Compliance
Votre partenaire de confiance en sécurité et conformité.
Qu'est-ce que l'ISO/IEC 27001:2022 ?
ISO/IEC 27001:2022 est la norme internationalement reconnue pour établir, mettre en œuvre, maintenir et améliorer continuellement un Système de Management de la Sécurité de l'Information (SMSI). La mise à jour de 2022 renforce les exigences autour des contrôles de sécurité basés sur les risques, de l'accès centré sur l'identité pour les identités humaines et machines, de la gouvernance rigoureuse des identifiants et de la surveillance continue des activités privilégiées.
La norme révisée introduit des attentes accrues pour gérer les identifiants éphémères ou de courte durée, imposer une gouvernance d'identité et d'accès cohérente, sécuriser les comptes privilégiés et assurer une auditabilité unifiée et traçable sur les infrastructures hybrides et basées sur le nuage. Ces changements augmentent le besoin de solutions modernes pouvant prendre en charge des environnements TI dynamiques et distribués.
Cette cartographie résume où et comment les produits Devolutions peuvent aider les organisations à aborder les aspects techniques des contrôles ISO/IEC 27001:2022—en particulier ceux liés à l'accès à distance sécurisé, à la gestion des identifiants privilégiés, à la gouvernance des identités et à l'auditabilité complète. Ce n'est pas un remplacement pour la mise en œuvre d'un SMSI complet, mais cela fournit des conseils sur la façon dont les outils Devolutions peuvent soutenir vos efforts de conformité.
5. Contrôles organisationnels
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
5.3 Séparation des tâches
« Les tâches conflictuelles et les domaines de responsabilité conflictuels doivent être séparés. »
Séparation des rôles, contrôle d'accès basé sur les rôles
5.9 Inventaire des informations et autres actifs associés
« Un inventaire des informations et autres actifs associés, y compris les propriétaires, doit être élaboré et maintenu. »
Inventaire de l'accès, des identités et des sessions
5.15 Contrôle d'accès
« Des règles pour contrôler l'accès physique et logique aux informations et autres actifs associés doivent être établies et mises en œuvre en fonction des exigences du business et de la sécurité de l'information. »
Contrôle d'accès logique, gestion des accès privilégiés, permissions raffinées
5.16 Gestion de l'identité
« Le cycle de vie complet des identités doit être géré. »
Intégration avec AD, Azure AD, SCIM, authentification unique
5.17 Informations d'authentification
« L'allocation et la gestion des informations d'authentification doivent être contrôlées par un processus de gestion, y compris en conseillant le personnel sur la manipulation appropriée des informations d'authentification. »
Coffre chiffré, rotation des mots de passe, authentification multifacteur
5.18 Droits d'accès
« Les droits d'accès aux informations et autres actifs associés doivent être provisionnés, révisés, modifiés et supprimés conformément à la politique spécifique aux sujets de l'organisation et aux règles de contrôle d'accès. »
Gestion du cycle de vie de l'accès
5.23 Sécurité de l'information pour l'utilisation des services basés sur le nuage
« Les processus d'acquisition, d'utilisation, de gestion et de sortie des services basés sur le nuage doivent être établis conformément aux exigences de sécurité de l'information de l'organisation. »
Gestion de l'accès au nuage, gestion des secrets, sécurisation par tunnelisation
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information
« L'organisation doit planifier et préparer la gestion des incidents de sécurité de l'information en définissant, établissant et communiquant les processus, les rôles et les responsabilités de la gestion des incidents de sécurité de l'information. »
Piste d'audit, journalisation, préparation aux incidents
5.25 Évaluation et décision sur les événements de sécurité de l'information
« L'organisation doit évaluer les événements de sécurité de l'information et décider s'ils doivent être catégorisés comme des incidents de sécurité de l'information. »
Détection/analyse via les journaux
5.26 Réponse aux incidents de sécurité de l'information
« Les incidents de sécurité de l'information doivent être traités conformément aux procédures documentées. »
Actions de remédiation (rotation des secrets), gestion des incidents
5.27 Apprentissage des incidents de sécurité de l'information
« Les connaissances acquises lors des incidents de sécurité de l'information doivent être utilisées pour renforcer et améliorer les contrôles de sécurité de l'information. »
Piste d'audit pour favoriser les améliorations
5.28 Collecte de preuves
« L'organisation doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la préservation des preuves liées aux événements de sécurité de l'information. »
Enregistrement de la session, journaux horodatés
6. Contrôles du personnel
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
6.7 Télétravail
"Des mesures de sécurité doivent être mises en œuvre lorsque le personnel travaille à distance pour protéger les informations auxquelles on accède, qui sont traitées ou stockées en dehors des locaux de l'organisation."
