Comprendre la clause 6.9.6 : Gestion des vulnérabilités techniques
Les vulnérabilités techniques susceptibles d'avoir un impact sur les informations personnelles et les actifs liés à la confidentialité sont presque impossibles à éradiquer complètement, quels que soient le budget, les niveaux de personnel ou l'expertise.
À ce titre, l’ISO exige que les organisations opèrent avec un ensemble robuste de contrôles de gestion des vulnérabilités qui identifient les vulnérabilités techniques potentielles et fournissent des conseils clairs sur les mesures correctives nécessaires pour atténuer tout dommage commercial, opérationnel ou de réputation.
Ce qui est couvert par la clause 27701 de la norme ISO 6.9.6
La norme ISO 27001 6.9.6 contient deux sous-paragraphes qui traitent du sujet de la gestion des vulnérabilités, répartis entre la gestion technique et la manière dont les organisations doivent considérer les installations de logiciels :
- ISO 27701 6.9.6.1 – Gestion des vulnérabilités techniques (ISO 27002 Contrôle 8.8)
- ISO 27701 6.9.6.2 – Restriction sur l'installation de logiciels (ISO 27002 Contrôle 8.19)
Aucun des deux sous-paragraphes ne contient de directives spécifiques au PIMS ou aux PII, et il n'existe pas non plus de lignes directrices au Royaume-Uni. GDPR implications à considérer.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.9.6.1 – Gestion des vulnérabilités techniques
Références ISO 27002 Contrôle 8.8
Les organisations doivent obtenir une liste à jour de tous les actifs (voir Contrôles 5.9 et 5.14) détenus et exploités par l'organisation, y compris :
- Nom du fournisseur.
- Nom de l'application.
- Numéros de versions.
- Où le logiciel est déployé.
- Qui est responsable du fonctionnement dudit logiciel.
Lors de l'identification de vulnérabilités susceptibles d'avoir un impact sur les informations personnelles et la protection de la vie privée, les organisations doivent :
- Décrivez le personnel responsable de la gestion des vulnérabilités, notamment :
- La gestion d'actifs.
- L'évaluation des risques.
- Surveillance.
- Mise à jour.
- Maintenir un inventaire à jour des applications et des ressources qui seront utilisées pour identifier les vulnérabilités techniques.
- Contactez les fournisseurs et les vendeurs et demandez-leur d'indiquer clairement les vulnérabilités chaque fois que de nouveaux systèmes et matériels sont fournis (voir ISO 27002 Contrôle 5.20).
- Utilisez l’outil d’analyse des vulnérabilités et les fonctionnalités de mise à jour des correctifs.
- Effectuer des tests d'intrusion périodiques.
- Analysez les bibliothèques de code tierces et/ou le code source pour détecter les vulnérabilités et/ou les exploits sous-jacents (voir ISO 27002 Control 8.28).
Activités publiques
Les organisations doivent développer des politiques et des procédures (y compris des mises à jour automatiques) qui détectent les vulnérabilités dans tous leurs produits et services, et recevoir des évaluations de vulnérabilité liées à la fourniture desdits produits et services.
L’ISO conseille aux organisations de déployer des efforts publics pour détecter toute vulnérabilité – y compris en utilisant des programmes de primes structurés – et d’utiliser les forums et les activités de recherche publique pour sensibiliser aux exploits potentiels et aux problèmes de sécurité.
Si, à la suite d'un incident de sécurité, des mesures correctives ont été prises qui pourraient d'une manière ou d'une autre affecter les clients (ou leur perception des données détenues), les organisations doivent envisager de faire appel à des spécialistes de la sécurité certifiés pour diffuser des informations sur les vecteurs d'attaque.
Évaluation des vulnérabilités
Tout au long du processus d’évaluation des vulnérabilités, les organisations doivent :
- Analysez tous les rapports et décidez des mesures à prendre, y compris les mises à jour ou la suppression des systèmes et/ou du matériel concernés.
- Convenez d’une résolution qui prend en compte les autres contrôles ISO.
Contrecarrer les vulnérabilités logicielles
Lorsqu’elles traitent les vulnérabilités une fois qu’elles ont été identifiées, les organisations doivent :
- Résolvez toutes les vulnérabilités de manière rapide et efficace.
- Adhérer aux procédures organisationnelles sur la gestion du changement (voir ISO 27002 Contrôle 8.32) et la réponse aux incidents (voir ISO 27002 Contrôle 5.26), pour garantir une approche uniforme.
- Limitez les mises à jour et les correctifs à ceux provenant de sources fiables.
- Testez les mises à jour avant la mise en œuvre.
- Identifiez les systèmes à haut risque et critiques pour l’entreprise en priorité lors de la planification des actions correctives.
