Que requiert le contrôle A.3.26 ?
Des règles relatives à l'utilisation efficace de la cryptographie en matière de traitement des données personnelles identifiables, y compris la gestion des clés cryptographiques, doivent être définies et mises en œuvre.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) exige des organisations qu’elles adoptent une approche structurée et encadrée par des politiques en matière de cryptographie. Il ne suffit pas de chiffrer les données : l’organisation doit définir des règles précisant quand le recours à la cryptographie est nécessaire, quels algorithmes et longueurs de clés sont acceptables, comment les clés sont gérées tout au long de leur cycle de vie et comment les capacités cryptographiques sont communiquées aux clients.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.26) fournit les indications suivantes :
- Exigences juridictionnelles — Certaines juridictions peuvent exiger l'utilisation du chiffrement pour protéger certains types de données personnelles, comme les données de santé, les numéros d'immatriculation des résidents, les numéros de passeport et les numéros de permis de conduire.
- Transparence envers le client — L’organisation doit fournir au client des informations sur les circonstances dans lesquelles elle utilise la cryptographie pour protéger les données personnelles qu’elle traite.
- Chiffrement en libre-service pour le client — L’organisation devrait également fournir des informations sur toutes les capacités qu’elle offre et qui peuvent aider le client à appliquer sa propre protection cryptographique
- Voir aussi A.3.22 : Dispositifs terminaux des utilisateurs pour les exigences connexes
- Voir aussi A.3.25 : Enregistrement pour les exigences connexes
Ces lignes directrices mettent en lumière deux aspects importants : le chiffrement obligatoire imposé par la loi (qui varie selon la juridiction et le type de données personnelles) et la transparence envers les clients quant au chiffrement appliqué et aux options disponibles. Les sous-traitants, en particulier, doivent être en mesure d’expliquer leur architecture de chiffrement aux responsables du traitement.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.26 correspond à ce qui suit GDPR article:
- Article 32 (1) a) — L’obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées, notamment la pseudonymisation et le chiffrement des données personnelles
L’article 32(1)(a) mentionne explicitement le chiffrement comme une mesure technique appropriée, faisant de la cryptographie l’une des rares technologies spécifiques directement citées dans la loi. GDPRLe chiffrement figure également dans le considérant 83 du RGPD et peut réduire les obligations de notification de violation en vertu de l'article 34(3)(a) lorsque les données sont rendues inintelligibles aux personnes non autorisées.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par les clauses 6.7.1.1 (politique d'utilisation des contrôles cryptographiques) et 6.7.1.2 (gestion des clés). L'édition 2025 les regroupe dans la section A.3.26, avec des recommandations d'implémentation unifiées dans la section B.3.26. Ces recommandations mettent désormais davantage l'accent sur la communication des capacités cryptographiques aux clients et sur la prise en charge du chiffrement appliqué par le client. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.26, les auditeurs recherchent généralement :
- politique de cryptographie — Une politique documentée précisant quand le chiffrement est requis, les algorithmes et longueurs de clés approuvés, les procédures de gestion des clés et les rôles responsables des contrôles cryptographiques
- Chiffrement au repos — Preuve que les données personnelles sont chiffrées au repos à l'aide d'algorithmes approuvés, notamment le chiffrement des bases de données, des disques et des sauvegardes.
- Chiffrement en transit — Preuve que les données personnelles sont chiffrées en transit à l'aide du protocole TLS 1.2 ou supérieur pour tous les canaux de transmission de données.
- procédures de gestion clés — Procédures documentées de génération, de distribution, de stockage, de rotation, de révocation et de destruction des clés
- Conformité juridictionnelle — Preuve que les exigences de chiffrement imposées par les juridictions compétentes sont respectées pour les catégories de données personnelles concernées
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.20 Supports de stockage | Les supports amovibles contenant des informations personnelles doivent utiliser le chiffrement chaque fois que cela est possible. |
| A.3.7 Transfert d'informations | Les transferts de données personnelles doivent être protégés par chiffrement lors du transit. |
| A.3.24 Sauvegarde des informations | Les données de sauvegarde contenant des informations personnelles doivent être chiffrées. |
| A.3.28 Exigences de sécurité de l'application | Les exigences de chiffrement au niveau applicatif sont définies par la politique de cryptographie. |
| A.1.4.10 Commandes de transmission PII | Les commandes de transmission du contrôleur reposent sur une protection cryptographique |
À qui s'applique ce contrôle ?
