ISO 27002:2022, Contrôle 8.8 – Gestion des vulnérabilités techniques

Contrôles révisés ISO 27002 : 2022

Demander demo

données,centre,programmeur,utilisation,numérique,ordinateur portable,ordinateur,maintenance,informatique,spécialiste.

Objectif du contrôle 8.8

Aucun réseau informatique, système, logiciel ou appareil n’est sécurisé à 100 %. Les vulnérabilités font partie intégrante de l'exploitation d'un LAN ou d'un WAN moderne, et il est important pour les organisations de reconnaître que d'une part, elles existent et, d'autre part, de la nécessité de minimiser les risques là où ils sont susceptibles de se produire.

Control 8.8 contient une quantité importante de conseils qui aident les organisations à empêcher l'exploitation interne et externe des vulnérabilités sur l'ensemble de leur réseau. Le contrôle 8.8 s'appuie sur les procédures et lignes directrices de nombreux autres contrôles ISO 27002:2022, en particulier ceux liés à la gestion des changements (voir Contrôle 8.32) et aux protocoles de contrôle d'accès.

Tableau des attributs

Le contrôle 8.8 est un préventif contrôler cela maintient le risque en mettant en œuvre des procédures qui collectent des informations sur les vulnérabilités techniques et permettent à l'organisation de prendre les mesures appropriées pour protéger les actifs, les systèmes, les données et le matériel.

Type de contrôlePropriétés de sécurité des informationsConcepts de cybersécuritéCapacités opérationnellesDomaines de sécurité
#Préventif#Confidentialité
#Intégrité
#Disponibilité		#Identifier
#Protéger		#Gestion des menaces et des vulnérabilités#Gouvernance et écosystème
#Protection
#La défense
Aller au sujet
Prenez une longueur d'avance sur la norme ISO 27001
  • Tous mis à jour avec l'ensemble de contrôle 2022
  • Faites des progrès de 81 % dès la minute où vous vous connectez
  • Simple et facile à utiliser
Réservez votre démo
img

Propriété du contrôle 8.8

Le contrôle 8.8 traite de la gestion technique et administrative des logiciels, des systèmes et des actifs TIC. Certaines des lignes directrices impliquent le déploiement d'une approche très détaillée de la gestion des logiciels, de la gestion des actifs et de l'audit de la sécurité des réseaux.

En tant que tel, la propriété du Contrôle 8.8 doit appartenir à la personne qui assume la responsabilité globale de la maintenance de l'infrastructure TIC de l'organisation, telle que le responsable informatique ou son équivalent organisationnel.

Conseils – Identifier les vulnérabilités

Avant la mise en œuvre des contrôles de vulnérabilité, il est essentiel d'obtenir une liste complète et à jour des actifs physiques et numériques (voir Contrôles 5.9 et 5.14) détenus et exploités par l'organisation.

Les informations sur les actifs logiciels doivent inclure :

  • Nom du fournisseur

  • Nom de l'application

  • Numéros de version actuellement en service

  • Où le logiciel est déployé dans le domaine

Lorsqu’elles tentent d’identifier les vulnérabilités techniques, les organisations doivent :

  1. Indiquez clairement qui (au sein de l'organisation) est responsable de la gestion des vulnérabilités d'un point de vue technique, conformément à ses différentes fonctions, notamment (mais sans s'y limiter) :

    • Gestion d'actifs

    • L'évaluation des risques

    • Le Monitoring

    • Mise à jour

  2. Qui est responsable du logiciel au sein de l'organisation

  3. Maintenir un inventaire des applications et des ressources qui seront utilisées pour identifier les vulnérabilités techniques.

  4. Demandez aux fournisseurs et vendeurs de divulguer les vulnérabilités lors de la fourniture de nouveaux systèmes et matériels (voir Contrôle 5.20) et de le préciser dans tous les contrats et accords de service pertinents.

  5. Utilisez des outils d’analyse des vulnérabilités, y compris des fonctionnalités de mise à jour de correctifs.

  6. Réalisez des tests d’intrusion réguliers et documentés – soit en interne, soit via un tiers certifié.

  7. Soyez attentif à l'utilisation de bibliothèques de code tierces et/ou de code source pour les vulnérabilités programmatiques sous-jacentes (voir Contrôle 8.28).

Orientation – Activités publiques

En plus des systèmes internes, les organisations doivent développer des politiques et des procédures qui détectent les vulnérabilités dans tous leurs produits et services, et recevoir des évaluations de vulnérabilité liées à la fourniture desdits produits et services.