Si une mise à jour n’est pas disponible et que des mesures correctives sont empêchées par des facteurs externes, les organisations doivent :
- Consultez les fournisseurs pour trouver des solutions de contournement.
- Désactivez tout ou partie des services réseau concernés.
- Mettez en œuvre des contrôles de sécurité du réseau, notamment des règles de trafic et un filtrage de contenu.
- Augmenter la fréquence et la durée des efforts de surveillance sur les systèmes concernés.
- Diffusez des informations sur la vulnérabilité et assurez-vous que toutes les parties concernées sont informées, y compris les fournisseurs et les clients.
Contrôles ISO 27002 pertinents
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Conseils supplémentaires
Une piste d'audit doit être conservée pour toutes les activités pertinentes de gestion des vulnérabilités, et le processus de gestion des vulnérabilités de l'organisation doit être examiné pour garantir qu'il est à la fois adapté à son objectif et qu'il répond aux besoins croissants de l'organisation.
En ce qui concerne les logiciels basés sur le cloud, l'organisation doit s'assurer que la position du fournisseur de services en matière de gestion des vulnérabilités est alignée sur la sienne. Les organisations doivent chercher à obtenir une confirmation écrite de toute responsabilité via un contrat de service contraignant (voir ISO 27002 Contrôle 5.32).
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.9.6.2 – Restriction sur l'installation de logiciels
Références ISO 27002 Contrôle 8.19
Afin de protéger la disponibilité et l’intégrité des informations personnelles et d’administrer les changements, les organisations doivent :
- Assurez-vous que les mises à jour du logiciel sont effectuées par du personnel compétent (voir Control Control 8.5).
- Assurez-vous que le code a quitté la phase de développement en toute sécurité et qu'il est exempt de tout bogue.
- Testez tous les logiciels avant la mise à jour ou l'installation, pour vous assurer qu'aucun conflit ou erreur ne se produira.
- Maintenir un système de bibliothèque de logiciels à jour.
- Maintenir un « système de contrôle de configuration » pour administrer les logiciels opérationnels.
- Rédigez une « stratégie de restauration » qui restaure les systèmes à un état de fonctionnement antérieur, afin d'assurer la continuité des activités.
- Tenir un journal complet de toutes les mises à jour effectuées.
- Assurez-vous que les applications logicielles inutilisées – et tout le matériel associé – sont stockées en toute sécurité pour une utilisation et une analyse ultérieures.
- Opérer avec une politique de restriction logicielle, qui s'exécute conformément aux différents rôles et responsabilités de l'organisation.
Lors de l'utilisation de logiciels fournis par le fournisseur, les applications doivent être maintenues en bon état de fonctionnement et conformément aux directives des émetteurs.
L'ISO indique explicitement que les organisations doivent éviter d'utiliser des logiciels non pris en charge sauf si absolument nécessaire. Les organisations devraient chercher à mettre à niveau les systèmes existants, plutôt que d'utiliser des applications héritées obsolètes ou non prises en charge.
Un fournisseur peut avoir besoin d'accéder au réseau d'une organisation afin d'effectuer une installation ou une mise à jour. De telles activités doivent être autorisées et surveillées à tout moment (voir ISO 27002 Contrôle 5.22).
Conseils supplémentaires
- Les organisations doivent mettre à niveau, corriger et installer les logiciels conformément à leurs procédures publiées de gestion des modifications.
- Les correctifs qui éliminent les vulnérabilités de sécurité ou améliorent la protection de la vie privée de l'organisation doivent toujours être considérés comme un changement prioritaire.
- Les organisations doivent faire très attention lorsqu'elles utilisent des logiciels open source et doivent identifier la dernière version publiquement disponible pour garantir que les exigences de sécurité sont pleinement respectées.
Contrôles ISO 27002 pertinents
- ISO 27002 5.22
- ISO 27002 8.5
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.9.6.1 | Gestion des vulnérabilités techniques |
8.8 – Gestion des vulnérabilités techniques pour la norme ISO 27002 |
Aucun |
| 6.9.6.2 | Restriction sur l'installation du logiciel |
8.19 – Installation de logiciels sur les systèmes opérationnels pour ISO 27002 |
Aucun |
Comment ISMS.online vous aide
Avec la plateforme ISMS.online, vous pouvez intégrer un PIMS pour garantir que votre posture de sécurité est centralisée et évite la duplication là où les normes se chevauchent.
Il n'a jamais été aussi simple de surveiller, de rapporter et d'auditer par rapport aux normes ISO 27001 et ISO 27701 avec votre PIMS instantanément accessible aux parties intéressées.
Découvrez combien du temps et de l'argent que vous économiserez sur votre voyage à une certification combinée ISO 27001 et 27701 via ISMS.online.
