ISO 27701 Clause 6.6.2 : Guide de gestion des accès utilisateurs
La gestion de l'accès des utilisateurs régit les méthodes d'accès des utilisateurs aux informations personnelles et aux informations liées à la confidentialité, ainsi que la manière dont les organisations peuvent contrôler cet accès à l'aide d'une variété de mesures physiques et logiques.
Ce qui est couvert par la clause 27701 de la norme ISO 6.6.2
La norme ISO 27701 6.6.2 est une clause relativement volumineuse (compte tenu de son objet), qui contient six sous-clauses relatives à la fourniture, à l'utilisation et à la gestion des droits d'accès des utilisateurs.
Chaque sous-clause contient des informations provenant d'un sous-article adjacent de l'ISO 27002, avec des conseils adaptés à la protection de la vie privée et aux informations personnelles, plutôt qu'à la sécurité généralisée des informations :
- ISO 6.6.2.1 – Enregistrement et désenregistrement des utilisateurs (Références ISO 27002 contrôle 5.16).
- ISO 6.6.2.2 – Fourniture de l'accès utilisateur (Références ISO 27002, contrôle 5.18).
- ISO 6.6.2.3 – Gestion des droits d'accès privilégiés (Références ISO 27002 contrôle 8.2).
- ISO 6.6.2.4 – Gestion des informations secrètes d'authentification des utilisateurs (Références ISO 27002 contrôle 5.17).
- ISO 6.6.2.5 – Révision des droits d'accès des utilisateurs (Références ISO 27002 contrôle 5.18).
- ISO 6.6.2.6 – Suppression ou ajustement des droits d'accès (Références ISO 27002 contrôle 5.18).
Deux clauses contiennent des orientations susceptibles d'avoir un impact sur l'adhésion au RGPD au Royaume-Uni, et les articles pertinents ont été fournis pour votre commodité.
Dans tous ses articles, la norme ISO 27701 6.6.2 ne contient aucune autre directive de l'ISO sur l'utilisation d'un PIMS.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.6.2.1 – Inscription et désinscription des utilisateurs
Références ISO 27002 Contrôle 5.16
L'enregistrement des utilisateurs est régi par l'utilisation des « identités » attribuées. Les identités fournissent aux organisations un cadre pour régir l'accès des utilisateurs aux informations personnelles et aux actifs et matériels liés à la confidentialité, dans les limites d'un réseau.
L'organisation doit suivre six points d'orientation principaux, afin de garantir que les identités sont gérées correctement et que les informations personnelles sont protégées partout où elles sont stockées, traitées ou consultées :
- Lorsque des identités sont attribuées à un être humain, seule cette personne est autorisée à s'authentifier avec et/ou à utiliser cette identité lorsqu'elle accède aux informations personnelles.
- Les identités partagées – plusieurs personnes enregistrées sous la même identité – ne devraient être déployées que pour satisfaire un ensemble unique d’exigences opérationnelles.
- Les entités non humaines doivent être considérées et gérées différemment des identités basées sur les utilisateurs qui accèdent aux informations personnelles et aux éléments liés à la confidentialité.
- Les identités doivent être supprimées lorsqu’elles ne sont plus nécessaires – en particulier celles qui ont accès aux informations personnelles ou aux rôles basés sur la confidentialité.
- Les organisations doivent s'en tenir à la règle « une entité, une identité » lorsqu'elles distribuent des identités sur le réseau.
- Les inscriptions doivent être enregistrées et enregistrées au moyen d'une documentation claire, comprenant des horodatages, des niveaux d'accès et des informations d'identité.
Les organisations qui travaillent en partenariat avec des organisations externes (en particulier les plateformes basées sur le cloud) doivent comprendre les risques inhérents associés à de telles pratiques et prendre des mesures pour garantir que les informations personnelles ne soient pas affectées dans le processus (voir ISO 27002 contrôles 5.19 et 5.17).
Contrôles ISO 27002 pertinents
- ISO 27002 5.17
- ISO 27002 5.19
Articles applicables du RGPD
- Article 5 – (1)(f)
ISO 27701 Clause 6.6.2.2 – Mise à disposition de l'accès utilisateur
Références ISO 27002 Contrôle 5.18
Les « droits d'accès » régissent la manière dont l'accès aux informations personnelles et aux informations liées à la confidentialité est à la fois accordé et révoqué, en utilisant le même ensemble de principes directeurs.
Accorder et révoquer des droits d'accès
Les procédures d'accès doivent inclure :
- Permission et autorisation du propriétaire (ou de la direction) de l'information ou du bien (voir ISO 27002 contrôle 5.9).
- Toute exigence commerciale, juridique ou opérationnelle en vigueur.