L'ISO conseille aux organisations de déployer des efforts publics pour détecter toute vulnérabilité et encourage les tiers à s'engager dans des efforts de gestion des vulnérabilités via l'utilisation de programmes de primes (dans lesquels les exploits sont recherchés et signalés à l'organisation contre une récompense).

Les organisations devraient se rendre accessibles au grand public via des forums, des adresses électroniques publiques et des activités de recherche afin que les connaissances collectives du grand public puissent être utilisées pour protéger les produits et services à la source.

Lorsque des mesures correctives ont été prises qui affectent les utilisateurs ou les clients, les organisations doivent envisager de divulguer les informations pertinentes aux personnes ou organisations concernées, et collaborer avec des organisations de sécurité spécialisées pour diffuser des informations sur les vulnérabilités et les vecteurs d'attaque.

En outre, les organisations devraient envisager de proposer une procédure de mise à jour automatique à laquelle les clients peuvent adhérer ou non, en fonction de leurs besoins commerciaux.

Avoir une longueur d'avance
sur ISO 27002

La seule conformité
solution dont vous avez besoin
Réservez votre démo

Mis à jour pour ISO 27001 2022
  • 81% du travail effectué pour vous
  • Méthode de résultats assurés pour réussir la certification
  • Économisez du temps, de l'argent et des tracas
Réservez votre démo
img

Conseils – Évaluation des vulnérabilités

Des rapports adéquats sont essentiels pour garantir des mesures correctives rapides et efficaces lorsque des vulnérabilités sont découvertes.

Lors de l’évaluation des vulnérabilités, les organisations doivent :

  1. Analysez attentivement tous les rapports et décidez des mesures à prendre, y compris (mais sans s'y limiter) la modification, la mise à jour ou la suppression des systèmes et/ou du matériel concernés.

  2. Convenez d’une résolution qui prend en compte les autres contrôles ISO (en particulier ceux liés à la norme ISO 27002:2022) et reconnaît le niveau de risques impliqués.

Conseils – Contrer les vulnérabilités logicielles

Les vulnérabilités logicielles sont mieux combattues grâce à une approche proactive des mises à jour logicielles et de la gestion des correctifs.

Avant la mise en œuvre de toute modification, les organisations doivent s'assurer que les versions logicielles existantes sont conservées, que toutes les modifications sont entièrement testées et appliquées à une copie désignée du logiciel.

Lorsqu’elles s’attaquent directement aux vulnérabilités après leur identification, les organisations doivent :

  1. Chercher à résoudre toutes les vulnérabilités de manière rapide et efficace.

  2. Dans la mesure du possible, suivez les procédures organisationnelles sur la gestion du changement (voir Contrôle 8.32) et la réponse aux incidents (voir Contrôle 5.26).

  3. Appliquez uniquement des mises à jour et des correctifs émanant de sources fiables et/ou certifiées, en particulier dans le cas de logiciels et d'équipements de fournisseurs tiers.

    • En ce qui concerne les logiciels des fournisseurs, les organisations doivent faire un jugement, en fonction des informations disponibles, quant à la nécessité d'appliquer des mises à jour automatiques (ou des parties de celles-ci) aux logiciels et au matériel acquis.

  4. Testez toutes les mises à jour requises avant l’installation, pour éviter tout incident imprévu dans un environnement opérationnel.

  5. Cherchez à traiter en priorité les systèmes à haut risque et critiques pour l’entreprise.

  6. Assurez-vous que toutes les mesures correctives sont efficaces et authentiques.

En cas d'indisponibilité d'une mise à jour ou de problèmes empêchant l'installation d'une mise à jour (tels que des problèmes de coût), les organisations doivent envisager d'autres mesures, telles que :

  1. Demander conseil au fournisseur sur une solution de contournement ou une solution de « plâtre collant » pendant que les efforts correctifs s'intensifient.

  2. Désactiver ou arrêter tous les services réseau affectés par la vulnérabilité.

  3. Mettre en œuvre des contrôles de sécurité du réseau aux points de passerelle critiques, y compris des règles de trafic et des filtres.

  4. Augmenter le niveau global de surveillance en fonction du risque associé.

  5. Assurez-vous que toutes les parties concernées sont conscientes de la vulnérabilité, y compris les fournisseurs et les clients.