A.3.26 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants de données personnelles. Les responsables du traitement doivent définir et mettre en œuvre des règles de chiffrement pour leurs propres traitements de données personnelles. Les sous-traitants ont l'obligation supplémentaire de communiquer à leurs clients leur utilisation du chiffrement et de leur fournir les fonctionnalités leur permettant d'appliquer leur propre chiffrement lorsque cela est approprié.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gestion de la cryptographie ?
ISMS.en ligne fournit des outils pratiques pour la gestion de votre programme de cryptographie :
- Modèles de politiques de cryptographie — Modèles de politiques prédéfinis couvrant les algorithmes approuvés, les longueurs de clés, les cas d'utilisation et les exigences de gestion des clés, personnalisables pour votre organisation
- registre de gestion des clés — Suivez les clés cryptographiques dans vos systèmes grâce à la gestion du cycle de vie : génération, distribution, rotation, expiration et destruction
- Cartographie de la conformité — Cartographiez vos contrôles cryptographiques selon les exigences juridictionnelles, l'article 32 du RGPD et le contrôle A.3.26 de la norme ISO 27701 dans une seule vue
- Gestion des preuves — Stockez les preuves de configuration du chiffrement, les enregistrements de gestion des clés et les accusés de réception des politiques dans un format structuré et prêt pour l'audit.
- Réviser la planification — Planifiez des examens périodiques de votre politique de cryptographie et de vos pratiques de gestion des clés grâce à des rappels automatisés.
Questions fréquentes
Quels algorithmes de chiffrement sont recommandés ?
La norme ne prescrit pas d'algorithmes spécifiques, mais les bonnes pratiques actuelles recommandent l'utilisation d'AES-256 pour le chiffrement symétrique des données au repos, de TLS 1.2 ou 1.3 pour le chiffrement en transit et de RSA-2048 (ou supérieur) ou d'algorithmes équivalents à courbe elliptique pour le chiffrement asymétrique. Les organisations sont invitées à consulter les recommandations des autorités nationales de cryptographie (telles que le NCSC au Royaume-Uni ou le NIST aux États-Unis) et à revoir régulièrement leurs algorithmes approuvés en fonction de l'évolution des normes cryptographiques.
Le chiffrement réduit-il les obligations de notification des violations de données au titre du RGPD ?
L’article 34, paragraphe 3, point a), du RGPD prévoit que la communication aux personnes concernées n’est pas requise si l’organisation a mis en œuvre des mesures techniques de protection appropriées rendant les données à caractère personnel inintelligibles pour toute personne non autorisée à y accéder, telles que le chiffrement. Toutefois, cela ne dispense pas de l’obligation de notification à l’autorité de contrôle en vertu de l’article 33. Le chiffrement peut donc réduire la portée et l’impact de la notification de violation de données, mais ne l’élimine pas totalement.
En quoi consiste la gestion des clés ?
La gestion des clés englobe l'intégralité du cycle de vie des clés cryptographiques : génération (à l'aide de générateurs de nombres aléatoires sécurisés), distribution (uniquement via des canaux sécurisés), stockage (dans des modules de sécurité matériels ou des systèmes de stockage sécurisés équivalents), rotation (remplacement des clés à intervalles définis ou après suspicion de compromission), révocation (désactivation des clés compromises ou devenues inutiles) et destruction (suppression sécurisée des clés en fin de vie). Une mauvaise gestion des clés peut compromettre totalement un chiffrement pourtant robuste.
Documentez votre approche de chiffrement dans votre Déclaration d'applicabilité.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs de preuves cryptographiques attendent.
