Que requiert le contrôle A.3.23 ?
Des technologies et procédures d'authentification sécurisées relatives au traitement des données personnelles doivent être mises en œuvre en fonction des restrictions d'accès à l'information.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) stipule que l’accès aux systèmes traitant des données personnelles doit être protégé par des mécanismes d’authentification robustes. L’expression « fondé sur des restrictions d’accès à l’information » est essentielle : le niveau et le type d’authentification doivent être proportionnés à la sensibilité des données personnelles et au niveau d’accès accordé. Un système traitant des données sensibles requiert une authentification plus forte qu’un système traitant des informations de contact de base.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.23) fournit les indications suivantes :
- Procédures de connexion sécurisées pour les comptes clients — Lorsque le client l'exige, l'organisation doit fournir la possibilité de mettre en place des procédures de connexion sécurisées pour tous les comptes utilisateurs sous le contrôle du client.
Les lignes directrices destinées aux sous-traitants mettent en lumière une dimension contractuelle importante : les sous-traitants doivent être en mesure de fournir des mécanismes d’authentification sécurisés répondant aux exigences de leurs clients (responsables du traitement). Cela peut inclure l’authentification multifacteurs, l’intégration de l’authentification unique, la mise sur liste blanche des adresses IP ou d’autres mesures d’authentification spécifiées dans le contrat de traitement des données.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.23 correspond à ce qui suit GDPR article:
- Article 5(1)(f) — Le principe d'intégrité et de confidentialité, qui exige une sécurité appropriée des données personnelles, y compris la protection contre l'accès non autorisé
Une authentification faible ou absente est une voie directe vers un accès non autorisé aux données personnelles, ce qui rend ce contrôle fondamental pour la conformité à l'article 5(1)(f).
Pour la correspondance complète entre le RGPD et la norme ISO 27701, voir Guide de conformité au RGPD.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était couverte par la clause 6.6.4.2 (procédures de connexion sécurisées). L'édition 2025 élargit le champ d'application des procédures de connexion spécifiques aux technologies et procédures d'authentification sécurisée de manière plus générale (A.3.23). Ceci reflète l'évolution de l'authentification, qui va au-delà de la connexion traditionnelle par nom d'utilisateur et mot de passe pour inclure la biométrie, les jetons matériels, l'authentification sans mot de passe et l'authentification adaptative basée sur les risques. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.23, les auditeurs recherchent généralement :
- Politique d'authentification — Une politique documentée spécifiant les exigences d'authentification pour différents types de systèmes et niveaux de sensibilité des données personnelles, y compris les règles de complexité des mots de passe, les exigences d'authentification multifacteur et les contrôles de gestion de session
- Déploiement de l'authentification multifacteur — Preuve que l’authentification multifacteurs est mise en œuvre pour les systèmes traitant des données personnelles, notamment pour l’accès à distance, les comptes privilégiés et les portails destinés aux clients.
- matrice de contrôle d'accès — Une correspondance entre les rôles du système, les niveaux d'accès aux données personnelles et le niveau d'authentification requis.
- Configuration de la procédure de connexion — Preuves techniques de la configuration de connexion sécurisée, notamment les seuils de verrouillage de compte, la journalisation des tentatives infructueuses et les paramètres de délai d'expiration de session
- Fonctionnalités d'authentification destinées aux clients — Pour les sous-traitants, la preuve que des options d'authentification sécurisées sont mises à la disposition des clients, comme décrit dans l'accord de traitement des données.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.8 Gestion des identités | L'authentification vérifie les identités gérées sous A.3.8 Gestion des identités |
| A.3.9 Droits d'accès | Le niveau d'authentification doit être proportionnel aux droits d'accès protégés. |
| A.3.22 Dispositifs terminaux utilisateur | Les terminaux doivent imposer une authentification sécurisée avant d'autoriser l'accès aux informations personnelles identifiables. |
| A.3.25 Exploitation forestière | Les événements d'authentification (réussis et échoués) doivent être consignés et surveillés. |
| A.3.26 Utilisation de la cryptographie | De nombreuses technologies d'authentification reposent sur des mécanismes cryptographiques. |
À qui s'applique ce contrôle ?
A.3.23 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Les responsables du traitement doivent mettre en œuvre une authentification sécurisée pour leurs propres systèmes traitant ces données. Les sous-traitants ont l'obligation supplémentaire de fournir des capacités d'authentification sécurisée pour les comptes contrôlés par le client lorsque celui-ci l'exige, faisant de l'authentification une exigence à la fois contractuelle et technique.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion de l'authentification ?
ISMS.en ligne fournit des outils pratiques pour la mise en œuvre et la gestion d'une authentification sécurisée :
- cadre de contrôle d'accès — Définir et documenter les exigences d'authentification par système, rôle et niveau de sensibilité des données personnelles dans un emplacement central et auditable
- Gestion de politique — Publier des politiques d'authentification avec contrôle de version et suivi des accusés de réception du personnel
- Évaluations des risques — Évaluer les risques liés à l'authentification à l'aide de scénarios de menaces prédéfinis pour le vol d'identifiants, les attaques par force brute et le détournement de session.
- Suivi de la conformité — Surveillez les systèmes qui répondent à vos exigences d'authentification et ceux qui présentent des actions en attente.
- Gestion des preuves — Stocker et organiser les preuves de configuration d'authentification, les enregistrements de déploiement de l'authentification multifacteur et les rapports d'audit pour faciliter leur récupération lors des évaluations.
Questions fréquentes
L’authentification multifacteurs est-elle obligatoire ?
Le contrôle n'impose pas explicitement l'authentification multifacteur (AMF), mais exige que celle-ci soit mise en œuvre « en fonction des restrictions d'accès à l'information », c'est-à-dire que le niveau d'authentification doit être proportionné au risque. Pour les systèmes traitant des données personnelles sensibles, l'accès à distance et les comptes à privilèges, l'AMF est largement considérée comme la norme minimale acceptable. Les auditeurs exigeront une justification fondée sur les risques pour tout système traitant des données personnelles qui n'utilise pas l'AMF.
Quelles méthodes d'authentification sont considérées comme sécurisées ?
Les méthodes d'authentification sécurisées comprennent l'authentification multifacteurs (combinant ce que vous savez, ce que vous possédez et ce que vous êtes), les clés de sécurité matérielles (par exemple FIDO2/WebAuthn), l'authentification biométrique, l'authentification par certificat et l'authentification adaptative basée sur les risques. L'authentification par mot de passe uniquement est de plus en plus considérée comme insuffisante pour les systèmes traitant des données personnelles, notamment pour l'accès à distance. Les approches sans mot de passe utilisant des jetons matériels ou la biométrie gagnent en popularité comme une alternative plus sûre et plus conviviale.
Quelles sont les obligations spécifiques au processeur ?
Les sous-traitants doivent fournir des fonctionnalités de connexion sécurisées pour les comptes contrôlés par le client, lorsque ce dernier l'exige. Cela signifie qu'ils doivent pouvoir proposer l'authentification multifacteur (MFA), l'intégration de l'authentification unique (SSO), la mise sur liste blanche des adresses IP ou d'autres fonctionnalités d'authentification nécessaires aux responsables du traitement pour respecter leurs obligations de conformité. Ces fonctionnalités doivent être documentées dans le contrat de traitement des données et accessibles sans restriction supplémentaire.
Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre approche de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