  6. Retarder la mise à jour pour mieux évaluer les risques associés, en particulier lorsque les coûts opérationnels peuvent poser problème.

Contrôles pris en charge

  • 5.14
  • 5.20
  • 5.9
  • 8.20
  • 8.22
  • 8.28

Êtes-vous prêt pour
la nouvelle ISO 27002

Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo

Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

Orientations supplémentaires sur le contrôle 8.8

  • Les organisations doivent tenir un journal d'audit de toutes les activités pertinentes de gestion des vulnérabilités, afin de faciliter les efforts correctifs et d'améliorer les procédures en cas d'incident de sécurité.

  • L'ensemble du processus de gestion des vulnérabilités doit être périodiquement revu et évalué, afin d'améliorer les performances et d'identifier davantage de vulnérabilités à la source.

  • Si l'organisation a utilisé un logiciel hébergé par un fournisseur de services cloud, elle doit s'assurer que la position du fournisseur de services en matière de gestion des vulnérabilités est alignée sur la sienne et doit constituer un élément clé de tout accord de service contraignant entre les deux parties, y compris les procédures de reporting. (voir Contrôle 5.32).

Modifications et différences par rapport à la norme ISO 27002:2013

L'ISO 27002:2022-8.8 remplace deux contrôles de l'ISO 27002:2013 :

  • 12.6.1 – Gestion des vulnérabilités techniques

  • 18.2.3 – Examen de la conformité technique

27002:2022-8.8 représente une approche de gestion des vulnérabilités fondamentalement différente de celle contenue dans 27002:2013.

27002:2013-12.6.1 concerne en grande partie la mise en œuvre d'actions correctives une fois qu'une vulnérabilité a été identifiée, tandis que 18.2.3 se limite aux outils techniques (principalement des tests d'intrusion).

27002:2022-8.8 contient des sections entièrement nouvelles sur des sujets tels que les activités publiques d'une organisation, la manière dont les vulnérabilités sont identifiées en premier lieu et le rôle que jouent les fournisseurs de cloud pour garantir que les vulnérabilités soient réduites au minimum.

Dans l’ensemble, l’ISO met davantage l’accent sur le rôle que joue la gestion des vulnérabilités dans d’autres domaines de la norme 27002:2022 (notamment la gestion du changement) et préconise une approche holistique qui s’appuie sur de nombreux autres contrôles et procédures de sécurité de l’information.

Comment ISMS.online vous aide

Notre plateforme est intuitive et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de création de votre SMSI, car cela vous aide à construire un système véritablement durable.

Contactez-nous dès aujourd'hui pour réserver une démo.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nouveaux contrôles

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.7NouveautéIntelligence de la menace
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.30NouveautéPréparation aux TIC pour la continuité des activités
7.4NouveautéSurveillance de la sécurité physique
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.16NouveautéActivités de surveillance
8.23Nouveautéfiltrage web
8.28NouveautéCodage sécurisé

Contrôles organisationnels

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
5.105.1.1, 05.1.2Politiques de sécurité des informations
5.206.1.1Rôles et responsabilités en matière de sécurité de l'information
5.306.1.2Séparation des tâches
5.407.2.1Responsabilités de gestion
5.506.1.3Contact avec les autorités
5.606.1.4Contact avec des groupes d'intérêts particuliers
5.7NouveautéIntelligence de la menace
5.806.1.5, 14.1.1Sécurité de l'information dans la gestion de projet
5.908.1.1, 08.1.2Inventaire des informations et autres actifs associés
5.1008.1.3, 08.2.3Utilisation acceptable des informations et autres actifs associés
5.1108.1.4Restitution des actifs
5.12 08.2.1Classement des informations
5.1308.2.2Étiquetage des informations
5.1413.2.1, 13.2.2, 13.2.3Transfert d'information
5.1509.1.1, 09.1.2Contrôle d'accès
5.1609.2.1Gestion d'identité
5.17 09.2.4, 09.3.1, 09.4.3Informations d'authentification
5.1809.2.2, 09.2.5, 09.2.6Des droits d'accès
5.1915.1.1Sécurité de l'information dans les relations avec les fournisseurs
5.2015.1.2Aborder la sécurité des informations dans les accords avec les fournisseurs
5.2115.1.3Gérer la sécurité de l’information dans la chaîne d’approvisionnement des TIC
5.2215.2.1, 15.2.2Suivi, revue et gestion du changement des services fournisseurs
5.23NouveautéSécurité des informations pour l'utilisation des services cloud
5.2416.1.1Planification et préparation de la gestion des incidents de sécurité de l’information
5.2516.1.4Évaluation et décision sur les événements liés à la sécurité de l'information
5.2616.1.5Réponse aux incidents de sécurité de l'information
5.2716.1.6Tirer les leçons des incidents de sécurité de l’information
5.2816.1.7Collecte de preuves
5.2917.1.1, 17.1.2, 17.1.3Sécurité des informations en cas de perturbation
5.30NouveautéPréparation aux TIC pour la continuité des activités
5.3118.1.1, 18.1.5Exigences légales, statutaires, réglementaires et contractuelles
5.3218.1.2Droit de la propriété intellectuelle
5.3318.1.3Protection des dossiers
5.3418.1.4Confidentialité et protection des informations personnelles
5.3518.2.1Examen indépendant de la sécurité de l’information
5.3618.2.2, 18.2.3Conformité aux politiques, règles et normes en matière de sécurité de l'information
5.3712.1.1Procédures opérationnelles documentées

Contrôles des personnes

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
6.107.1.1Tamisage
6.207.1.2Termes et conditions d'emploi
6.307.2.2Sensibilisation, éducation et formation à la sécurité de l’information
6.407.2.3Processus disciplinaire
6.507.3.1Responsabilités après la cessation ou le changement d'emploi
6.613.2.4Accords de confidentialité ou de non-divulgation
6.706.2.2Travail à distance
6.816.1.2, 16.1.3Rapports d'événements liés à la sécurité des informations

Contrôles physiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
7.111.1.1Périmètres de sécurité physique
7.211.1.2, 11.1.6Entrée physique
7.311.1.3Sécurisation des bureaux, des locaux et des installations
7.4NouveautéSurveillance de la sécurité physique
7.511.1.4Se protéger contre les menaces physiques et environnementales
7.611.1.5Travailler dans des zones sécurisées
7.711.2.9Bureau clair et écran clair
7.811.2.1Implantation et protection des équipements
7.911.2.6Sécurité des actifs hors site
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Supports de stockage
7.1111.2.2Utilitaires pris en charge
7.1211.2.3Sécurité du câblage
7.1311.2.4La maintenance des équipements
7.1411.2.7Élimination ou réutilisation sécurisée des équipements

Contrôles technologiques

Identifiant de contrôle ISO/IEC 27002:2022Identifiant de contrôle ISO/IEC 27002:2013Nom du contrôle
8.106.2.1, 11.2.8Appareils de point de terminaison utilisateur
8.209.2.3Droits d'accès privilégiés
8.309.4.1Restriction d'accès aux informations
8.409.4.5Accès au code source
8.509.4.2Authentification sécurisée
8.612.1.3Gestion de la capacité
8.712.2.1Protection contre les logiciels malveillants
8.812.6.1, 18.2.3Gestion des vulnérabilités techniques
8.9NouveautéGestion de la configuration
8.10NouveautéSuppression des informations
8.11NouveautéMasquage des données
8.12NouveautéPrévention des fuites de données
8.1312.3.1Sauvegarde des informations
8.1417.2.1Redondance des installations de traitement de l'information
8.1512.4.1, 12.4.2, 12.4.3Journal
8.16NouveautéActivités de surveillance
8.1712.4.4La synchronisation d'horloge
8.1809.4.4Utilisation de programmes utilitaires privilégiés
8.1912.5.1, 12.6.2Installation de logiciels sur les systèmes opérationnels
8.2013.1.1Sécurité des réseaux
8.2113.1.2Sécurité des services réseau
8.2213.1.3Ségrégation des réseaux
8.23Nouveautéfiltrage web
8.2410.1.1, 10.1.2Utilisation de la cryptographie
8.2514.2.1Cycle de vie de développement sécurisé
8.2614.1.2, 14.1.3Exigences de sécurité des applications
8.2714.2.5Architecture de système sécurisée et principes d’ingénierie
8.28NouveautéCodage sécurisé
8.2914.2.8, 14.2.9Tests de sécurité en développement et acceptation
8.3014.2.7Développement externalisé
8.3112.1.4, 14.2.6Séparation des environnements de développement, de test et de production
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Gestion du changement
8.3314.3.1Informations de test
8.3412.7.1Protection des systèmes d'information lors des tests d'audit
Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage