Vincent Lambert
En tant que cadre de sécurité, la norme ISO/IEC 27001:2022 couvre un large éventail de contrôles organisationnels, physiques et techniques. Parmi ceux-ci, la gestion des identités et des accès (IAM) se distingue comme l’un des principes majeurs de la norme ISO, car de nombreux contrôles reposent sur la manière dont les identités sont gérées et dont l’accès aux systèmes est accordé, surveillé et restreint.
Afin d’aider les clients à naviguer dans cette complexité, Devolutions propose une page de conformité qui établit une correspondance entre ses produits et les contrôles abordés dans les principaux cadres de sécurité, y compris la norme ISO/IEC 27001. Cette page offre aux organisations une visibilité claire sur les contrôles actuellement pris en charge par les solutions Devolutions, sur la façon dont elles peuvent être exploitées dans le cadre d’une stratégie de conformité globale et sur la manière dont les capacités existantes des produits peuvent contribuer à bâtir un dossier solide en vue des efforts de certification ISO/IEC 27001.
C’est ici que Devolutions Server (DVLS), Devolutions Hub, Devolutions Remote Desktop Manager (RDM), Devolutions Gateway, Workspace et Devolutions PAM apportent un soutien concret et pratique.
Vous trouverez ci-dessous certains des contrôles IAM les plus critiques et la façon dont Devolutions aide les organisations à s’y conformer.
1) 5.16 – Gestion des identités
« Le cycle de vie complet des identités doit être géré. »
Pourquoi c’est important :
La norme ISO 27001 exige que l’ensemble du cycle de vie, de l’intégration au départ des utilisateurs, soit géré.
Comment Devolutions aide :
- Les intégrations avec AD, Azure AD, SCIM et l’authentification unique (SSO) garantissent que les identités suivent le cycle de vie de votre annuaire existant.
- Le contrôle d’accès basé sur les rôles (RBAC) aligne l’accès aux coffres et aux identifiants sur les rôles des utilisateurs.
- L’accès privilégié juste-à-temps via Devolutions PAM empêche l’attribution permanente de privilèges élevés.
Résultat :
Le cycle de vie des identités devient opérationnel, automatisé et vérifiable.
2) 5.17 – Informations d’authentification
« L’attribution et la gestion des informations d’authentification doivent être contrôlées. »
Pourquoi c’est important :
La norme ISO 27001 met fortement l’accent sur la manière dont les mots de passe, clés, jetons et secrets sont stockés et renouvelés.
Comment Devolutions aide :
- Des coffres chiffrés dans DVLS et Hub centralisent tous les secrets de façon sécurisée.
- La rotation des mots de passe et des clés via PAM réduit les identifiants obsolètes.
- L’injection d’identifiants (RDM, Workspace) permet aux utilisateurs de s’authentifier sans jamais voir les mots de passe.
- L’authentification multifacteur (AMF) sur l’ensemble de la suite renforce la sécurité globale de l’authentification.
Résultat :
Une gestion forte, centralisée et guidée par des politiques de toutes les informations d’authentification.
3) 5.18 – Droits d’accès
« Les droits d’accès doivent être attribués, révisés, modifiés et supprimés conformément à la politique. »
Pourquoi c’est important :
La norme exige que les organisations définissent leurs propres politiques de contrôle d’accès et veillent à ce que la gestion des identités et des accès respecte ces règles de manière cohérente.
Comment Devolutions aide :
- DVLS et Hub offrent une gestion centralisée du cycle de vie des accès.
- Les revues d’accès sont simplifiées grâce à une visibilité claire sur les permissions des coffres, les comptes privilégiés et les rôles des utilisateurs.
- Devolutions Gateway applique la segmentation, garantissant que même des identifiants légitimes ne peuvent contourner les contrôles réseau.
Résultat :
Les droits d’accès demeurent alignés sur les politiques tout au long de leur cycle de vie.
4) 8.2 – Droits d’accès privilégiés
« L’utilisation des accès privilégiés doit être restreinte et gérée. »
Pourquoi c’est important :
Les comptes privilégiés étant des cibles fréquentes de menaces malveillantes, leur gestion et leur surveillance sont étroitement examinées lors des audits ISO/IEC 27001.
Comment Devolutions aide :
- Des capacités PAM complètes : gestion des coffres de mots de passe, enregistrement des sessions, flux d’approbation et accès juste-à-temps.
- Un courtier de sessions sécurisé via Devolutions Gateway — plus aucun port RDP/SSH exposé.
- Des journaux détaillés fournissent des preuves pour les auditeurs et soutiennent les enquêtes en cas d’incident.
Résultat :
Les accès privilégiés deviennent contrôlés, surveillés et transparents.
5) 8.3 – Restriction de l’accès à l’information
« L’accès doit être restreint conformément aux politiques approuvées. »
Pourquoi c’est important :
La norme ISO/IEC 27001 exige que les politiques de contrôle d’accès soient soutenues par une application technique concrète, et non uniquement par des règles documentées.
Comment Devolutions aide :
- Le RBAC, les permissions de dossiers et les coffres segmentés garantissent des frontières strictes entre les informations.
- L’injection d’identifiants empêche les utilisateurs de consulter des secrets sensibles, réduisant ainsi les risques internes et d’hameçonnage.
- Devolutions Gateway ajoute une segmentation au niveau du réseau, renforçant les contrôles d’accès logiques.
Résultat :
Un modèle de moindre privilège pratique et applicable à l’échelle des identités, des connexions et des secrets.
Envie d’aller plus loin?
Au cours des prochains mois, d’autres cadres de sécurité seront ajoutés à la page de conformité Devolutions, détaillant davantage les contrôles pris en charge par les fonctionnalités des produits Devolutions. Les clients bénéficieront ainsi d’une visibilité continue sur la manière dont Devolutions soutient l’évolution des exigences en matière de conformité et de sécurité.
Patrick Pilotte
