ISO 27701 – Clause 6.6.4 – Contrôle d'accès aux systèmes et aux applications

La clause 27701 de la norme ISO 6.6.4 se concentre sur le contrôle d'accès aux systèmes et aux applications pour protéger les informations personnelles identifiables en appliquant des restrictions d'accès, des procédures de connexion sécurisées, une gestion renforcée des mots de passe, une utilisation contrôlée des utilitaires privilégiés et des mesures d'authentification robustes.

Demander demo
Auteur
Max Edwards
Mis à jour le 25 février 2025
LinkedIn Twitter Twitter

Protection des informations personnelles identifiables grâce à des contrôles d'accès robustes aux systèmes et aux applications

L'imposition de restrictions d'accès aux tâches, actifs et procédures critiques de l'entreprise est un aspect fondamental à la fois pour protéger les informations personnelles et pour garantir que les applications et systèmes liés à la confidentialité sont exempts de corruption, d'utilisation abusive ou de suppression.

La norme ISO 27701 6.6.4 décrit une variété de mesures – depuis les contrôles d'authentification jusqu'à la gestion du code source et l'utilisation de programmes utilitaires privilégiés – qui permettent aux organisations d'exercer un contrôle granulaire sur qui et quoi est autorisé à accéder à leur réseau, et par quels moyens.

Ce qui est couvert par la clause 27701 de la norme ISO 6.6.4

L'ISO 27701 6.6.4 contient cinq sous-paragraphes qui traitent des sujets ci-dessus. Chaque sous-paragraphe contient des informations d'orientation provenant d'un variété de sous-articles dans l'ISO 27002, mais livré dans le contexte de la sécurité des informations personnelles et de la protection de la vie privée :

  • ISO 27701 6.6.4.1 – Restrictions d'accès aux informations (Références ISO 27002 contrôle 8.3).
  • ISO 27701 6.6.4.2 – Procédures de connexion sécurisées (Références ISO 27002 contrôle 8.5).
  • ISO 27701 6.6.4.3 – Système de gestion des mots de passe (Références ISO 27002 contrôle 5.17).
  • ISO 27701 6.6.4.4 – Utilisation de programmes utilitaires privilégiés (Références ISO 27002 contrôle 8.18).
  • ISO 27701 6.6.4.5 – Contrôle d'accès au code source du programme (Références ISO 27002 contrôle 8.4).

La sous-clause 6.6.4.2 contient des indications supplémentaires sur les articles applicables de la législation britannique RGPD (article 5 [1][f]).

Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.



Obtenez une longueur d'avance de 81 %

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


ISO 27701 Clause 6.6.4.1 – Suppression ou ajustement des droits d'accès

Références ISO 27002 Contrôle 8.3

Pour contrôler les informations personnelles et les informations liées à la confidentialité, et pour soutenir les mesures de restriction d'accès, les organisations doivent :

  • Empêchez l’accès anonyme aux informations personnelles, y compris l’accès public.
  • Maintenir les systèmes de confidentialité et toutes les applications ou processus métier associés.
  • Administrez l’accès aux informations personnelles utilisateur par utilisateur.
  • Gérez les droits d'accès aux PII à un niveau granulaire (lecture, écriture, suppression et exécution).
  • Séparez les processus et applications critiques en matière de confidentialité à l’aide d’une combinaison de contrôles d’accès physiques et logiques.

Gestion dynamique des accès

L'ISO plaide pour un Dynamic approche de l’accès à l’information, qui s’étend aux systèmes d’informations personnelles et de confidentialité.

La gestion dynamique des accès permet aux organisations de partager ou d'utiliser des données internes avec des utilisateurs externes, afin d'accélérer les délais de résolution des incidents (une exigence clé des incidents liés aux informations personnelles).