- Une reconnaissance de la nécessité de séparer les tâches, afin d'améliorer la sécurité des informations personnelles et de construire une opération de protection de la vie privée plus résiliente.
- Contrôles pour révoquer les droits d'accès, lorsque l'accès n'est plus requis (sortiurs, etc.).
- Mesures d’accès aux horaires pour le personnel intérimaire ou les sous-traitants.
- Un enregistrement centralisé des droits d'accès accordés aux entités humaines et non humaines.
- Mesures visant à modifier les droits d'accès de tout personnel ou sous-traitant ayant changé de fonction.
Vérification des droits d'accès
Les organisations doivent procéder à des examens périodiques des droits d’accès sur l’ensemble du réseau, notamment :
- Intégrer la révocation du droit d'accès dans les procédures de départ des RH (voir ISO 27002 contrôles 6.1 et 6.5) et les workflows de changement de rôle.
- Demandes de droits d'accès « privilégiés ».
Gestion du changement et sortants
Les membres du personnel qui quittent l'organisation (soit volontairement, soit en tant qu'employé licencié) et ceux qui font l'objet d'une demande de changement doivent voir leurs droits d'accès modifiés sur la base de procédures solides de gestion des risques, notamment :
- La source du changement/résiliation, y compris la raison sous-jacente.
- Le rôle professionnel actuel de l'utilisateur et les responsabilités qui y sont associées.
- Les informations et les actifs actuellement accessibles, y compris leurs niveaux de risque et leur valeur pour l'organisation.
Conseils supplémentaires
Les contrats de travail et les contrats d'entrepreneur/de service doivent inclure une explication de ce qui se passe suite à toute tentative d'accès non autorisé (voir ISO 27002 contrôles 5.20, 6.2, 6.4, 6.6).
Contrôles ISO 27002 pertinents
- ISO 27002 5.9
- ISO 27002 5.20
- ISO 27002 6.2
- ISO 27002 6.4
- ISO 27002 6.6
Articles applicables du RGPD
- Article 5 – (1)(f)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.6.2.3 – Gestion des droits d'accès privilégiés
Références ISO 27002 Contrôle 8.2
Les droits d'accès privilégiés offrent aux organisations la possibilité de contrôler simultanément l'accès aux informations personnelles et aux applications et actifs liés à la confidentialité, et de maintenir l'intégrité des informations personnelles sur leur réseau.
L'utilisation non autorisée des privilèges d'administrateur système (ou des autorisations RBAC élevées) est l'une des principales causes de perturbation des TIC dans le monde.
Lorsqu’elles gèrent les droits d’accès privilégiés en gardant à l’esprit la protection de la vie privée, les organisations doivent :
- Rédigez une liste d’utilisateurs qui nécessitent un accès privilégié.
- Mettez en œuvre des procédures qui attribuent des droits d'accès privilégiés aux utilisateurs « événement par événement », c'est-à-dire qu'un utilisateur reçoit un niveau d'accès conforme à son rôle professionnel.
- Opérez avec un processus d’autorisation clair qui traite les demandes d’accès privilégié.
- Gardez un enregistrement centralisé des demandes d’accès privilégiés.
- Respectez les dates d’expiration de l’accès, là où elles sont indiquées.
- Assurez-vous que les utilisateurs sont conscients de tous les droits d’accès privilégiés qui leur ont été accordés.
- Appliquez la réauthentification avant que les utilisateurs n'utilisent des droits d'accès privilégiés.
- Examiner périodiquement les droits d'accès privilégiés à l'échelle de l'organisation (voir ISO 27002 contrôle 5.18).
- Envisagez de mettre en œuvre une procédure de « bris de vitre » en veillant à ce que les droits d'accès privilégiés soient accordés dans des délais stricts, dictés par la nature de la demande.
- Interdire l'utilisation d'informations de connexion génériques et de mots de passe devinables (voir ISO 27002 contrôle 5.17).
- Attribuez une identité par utilisateur, regroupée en groupes d’accès si nécessaire.
- Assurez-vous qu'un accès privilégié est accordé et réservé aux tâches critiques uniquement, telles que la maintenance essentielle ou les activités liées aux incidents.
Contrôles ISO 27002 pertinents
- ISO 27002 5.17
- ISO 27002 5.18
ISO 27701 Clause 6.6.2.4 – Gestion des informations d'authentification secrètes des utilisateurs
Références ISO 27002 Contrôle 5.17
Les détails d'authentification doivent être distribués et gérés de manière à :
- Les informations d'authentification générées automatiquement (mots de passe, etc.) sont gardées secrètes pour toute personne non autorisée à les utiliser, ne peuvent pas être devinées et sont gérées de manière à obliger un utilisateur à les modifier après la première connexion.