Accès à distance sécurisé, A2F, tunnels sécurisés
7. Contrôles Physiques
Contrôles ISO27001
Fonctionnalité de Devolutions
Produits associés
7.10 Supports de stockage
« Les supports de stockage doivent être gérés tout au long de leur cycle de vie, de l'acquisition, l'utilisation, le transport jusqu'à l'élimination, conformément au schéma de classification et aux exigences de traitement de l'organisation. »
Remplacer le stockage local par un coffre central chiffré
8. Contrôles Technologiques
Contrôles ISO27001
Fonctionnalité de Devolutions
Produits associés
8.1 Dispositifs utilisateur final
« Informations stockées, traitées ou accessibles via des dispositifs utilisateur final doivent être protégées. »
Pas de secrets locaux; injection des identifiants
8.2 Droits d'accès privilégiés
« Attribution et utilisation des droits d'accès privilégiés doivent être restreintes et gérées. »
Gestion complète des accès privilégiés, enregistrement de la session
8.3 Restriction d'accès aux informations
« Accès aux informations et autres actifs associés doivent être restreints conformément à la politique établie spécifique au sujet sur le contrôle d'accès. »
Contrôle d'accès basé sur les rôles, segmentation
8.4 Accès au code source
« Accès en lecture et écriture au code source, aux outils de développement et aux bibliothèques logicielles doivent être gérés de manière appropriée. »
Stockage sécurisé des secrets DevOps et CI/CD
8.5 Authentification sécurisée
« Technologies et procédures d'authentification sécurisée doivent être mises en œuvre basées sur des restrictions d'accès à l'information et la politique spécifique au sujet sur le contrôle d'accès. »
AMF, FIDO2, mot de passe à usage unique, Push
8.7 Protection contre les logiciels malveillants
« La protection contre les logiciels malveillants doit être implantée et soutenue par une sensibilisation appropriée des utilisateurs. »
Réduction du hameçonnage via l'injection des identifiants
8.9 Gestion de la configuration
« Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. »
Standardisation des connexions et de l'accès
8.11 Masquage des données
« Le masquage des données doit être utilisé conformément à la politique spécifique de l'organisation en matière de contrôle d'accès et autres politiques spécifiques, ainsi qu'aux exigences commerciales, en tenant compte de la législation applicable. »
Injection des identifiants (secret jamais révélé), contrôle d'accès basé sur les rôles
8.12 Prévention des fuites de données
« Des mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre dispositif qui traite, stocke ou transmet de l'information sensible. »
Coffre + mandataire de session, contrôle d'accès basé sur les rôles
8.13 Sauvegarde des informations
« Les copies de sauvegarde des informations, des logiciels et des systèmes doivent être maintenues et testées régulièrement conformément à la politique spécifique convenue en matière de sauvegarde. »
Sauvegardes chiffrées DVLS/Hub
8.15 Journalisation
« Les journaux qui enregistrent les activités, les exceptions, les erreurs et autres incidents pertinents doivent être produits, stockés, protégés et analysés. »
Piste d'audit complète
8.16 Surveillance des activités
« Les réseaux, systèmes et applications doivent être surveillés pour détecter des comportements anormaux et des actions appropriées doivent être prises pour évaluer les incidents potentiels de sécurité de l'information. »
Surveillance + enregistrement de la session
8.18 Utilisation de programmes utilitaires privilégiés
« L'utilisation de programmes utilitaires pouvant être capables de contourner les contrôles du système et des applications doit être restreinte et étroitement contrôlée. »
PAM, restrictions d'outils d'administration
8.22 Ségrégation des réseaux
« Les groupes de services d'information, les utilisateurs et les systèmes d'information doivent être séparés dans les réseaux de l'organisation. »
Segmentation via Gateway
8.24 Utilisation de la cryptographie
« Les règles pour l'utilisation efficace de la cryptographie, y compris la gestion des clés cryptographiques, doivent être définies et mises en œuvre. »
Chiffrement norme AES-256, TLS 1.2+
8.25 Cycle de vie du développement sécurisé
« Règles pour le développement sécurisé de logiciels et de systèmes doivent être établies et appliquées. »
gestion des secrets dev/test/prod
8.29 Test de sécurité en développement et acceptation
« Processus de test de sécurité doivent être définis et mis en œuvre dans le cycle de vie du développement. »
Secrets de test sécurisés
8.31 Séparation des environnements de développement, test et production
« Environnements de développement, de test et de production doivent être séparés et sécurisés. »
Séparation logique via coffres / contrôle d'accès basé sur les rôles
8.32 Gestion des changements
« Changements aux installations de traitement de l'information et aux systèmes d'information doivent être soumis à des procédures de gestion des changements. »
Piste d'audit et traçabilité des changements
8.33 Informations de test
« Informations de test doivent être sélectionnées, protégées et gérées de manière appropriée. »
Protection des secrets de test
Ressources
Explorez plus d'informations et d'outils pour vous aider à rester au top de votre jeu de sécurité TI.
Comprendre les CVE : Un élément clé pour protéger votre organisation
Lire maintenant
Combler les lacunes de sécurité TI avec PAM dirigé par TI
Regarder à la demande
Rejoignez notre Newsletter
Rejoignez nos listes de diffusion pour recevoir des nouvelles du secteur, des mises à jour de produits, des conseils rapides, des offres spéciales et plus encore.