combattues grâce à une approche proactive des mises à jour logicielles et de la gestion des correctifs.

Avant la mise en œuvre de toute modification, les organisations doivent s'assurer que les versions logicielles existantes sont conservées, que toutes les modifications sont entièrement testées et appliquées à une copie désignée du logiciel.

Lorsqu’elles s’attaquent directement aux vulnérabilités après leur identification, les organisations doivent :

Chercher à résoudre toutes les vulnérabilités de manière rapide et efficace.
Dans la mesure du possible, suivez les procédures organisationnelles sur la gestion du changement (voir Contrôle 8.32) et la réponse aux incidents (voir Contrôle 5.26).
Appliquez uniquement des mises à jour et des correctifs émanant de sources fiables et/ou certifiées, en particulier dans le cas de logiciels et d'équipements de fournisseurs tiers.

En ce qui concerne les logiciels des fournisseurs, les organisations doivent faire un jugement, en fonction des informations disponibles, quant à la nécessité d'appliquer des mises à jour automatiques (ou des parties de celles-ci) aux logiciels et au matériel acquis.

Testez toutes les mises à jour requises avant l’installation, pour éviter tout incident imprévu dans un environnement opérationnel.
Cherchez à traiter en priorité les systèmes à haut risque et critiques pour l’entreprise.
Assurez-vous que toutes les mesures correctives sont efficaces et authentiques.

En cas d'indisponibilité d'une mise à jour ou de problèmes empêchant l'installation d'une mise à jour (tels que des problèmes de coût), les organisations doivent envisager d'autres mesures, telles que :

Demander conseil au fournisseur sur une solution de contournement ou une solution de « plâtre collant » pendant que les efforts correctifs s'intensifient.
Désactiver ou arrêter tous les services réseau affectés par la vulnérabilité.
Mettre en œuvre des contrôles de sécurité du réseau aux points de passerelle critiques, y compris des règles de trafic et des filtres.
Augmenter le niveau global de surveillance en fonction du risque associé.
Assurez-vous que toutes les parties concernées sont conscientes de la vulnérabilité, y compris les fournisseurs et les clients.
Retarder la mise à jour pour mieux évaluer les risques associés, en particulier lorsque les coûts opérationnels peuvent poser problème.

Contrôles pris en charge

5.14
5.20
5.9
8.20
8.22
8.28

Orientations supplémentaires sur le contrôle 8.8

Les organisations doivent tenir un journal d'audit de toutes les activités pertinentes de gestion des vulnérabilités, afin de faciliter les efforts correctifs et d'améliorer les procédures en cas d'incident de sécurité.
L'ensemble du processus de gestion des vulnérabilités doit être périodiquement revu et évalué, afin d'améliorer les performances et d'identifier davantage de vulnérabilités à la source.
Si l'organisation a utilisé un logiciel hébergé par un fournisseur de services cloud, elle doit s'assurer que la position du fournisseur de services en matière de gestion des vulnérabilités est alignée sur la sienne et doit constituer un élément clé de tout accord de service contraignant entre les deux parties, y compris les procédures de reporting. (voir Contrôle 5.32).

Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo

Modifications et différences par rapport à la norme ISO 27002:2013

L'ISO 27002:2022-8.8 remplace deux contrôles de l'ISO 27002:2013 :

12.6.1 – Gestion des vulnérabilités techniques
18.2.3 – Examen de la conformité technique

27002:2022-8.8 représente une approche de gestion des vulnérabilités fondamentalement différente de celle contenue dans 27002:2013.

27002:2013-12.6.1 concerne en grande partie la mise en œuvre d'actions correctives une fois qu'une vulnérabilité a été identifiée, tandis que 18.2.3 se limite aux outils techniques (principalement des tests d'intrusion).

27002:2022-8.8 contient des sections entièrement nouvelles sur des sujets tels que les activités publiques d'une organisation, la manière dont les vulnérabilités sont identifiées en premier lieu et le rôle que jouent les fournisseurs de cloud pour garantir que les vulnérabilités soient réduites au minimum.

Dans l’ensemble, l’ISO met davantage l’accent sur le rôle que joue la gestion des vulnérabilités dans d’autres domaines de la norme 27002:2022 (notamment la gestion du changement) et préconise une approche holistique qui s’appuie sur de nombreux autres contrôles et procédures de sécurité de l’information.

Nouveaux contrôles ISO 27002

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.7	NEW	Intelligence de la menace
5.23	NEW	Sécurité des informations pour l'utilisation des services cloud
5.30	NEW	Préparation aux TIC pour la continuité des activités
7.4	NEW	Surveillance de la sécurité physique
8.9	NEW	Gestion de la configuration
8.10	NEW	Suppression des informations
8.11	NEW	Masquage des données
8.12	NEW	Prévention des fuites de données
8.16	NEW	Activités de surveillance
8.23	NEW	filtrage web
8.28	NEW	Codage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
5.1	05.1.1, 05.1.2	Politiques de sécurité des informations
5.2	06.1.1	Rôles et responsabilités en matière de sécurité de l'information
5.3	06.1.2	Séparation des tâches
5.4	07.2.1	Responsabilités de gestion
5.5	06.1.3	Contact avec les autorités
5.6	06.1.4	Contact avec des groupes d'intérêts particuliers
5.7	NEW	Intelligence de la menace
5.8	06.1.5, 14.1.1	Sécurité de l'information dans la gestion de projet
5.9	08.1.1, 08.1.2	Inventaire des informations et autres actifs associés
5.10	08.1.3, 08.2.3	Utilisation acceptable des informations et autres actifs associés
5.11	08.1.4	Restitution des actifs
5.12	08.2.1	Classement des informations
5.13	08.2.2	Étiquetage des informations
5.14	13.2.1, 13.2.2, 13.2.3	Transfert d'information
5.15	09.1.1, 09.1.2	Contrôle d'accès
5.16	09.2.1	Gestion d'identité
5.17	09.2.4, 09.3.1, 09.4.3	Informations d'authentification
5.18	09.2.2, 09.2.5, 09.2.6	Des droits d'accès
5.19	15.1.1	Sécurité de l'information dans les relations avec les fournisseurs
5.20	15.1.2	Aborder la sécurité des informations dans les accords avec les fournisseurs
5.21	15.1.3	Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.22	15.2.1, 15.2.2	Suivi, revue et gestion du changement des services fournisseurs
5.23	NEW	Sécurité des informations pour l'utilisation des services cloud
5.24	16.1.1	Planification et préparation de la gestion des incidents de sécurité de l’information
5.25	16.1.4	Évaluation et décision sur les événements liés à la sécurité de l'information
5.26	16.1.5	Réponse aux incidents de sécurité de l'information
5.27	16.1.6	Tirer les leçons des incidents de sécurité de l’information
5.28	16.1.7	Collecte de preuves
5.29	17.1.1, 17.1.2, 17.1.3	Sécurité des informations en cas de perturbation
5.30	NEW	Préparation aux TIC pour la continuité des activités
5.31	18.1.1, 18.1.5	Exigences légales, statutaires, réglementaires et contractuelles
5.32	18.1.2	Droit de la propriété intellectuelle
5.33	18.1.3	Protection des dossiers
5.34	18.1.4	Confidentialité et protection des informations personnelles
5.35	18.2.1	Examen indépendant de la sécurité de l’information
5.36	18.2.2, 18.2.3	Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.37	12.1.1	Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
6.1	07.1.1	Tamisage
6.2	07.1.2	Termes et conditions d'emploi
6.3	07.2.2	Sensibilisation, éducation et formation à la sécurité de l’information
6.4	07.2.3	Processus disciplinaire
6.5	07.3.1	Responsabilités après la cessation ou le changement d'emploi
6.6	13.2.4	Accords de confidentialité ou de non-divulgation
6.7	06.2.2	Travail à distance
6.8	16.1.2, 16.1.3	Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
7.1	11.1.1	Périmètres de sécurité physique
7.2	11.1.2, 11.1.6	Entrée physique
7.3	11.1.3	Sécurisation des bureaux, des locaux et des installations
7.4	NEW	Surveillance de la sécurité physique
7.5	11.1.4	Se protéger contre les menaces physiques et environnementales
7.6	11.1.5	Travailler dans des zones sécurisées
7.7	11.2.9	Bureau clair et écran clair
7.8	11.2.1	Implantation et protection des équipements
7.9	11.2.6	Sécurité des actifs hors site
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Supports de stockage
7.11	11.2.2	Utilitaires pris en charge
7.12	11.2.3	Sécurité du câblage
7.13	11.2.4	La maintenance des équipements
7.14	11.2.7	Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022	Identifiant de contrôle ISO/IEC 27002:2013	Nom du contrôle
8.1	06.2.1, 11.2.8	Appareils de point de terminaison utilisateur
8.2	09.2.3	Droits d'accès privilégiés
8.3	09.4.1	Restriction d'accès aux informations
8.4	09.4.5	Accès au code source
8.5	09.4.2	Authentification sécurisée
8.6	12.1.3	Gestion de la capacité
8.7	12.2.1	Protection contre les logiciels malveillants
8.8	12.6.1, 18.2.3	Gestion des vulnérabilités techniques
8.9	NEW	Gestion de la configuration
8.10	NEW	Suppression des informations
8.11	NEW	Masquage des données
8.12	NEW	Prévention des fuites de données
8.13	12.3.1	Sauvegarde des informations
8.14	17.2.1	Redondance des installations de traitement de l'information
8.15	12.4.1, 12.4.2, 12.4.3	Journal
8.16	NEW	Activités de surveillance
8.17	12.4.4	La synchronisation d'horloge
8.18	09.4.4	Utilisation de programmes utilitaires privilégiés
8.19	12.5.1, 12.6.2	Installation de logiciels sur les systèmes opérationnels
8.20	13.1.1	Sécurité des réseaux
8.21	13.1.2	Sécurité des services réseau
8.22	13.1.3	Ségrégation des réseaux
8.23	NEW	filtrage web
8.24	10.1.1, 10.1.2	Utilisation de la cryptographie
8.25	14.2.1	Cycle de vie de développement sécurisé
8.26	14.1.2, 14.1.3	Exigences de sécurité des applications
8.27	14.2.5	Architecture de système sécurisée et principes d’ingénierie
8.28	NEW	Codage sécurisé
8.29	14.2.8, 14.2.9	Tests de sécurité en développement et acceptation
8.30	14.2.7	Développement externalisé
8.31	12.1.4, 14.2.6	Séparation des environnements de développement, de test et de production
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Gestion du changement
8.33	14.3.1	Informations de test
8.34	12.7.1	Protection des systèmes d'information lors des tests d'audit

Comment ISMS.online vous aide

Notre plateforme est intuitive et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de création de votre SMSI, car cela vous aide à construire un système véritablement durable.

Contactez-nous dès aujourd'hui pour réserver une démo.