- Avant de délivrer ou de remplacer des éléments d'authentification, des procédures sont mises en place pour vérifier l'identité de la personne qui les demande.
- Les canaux sécurisés appropriés sont utilisés pour transmettre les détails d'authentification (c'est-à-dire pas par e-mail).
- Une fois que les détails ont été communiqués avec succès à la personne qui en a besoin, le ou les utilisateurs en accusent réception dans les meilleurs délais.
- Toutes les informations d'authentification fournies par le fournisseur (telles que le nom d'utilisateur et le mot de passe par défaut des routeurs et des pare-feu) sont modifiées dès réception.
- Des enregistrements sont conservés des événements d'authentification pertinents, en particulier en ce qui concerne l'attribution initiale et l'administration ultérieure des détails d'authentification.
Tout membre du personnel qui utilise les informations d'authentification de l'organisation doit s'assurer que :
- Tous les détails d’authentification restent strictement confidentiels.
- Si les détails d'authentification sont compromis, consultés ou partagés par toute personne autre que le propriétaire d'origine, ces détails sont modifiés. immédiatement .
- Tous les mots de passe sont créés et/ou générés conformément à la politique de mot de passe de l'organisation, et les mots de passe sont uniques sur différentes plates-formes (c'est-à-dire que les mots de passe de domaine ne sont pas les mêmes que les mots de passe des services cloud).
- Les contrats de travail contiennent une obligation explicite de suivre la politique de l'entreprise en matière de mots de passe (voir ISO 27002 contrôle 6.2).
Systèmes de gestion de mots de passe
Les organisations devraient envisager de mettre en œuvre un système de gestion des mots de passe (applications spécialisées de contrôle des mots de passe) qui :
- S'adresse aux utilisateurs qui doivent modifier le mot de passe qu'ils utilisent.
- Est programmé pour rejeter les mots de passe qui ne respectent pas les directives des meilleures pratiques.
- Oblige les utilisateurs à modifier leur mot de passe généré par le système après l'avoir utilisé pour la première fois.
- Ne permet pas l’utilisation continue d’anciens mots de passe ou d’expressions et combinaisons alphanumériques similaires.
- Masque les mots de passe pendant leur saisie.
- Stocke et envoie les informations de mot de passe de manière sécurisée.
- Prend en charge le cryptage des mots de passe et les techniques de cryptage similaires (voir le contrôle ISO 27002 8.24).
Pour protéger les informations personnelles et améliorer les efforts de protection de la confidentialité de l'organisation, les mots de passe doivent suivre quatre principes directeurs :
- Les mots de passe ne doivent pas être construits autour d’informations devinables ou biographiques.
- Les mots de passe ne doivent contenir aucun mot reconnaissable, à la place de caractères alphanumériques aléatoires.
- Des caractères spéciaux doivent être utilisés pour augmenter la complexité du mot de passe.
- Tous les mots de passe doivent avoir une longueur minimale (idéalement 12 caractères).
Les organisations devraient également envisager l'utilisation de protocoles d'authentification tels que l'authentification unique (SSO) pour améliorer la sécurité des mots de passe, mais de telles mesures ne devraient être envisagées qu'en parallèle avec les exigences techniques et opérationnelles uniques de l'organisation.
Contrôles ISO 27002 pertinents
- ISO 27002 6.2
- ISO 27002 8.24
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.6.2.5 – Révision des droits d'accès des utilisateurs
Références ISO 27002 Contrôle 5.18
Voir au dessus (ISO 27701 Article 6.6.2.2).
ISO 27701 Clause 6.6.2.6 – Suppression ou ajustement des droits d'accès
Références ISO 27002 Contrôle 5.18
Voir au dessus (ISO 27701 Article 6.6.2.2).
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.6.2.1 | Enregistrement et désenregistrement des utilisateurs |
5.16 – Gestion des identités pour ISO 27002 |
Article (5) |
| 6.6.2.2 | Provisionnement de l'accès utilisateur |
5.18 – Droits d'accès à l'ISO 27002 |
Article (5) |
| 6.6.2.3 | Gestion des droits d'accès privilégiés |
8.2 – Droits d’accès privilégiés pour ISO 27002 |
Aucun |
| 6.6.2.4 | Gestion des informations d'authentification secrètes des utilisateurs |
5.17 – Informations d'authentification pour ISO 27002 |
Aucun |
| 6.6.2.5 | Examen des droits d'accès des utilisateurs |
5.18 – Droits d'accès à l'ISO 27002 |
Aucun |
| 6.6.2.6 | Suppression ou ajustement des droits d'accès |
5.18 – Droits d'accès à l'ISO 27002 |
Aucun |
Comment ISMS.online vous aide
En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27002 et ISO 27701 d'un simple clic.
En savoir plus par réserver une démo pratique.
