Que requiert le contrôle A.3.8 ?
Le cycle de vie complet des identités liées au traitement des données personnelles identifiables doit être géré.
Cette commande se trouve à l'intérieur de contrôles de sécurité partagés (Tableau A.3Elle s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Elle étend les exigences de la norme ISO 27001 en matière de gestion des identités afin de prendre en compte spécifiquement les systèmes qui traitent des données personnelles, reconnaissant que les identités compromises constituent l'une des voies les plus fréquentes d'atteinte à la vie privée.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.3.8) fournit des orientations détaillées sur la gestion du cycle de vie des identités pour les systèmes de traitement des données personnelles identifiables :
- Identifiants compromis — Gérer les situations où le contrôle d'accès des utilisateurs est compromis, comme la corruption ou le vol de mots de passe. Mettre en place des procédures pour détecter et réagir rapidement en cas de compromission d'identifiants.
- Identifiants désactivés/expirés — Ne réattribuez pas les identifiants utilisateur désactivés ou expirés pour les systèmes de traitement des données personnelles. Cela préserve l'intégrité des pistes d'audit et évite toute confusion d'identité.
- Responsabilité partagée — Lorsque les clients (par exemple, dans un contexte SaaS) sont responsables de certains aspects de la gestion des identifiants utilisateur, cela doit être clairement documenté dans les contrats de service.
- Contrôles spécifiques à la juridiction — Certaines juridictions exigent des vérifications régulières des identifiants inutilisés. Identifiez et respectez toutes les exigences applicables à votre organisation.
- Voir aussi A.3.9 : Droits d’accès pour les exigences connexes
- Voir aussi A.3.23 : Authentification sécurisée pour les exigences connexes
Ce guide couvre l'intégralité du cycle de vie des identités : création, provisionnement, modification, suspension, désactivation et suppression. Chaque étape doit être documentée et contrôlée.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.8 correspond à GDPR Article 5, paragraphe 1, point f) (principe d’intégrité et de confidentialité). Une gestion robuste des identités constitue une mesure technique et organisationnelle essentielle au titre de l’article 32 (sécurité du traitement). Les identités compromises ou mal gérées peuvent entraîner un accès non autorisé aux données à caractère personnel, ce qui constitue à la fois un incident de sécurité et une violation potentielle de données nécessitant une notification en vertu des articles 33 et 34.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
En tant que contrôle de sécurité partagé, A.3.8 soutient le cadre plus large ISO 29100 Le cadre de gestion des identités est une mise en œuvre directe du principe de sécurité de l'information, garantissant que seules les personnes autorisées peuvent accéder aux informations personnelles identifiables et que leur accès peut être tracé, examiné et révoqué tout au long du cycle de vie de l'identité.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.8, les auditeurs recherchent généralement :
- procédures de cycle de vie de l'identité — Procédures documentées relatives à la création, la modification, la suspension et la désactivation des identités d'utilisateurs pour les systèmes de traitement des données personnelles.
- Processus d'arrivée/déménagement/départ — Preuves que les changements d'identité sont déclenchés par des événements RH (nouvelles embauches, changements de rôle, départs) et font l'objet d'une action rapide
- Interdiction de réutiliser les identifiants désactivés — Preuve que les identifiants d'utilisateurs désactivés ou expirés n'ont pas été réattribués à de nouveaux utilisateurs dans les systèmes de traitement des données personnelles.
- Examens de titres de compétences inutilisés — Preuve de la réalisation d'examens périodiques visant à identifier et à désactiver les comptes inactifs, avec une fréquence et des résultats documentés.
- Réponse de compromis — Procédures et preuves de réponse aux incidents de compromission d'identifiants (réinitialisations de mots de passe, blocages de comptes, rapports d'enquête)
- Contrats de service — Lorsque les clients gèrent leurs propres identifiants utilisateur, des accords définissent clairement les responsabilités
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.4 Rôles et responsabilités | Les rôles définis déterminent les accès dont chaque identité devrait disposer. |
| A.3.5 Classification de l'information | L'accès aux informations personnelles hautement classifiées devrait être limité aux personnes dûment autorisées. |
| A.3.3 Politiques de sécurité des informations | Les procédures de gestion des identités doivent mettre en œuvre les exigences de contrôle d'accès définies dans les politiques de sécurité. |
| A.3.7 Transfert d'informations | Les identités utilisées pour accéder aux systèmes de transfert doivent être gérées selon les mêmes contrôles de cycle de vie |
| A.3.12 Réponse aux incidents de sécurité | Une atteinte à l'identité entraînant un accès non autorisé peut déclencher des obligations de notification de violation. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée à la clause 6.6.2.1 (inscription et désinscription des utilisateurs). La version 2025 élargit le champ d'application pour couvrir explicitement l'intégralité du cycle de vie de l'identité, et non plus seulement l'inscription et la désinscription. Les lignes directrices incluent désormais des dispositions spécifiques concernant les identifiants compromis, la non-réutilisation des identifiants désactivés et les exigences de vérification des identifiants propres à chaque juridiction. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour la gouvernance de la gestion des identités ?
ISMS.en ligne vous aide à gérer le cycle de vie des identités pour les systèmes de traitement des informations personnelles identifiables :
- registre de contrôle d'accès — Documenter qui a accès à quels systèmes de traitement des données personnelles, avec des niveaux d'accès basés sur les rôles et liés à des responsabilités définies.
- Flux de travail des nouveaux arrivants/déménageurs/départs — Déclencher les tâches de création, de modification et de désactivation d'identité à partir d'événements RH, avec suivi de leur réalisation et approbation.
- Examens d'accès périodiques — Planifiez et suivez les revues d'accès aux systèmes de traitement des données personnelles, avec des rappels intégrés et un historique des résultats des revues.
- Réponse aux incidents — Consigner les incidents de compromission d'identifiants et suivre la réponse jusqu'à leur résolution, y compris les preuves des mesures correctives prises.
- gouvernance de l'accès des fournisseurs — Lorsque des tiers ou des clients gèrent leurs propres identités, documentez le modèle de responsabilité partagée et assurez-vous de sa conformité.
- Rapports de conformité — Générer des rapports sur l'état de la gouvernance des identités, notamment les comptes inactifs, les révisions en retard et les demandes de modification d'accès libre
Questions fréquentes
Pourquoi les identifiants utilisateur désactivés ne devraient-ils pas être réémis ?
Réattribuer un identifiant utilisateur désactivé à une nouvelle personne crée une ambiguïté dans les journaux d'audit. Si un système enregistre les actions par identifiant utilisateur, il devient impossible de distinguer celles effectuées par le titulaire initial et les titulaires suivants de cet identifiant. Pour les systèmes de traitement des données personnelles, où les journaux d'audit sont essentiels pour démontrer la conformité et enquêter sur les incidents, cette ambiguïté est inacceptable. Il est impératif de toujours créer des identifiants utilisateur uniques pour les nouveaux utilisateurs.
À quelle fréquence devons-nous vérifier les identifiants inutilisés ?
Il est recommandé de vérifier les identifiants inutilisés au moins une fois par trimestre. Certaines juridictions ou réglementations sectorielles peuvent exiger des vérifications plus fréquentes. Les outils automatisés peuvent signaler les comptes inactifs depuis un certain temps (par exemple, 90 jours), permettant ainsi à votre équipe d'enquêter et de désactiver rapidement les comptes dormants. Combinez la détection automatisée avec une vérification manuelle afin de repérer les comptes qui auraient pu passer inaperçus.
Que faire lorsque des identifiants sont compromis ?
Réinitialisez ou suspendez immédiatement les identifiants compromis et enquêtez sur l'étendue de la compromission. Déterminez si des données personnelles ont été consultées ou exfiltrées. En cas de violation de données personnelles, évaluez la nécessité d'une notification en vertu de la législation applicable (par exemple, GDPR Articles 33 et 34). Documentez l'incident, les mesures prises et le résultat obtenu. Analysez la cause profonde et mettez en œuvre des mesures pour prévenir toute récidive, comme l'application de l'authentification multifacteurs ou le renforcement des politiques de mots de passe.
Documentez ce contrôle dans votre Déclaration d'applicabilité avec votre justification de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