Les organisations devraient envisager de mettre en œuvre une gestion dynamique des accès lorsque :

  • Exercer un contrôle granulaire sur les données auxquelles les utilisateurs humains et non humains peuvent accéder.
  • Partager des informations avec des fournisseurs, des organismes chargés de l'application de la loi ou des organismes de réglementation.
  • Adopter une approche « en temps réel » pour la gestion des informations personnelles (surveiller et gérer l'utilisation des informations personnelles au fur et à mesure).
  • Protéger les informations personnelles contre les modifications, le partage ou la sortie non autorisés (impression, etc.).
  • Surveillance/audit de l'accès et de la modification des informations liées à la confidentialité.
  • Développer un processus qui régit le la vente au détail XNUMXh/XNUMX et du Stack monitoring de données, y compris un processus de reporting.

La gestion dynamique des accès doit protéger les données en :

  • L'accès est obtenu grâce à un processus d'authentification robuste.
  • Activation d'un accès restreint.
  • Chiffrement
  • Autorisations d'impression sécurisées.
  • Enregistrer qui accède aux PII et comment les données PII sont utilisées.
  • Mise en œuvre d'une procédure d'alerte qui signale une utilisation inappropriée des informations personnelles.

ISO 27701 Clause 6.6.4.2 – Procédures de connexion sécurisée

Références ISO 27002 Contrôle 8.5

Les informations personnelles et les actifs liés à la confidentialité doivent être stockés sur un réseau doté d'une gamme de contrôles d'authentification, notamment :

  • Authentification multifacteur (MFA).
  • Certificats numériques.
  • Cartes à puce/porte-clés.
  • Vérification biométrique.
  • Jetons sécurisés.

Pour prévenir et minimiser le risque d’accès non autorisé aux informations personnelles, les organisations doivent :

  • Empêchez l'affichage des informations personnelles sur un moniteur ou un périphérique de point de terminaison jusqu'à ce qu'un utilisateur se soit authentifié avec succès.
  • Donnez aux utilisateurs potentiels un avertissement clair – avant toute tentative de connexion – qui souligne la nature sensible des données auxquelles ils sont sur le point d'accéder.
  • Méfiez-vous de fournir trop d'assistance tout au long du processus d'authentification (c'est-à-dire expliquer quelle partie d'une tentative de connexion échouée est invalide).
  • Déployez des mesures de sécurité basées sur les meilleures pratiques, notamment :
    • Technologie CAPTCHA.
    • Forcer la réinitialisation du mot de passe et/ou empêcher temporairement les connexions après plusieurs tentatives infructueuses.
  • Enregistrez les tentatives de connexion échouées pour une analyse plus approfondie et/ou une diffusion aux organismes chargés de l'application de la loi.
  • Déclenchez un incident de sécurité chaque fois qu'une différence de connexion majeure est détectée ou que l'organisation découvre une anomalie d'authentification susceptible d'affecter les informations personnelles.
  • Relayez les journaux d’authentification – contenant la dernière tentative de connexion et les informations de connexion ayant échoué – vers une source de données distincte.
  • N'affichez que les données de mot de passe sous forme de symboles abstraits), sauf si l'utilisateur a des problèmes d'accessibilité/de vision.
  • Empêchez le partage de toutes les données d’authentification.
  • Supprimez les sessions de connexion inactives, en particulier lorsque les informations personnelles sont utilisées dans des environnements de travail à distance ou sur des actifs BYOD.
  • Fixez une limite de temps aux sessions authentifiées, en particulier celles qui accèdent activement aux informations personnelles.

Articles applicables du RGPD

  • Article 5 – (1)(f)


La conformité ne doit pas être compliquée.

Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.

Demander demo


ISO 27701 Clause 6.6.4.3 – Système de gestion des mots de passe

Références ISO 27002 Contrôle 5.17

Les détails d'authentification doivent être distribués et gérés de manière à :

  • Les informations d'authentification générées automatiquement (mots de passe, etc.) sont gardées secrètes pour toute personne non autorisée à les utiliser, ne peuvent pas être devinées et sont gérées de manière à obliger un utilisateur à les modifier après la première connexion.
  • Avant de délivrer ou de remplacer des éléments d'authentification, des procédures sont mises en place pour vérifier l'identité de la personne qui les demande.
  • Les canaux sécurisés appropriés sont utilisés pour transmettre les détails d'authentification (c'est-à-dire pas par e-mail).
  • Une fois que les détails ont été communiqués avec succès à la personne qui en a besoin, le ou les utilisateurs en accusent réception dans les meilleurs délais.
  • Toutes les informations d'authentification fournies par le fournisseur (telles que le nom d'utilisateur et le mot de passe par défaut des routeurs et des pare-feu) sont modifiées dès réception.
  • Des enregistrements sont conservés des événements d'authentification pertinents, en particulier en ce qui concerne l'attribution initiale et l'administration ultérieure des détails d'authentification.

Tout membre du personnel qui utilise les informations d'authentification de l'organisation doit s'assurer que :

  • Tous les les détails d’authentification restent strictement confidentiels.
  • Si les détails d'authentification sont compromis, consultés ou partagés par toute personne autre que le propriétaire d'origine, ces détails sont modifiés. immédiatement .
  • Tous les mots de passe sont créés et/ou générés conformément à la politique de mot de passe de l'organisation, et les mots de passe sont uniques sur différentes plates-formes (c'est-à-dire que les mots de passe de domaine ne sont pas les mêmes que les mots de passe des services cloud).
  • Les contrats de travail contiennent une obligation explicite de suivre la politique de l'entreprise en matière de mots de passe (voir ISO 27002 6.2).

Systèmes de gestion de mots de passe

Les organisations doivent mettre en œuvre un système de gestion des mots de passe qui :

  • S'adresse aux utilisateurs qui doivent modifier le mot de passe qu'ils utilisent.
  • Est programmé pour rejeter les mots de passe qui ne respectent pas les directives des meilleures pratiques.
  • Oblige les utilisateurs à modifier leur mot de passe généré par le système après l'avoir utilisé pour la première fois.
  • Ne permet pas l’utilisation continue d’anciens mots de passe ou d’expressions et combinaisons alphanumériques similaires.
  • Masque les mots de passe pendant leur saisie.
  • Stocke et envoie les informations de mot de passe de manière sécurisée.
  • Permet le cryptage des mots de passe et les techniques de cryptage similaires (voir ISO 27002 8.24).

Pour protéger les informations personnelles et améliorer les efforts de protection de la confidentialité de l'organisation, les mots de passe doivent suivre quatre principes directeurs :

  • Les mots de passe ne doivent pas être construits autour d’informations devinables ou biographiques.
  • Les mots de passe ne doivent contenir aucun mot reconnaissable, à la place de caractères alphanumériques aléatoires.
  • Des caractères spéciaux doivent être utilisés pour augmenter la complexité du mot de passe.
  • Tous les mots de passe doivent avoir une longueur minimale (idéalement 12 caractères).

Les organisations devraient également envisager l'utilisation de protocoles d'authentification tels que l'authentification unique (SSO) pour améliorer la sécurité des mots de passe, mais de telles mesures ne devraient être envisagées qu'en parallèle avec les exigences techniques et opérationnelles uniques de l'organisation.

Contrôles ISO 27002 pertinents

  • ISO 27002 6.2
  • ISO 27002 8.24

ISO 27701 Clause 6.6.4.4 – Utilisation de programmes utilitaires privilégiés

Références ISO 27002 Contrôle 8.18

Pour protéger les informations personnelles et les actifs liés à la confidentialité – et améliorer simultanément l’intégrité du réseau – les organisations doivent :

  • Limitez l'utilisation des programmes utilitaires au personnel de maintenance et/ou aux sous-traitants chargés d'administrer le réseau de l'organisation.
  • Assurez-vous que l'utilisation d'un seul programme utilitaire est autorisée par la direction, y compris en tenant à jour une liste du personnel qui doit utiliser des programmes utilitaires dans le cadre des responsabilités qui lui sont assignées.
  • Empêchez l'utilisation de programmes utilitaires sur les zones du réseau comportant des tâches séparées.
  • Examinez périodiquement l’utilisation des programmes utilitaires, en supprimant ou en ajoutant si l’organisation le juge opportun.
  • Séparez les programmes utilitaires par opposition aux applications standard.
  • Enregistrez l'utilisation des programmes utilitaires, y compris les informations conservées sur les horodatages et les utilisateurs autorisés.


Gérez toute votre conformité en un seul endroit

ISMS.online prend en charge plus de 100 normes
et réglementations, vous donnant un seul
plateforme pour tous vos besoins de conformité.

Demander demo


ISO 27701 Clause 6.6.4.5 – Contrôle d'accès au code source du programme

Références ISO 27002 Contrôle 8.4

L'accès au code source et à l'outil de développement doit être étroitement contrôlé, afin que les applications liées à la confidentialité ne soient pas compromises et que les informations personnelles ne soient pas exposées au public ou à toute forme d'accès non autorisé.

Le code source et les « éléments associés » incluent :

  • Designs.
  • Caractéristiques.
  • Plans de vérification.
  • Plans de validation.

Les outils de développement comprennent :

  • Compilateurs.
  • Bâtisseurs.
  • Outils d'intégration.
  • Plateformes de tests.
  • Environnements.

L'ISO recommande aux organisations de stocker et de gérer le code source via un « système de gestion du code source » dédié qui protège la propriété intellectuelle, le code et les outils de développement et gère l'accès au matériel restreint. Le code source doit être géré avec différents degrés d’accès en lecture et en écriture, en fonction du rôle professionnel de chaque individu.

Pour prévenir la corruption et protéger le PIMS, les informations personnelles et les informations et actifs liés à la confidentialité, les organisations doivent :

  • Gérez étroitement l’accès au code source et à toutes les bibliothèques associées.
  • Limiter la fourniture d'accès au code source sur la base du « besoin de savoir » et du « besoin d'utilisation ».
  • Observer les procédures de gestion des changements à l'échelle de l'organisation, lors de la mise à jour/modification du code source ou lors de toute modification des privilèges d'accès (voir ISO 27002 8.32).
  • Interdire la accès direct du code source par les développeurs, et à la place fournir l'accès via des outils de développement spécialisés.
  • Stockez en toute sécurité les listes de programmes, avec des niveaux d'accès en lecture et en écriture appropriés.

Contrôles ISO 27002 pertinents

  • Voir ISO 27002 8.32

Prise en charge des contrôles ISO 27002 et RGPD

Identificateur de clause ISO 27701Nom de la clause ISO 27701Exigence ISO 27002Articles associés au RGPD
6.6.4.18.3
8.3 – Restriction d’accès aux informations pour la norme ISO 27002
Aucun
6.6.4.28.5
8.5 – Authentification sécurisée pour ISO 27002
 Article (5)
6.6.4.35.17
5.17 – Informations d'authentification pour ISO 27002
Aucun
6.6.4.48.18
8.18 – Utilisation de programmes utilitaires privilégiés pour ISO 27002
Aucun
6.6.4.58.4
8.4 – Accès au code source pour l'ISO 27002
Aucun

Comment ISMS.online vous aide

La norme ISO 27701 vous montre comment créer un système de gestion des informations confidentielles conforme à la plupart des réglementations en matière de confidentialité, notamment le RGPD de l'UE, la BS 10012 et le POPIA d'Afrique du Sud.

Notre logiciel simplifié, sécurisé et durable vous aide à suivre facilement l'approche décrite par la norme internationalement reconnue.

Notre plateforme tout-en-un garantit que votre travail en matière de confidentialité s'aligne et répond aux besoins de chaque section de la norme ISO 27701. Et comme il est indépendant de la réglementation, vous pouvez le mapper sur n’importe quelle réglementation dont vous avez besoin.

En savoir plus par réserver une démo pratique.

Aller au sujet

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Visite de la plateforme ISMS

Intéressé par une visite de la plateforme ISMS.online ?

Commencez dès maintenant votre démo interactive gratuite de 2 minutes et découvrez la magie d'ISMS.online en action !

Testez-le gratuitement

Nous sommes un leader dans notre domaine

Les utilisateurs nous aiment
Grid Leader - Printemps 2025
Momentum Leader - Printemps 2025
Responsable régional - Printemps 2025 Royaume-Uni
Responsable régional - Printemps 2025 UE
Meilleure estimation. ROI Entreprise - Printemps 2025
Les plus susceptibles de recommander Enterprise - Printemps 2025

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

-Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

-Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

-Ben H.

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !