Assurer une authentification forte : responsabilités des utilisateurs selon la norme ISO 27701
Des procédures d'authentification appropriées et sécurisées constituent l'épine dorsale de la plupart des politiques d'accès générales et spécifiques à un sujet, qu'elles concernent les informations personnelles ou les informations, actifs et données en général.
Les mots de passe faciles à deviner et mal construits sont des fruits à portée de main pour les cybercriminels potentiels qui cherchent à accéder aux informations personnelles d'une organisation, qui sont généralement soit récupérées par rançon, soit utilisées comme aliment de réputation ou vendues sur le dark web au plus offrant.
Les utilisateurs doivent adhérer à une politique de mot de passe strictement appliquée qui couvre la génération, la distribution, la construction de mots de passe et utilise la technologie d'authentification disponible (SSO, coffres-forts de mots de passe).
Ce qui est couvert par la clause 27701 de la norme ISO 6.6.3
La norme ISO 27702 6.6.3 ne contient qu'une seule sous-clause, qui contient des lignes directrices fusionnées de la norme ISO 27002 qui décrivent la manière dont les organisations doivent aborder la sécurité de l'authentification :
- ISO 27701 6.6.3.1 – Utilisation d'informations d'authentification secrètes (Références ISO 27002 Contrôle 5.17)
Il n’y a aucune citation du RGPD britannique à prendre en compte, et l’ISO ne fournit aucun point d’orientation spécifique au PIMS ou aux PII à respecter.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.6.3.1 – Utilisation des informations d'authentification secrètes
Références ISO 27002 Contrôle 5.17
Émission et gestion des informations d'authentification
Les détails d'authentification doivent être distribués et gérés de manière à :
- Les informations d'authentification générées automatiquement (mots de passe, etc.) sont gardées secrètes pour toute personne non autorisée à les utiliser, ne peuvent pas être devinées et sont gérées de manière à obliger un utilisateur à les modifier après la première connexion.
- Avant de délivrer ou de remplacer des éléments d'authentification, des procédures sont mises en place pour vérifier l'identité de la personne qui les demande.
- Les canaux sécurisés appropriés sont utilisés pour transmettre les détails d'authentification (c'est-à-dire pas par e-mail).
- Une fois que les détails ont été communiqués avec succès à la personne qui en a besoin, le ou les utilisateurs en accusent réception dans les meilleurs délais.
- Toutes les informations d'authentification fournies par le fournisseur (telles que le nom d'utilisateur et le mot de passe par défaut des routeurs et des pare-feu) sont modifiées dès réception.
- Des enregistrements sont conservés des événements d'authentification pertinents, en particulier en ce qui concerne l'attribution initiale et l'administration ultérieure des détails d'authentification.
Tout membre du personnel qui utilise les informations d'authentification de l'organisation doit s'assurer que :
- Tous les détails d’authentification restent strictement confidentiels.
- Si les détails d'authentification sont compromis, consultés ou partagés par toute personne autre que le propriétaire d'origine, ces détails sont modifiés. immédiatement .
- Tous les mots de passe sont créés et/ou générés conformément à la politique de mot de passe de l'organisation, et les mots de passe sont uniques sur différentes plates-formes (c'est-à-dire que les mots de passe de domaine ne sont pas les mêmes que les mots de passe des services cloud).
- Les contrats de travail contiennent une obligation explicite de suivre la politique de l'entreprise en matière de mots de passe (voir ISO 27002 contrôle 6.2).
Systèmes de gestion de mots de passe
Les organisations devraient envisager de mettre en œuvre un système de gestion des mots de passe (applications spécialisées de contrôle des mots de passe) qui :
- S'adresse aux utilisateurs qui doivent modifier le mot de passe qu'ils utilisent.
- Est programmé pour rejeter les mots de passe qui ne respectent pas les directives des meilleures pratiques.
- Oblige les utilisateurs à modifier leur mot de passe généré par le système après l'avoir utilisé pour la première fois.
- Ne permet pas l’utilisation continue d’anciens mots de passe ou d’expressions et combinaisons alphanumériques similaires.
- Masque les mots de passe pendant leur saisie.
- Stocke et envoie les informations de mot de passe de manière sécurisée.
- Permet le cryptage des mots de passe et les techniques de cryptage similaires (voir ISO 27002 contrôle 8.24).
Données de mot de passe
Pour protéger les informations personnelles et améliorer les efforts de protection de la confidentialité de l'organisation, les mots de passe doivent suivre quatre principes directeurs :
- Les mots de passe ne doivent pas être construits autour d’informations devinables ou biographiques.
- Les mots de passe ne doivent contenir aucun mot reconnaissable, à la place de caractères alphanumériques aléatoires.
- Des caractères spéciaux doivent être utilisés pour augmenter la complexité du mot de passe.
- Tous les mots de passe doivent avoir une longueur minimale (idéalement 12 caractères).
Les organisations devraient également envisager l'utilisation de protocoles d'authentification tels que l'authentification unique (SSO) pour améliorer la sécurité des mots de passe, mais de telles mesures ne devraient être envisagées qu'en parallèle avec les exigences techniques et opérationnelles uniques de l'organisation.
Contrôles ISO 27002 pertinents
- ISO 27002 6.2
- ISO 27002 8.24
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.6.3.1 | Utilisation des informations d'authentification secrètes | 5.17 – Informations d'authentification pour ISO 27002 | Aucun |
Comment ISMS.online vous aide
Comment aidons-nous?
En ajoutant un PIMS à votre ISMS sur la plateforme ISMS.online, votre posture de sécurité reste centralisée et vous éviterez la duplication là où les normes se chevauchent.
Avec votre PIMS accessible instantanément aux parties intéressées, il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27002 et ISO 27701 d'un simple clic.
Toutes les fonctionnalités dont vous avez besoin :
- ROPA en toute simplicité
- Banque de risques intégrée
- Espace sécurisé pour la RRC
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27002 et 27701 en utilisant ISMS.online en réserver une démo.
