Conformité
Votre partenaire de confiance en sécurité et conformité.
ISO/IEC 27001:2022
ISO/IEC 27001:2022 est la norme internationale pour établir et améliorer continuellement un Système de Management de la Sécurité de l'Information (SMSI), avec un accent fort sur les contrôles basés sur les risques, la gouvernance des accès et la traçabilité de bout en bout dans les environnements hybrides et infonuagiques. Cette page propose une cartographie des contrôles ISO 27001 alignée sur des cas d'utilisation concrets, démontrant comment les produits Devolutions soutiennent directement l'accès à distance sécurisé, la gestion des accès et des identifiants privilégiés, la gouvernance des identités et la responsabilité auditable.
5. Contrôles organisationnels
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
5.3 Séparation des tâches
« Les tâches conflictuelles et les zones de responsabilité conflictuelles doivent être séparées. »
Séparation des rôles, contrôle d'accès basé sur les rôles
5.9 Inventaire des informations et autres actifs associés
« Un inventaire des informations et autres actifs associés, incluant les propriétaires, doit être développé et maintenu. »
Inventaire de l'accès, des identités et des sessions
5.15 Contrôle d'accès
« Des règles pour contrôler l'accès physique et logique à l'information et aux autres actifs associés doivent être établies et mises en place en fonction des exigences de sécurité de l'information et des affaires. »
Contrôle d'accès logique, PAM, permissions fines
5.16 Gestion des identités
« Le cycle de vie complet des identités doit être géré. »
Intégration avec AD, Azure AD, SCIM, SSO
5.17 Informations d'authentification
« L'allocation et la gestion des informations d'authentification doivent être contrôlées par un processus de gestion, incluant le conseil au personnel sur la manière appropriée de manipuler les informations d'authentification. »
Coffre chiffré, rotation des mots de passe, AMF
5.18 Droits d'accès
« Les droits d'accès aux informations et autres actifs associés doivent être provisionnés, révisés, modifiés et supprimés conformément à la politique spécifique de l'organisation et aux règles de contrôle d'accès. »
Gestion du cycle de vie des accès
5.23 Sécurité de l'information pour l'utilisation des services infonuagiques
« Des processus pour l'acquisition, l'utilisation, la gestion et la sortie des services infonuagiques doivent être établis en accord avec les exigences de sécurité de l'information de l'organisation. »
Gestion de l'accès infonuagique, gestion des secrets, tunnelisation sécurisée
5.24 Planification et préparation à la gestion des incidents de sécurité de l'information
« L'organisation doit planifier et se préparer à gérer les incidents de sécurité de l'information en définissant, établissant et communiquant des processus, rôles et responsabilités de gestion des incidents de sécurité de l'information. »
Piste d'audit, journalisation, disponibilité en cas d'incident
5.25 Évaluation et décision sur les incidents de sécurité de l'information
« L'organisation doit évaluer les événements de sécurité de l'information et décider s'ils doivent être classés comme incidents de sécurité de l'information. »
Détection/analyse via les journaux
5.26 Réponse aux incidents de sécurité de l'information
« Les incidents de sécurité de l'information doivent être traités conformément aux procédures documentées. »
Actions de remédiation (rotation des secrets), gestion des incidents
5.27 Apprentissage des incidents de sécurité de l'information
« Les connaissances acquises à partir des incidents de sécurité de l'information doivent être utilisées pour renforcer et améliorer les contrôles de sécurité de l'information. »
Historique d'audit pour encourager les améliorations
5.28 Collecte de preuves
« L'organisation doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux incidents de sécurité de l'information. »
Enregistrement de la session, journaux horodatés
6. Contrôles liés aux personnes
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
6.7 Travail à distance
« Des mesures de sécurité doivent être mises en œuvre lorsque le personnel travaille à distance pour protéger les informations consultées, traitées ou stockées en dehors des locaux de l'organisation. »
Accès à distance sécurisé, AMF, tunnels sécurisés
7. Contrôles physiques
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
7.10 Supports de stockage
« Les supports de stockage doivent être gérés tout au long de leur cycle de vie, de l'acquisition à l'utilisation, au transport et à l'élimination, conformément au schéma de classification et aux exigences de gestion de l'organisation. »
Remplacer le stockage local par un coffre chiffré central
8. Contrôles technologiques
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
8.1 Appareils de point de terminaison de l'utilisateur
« Les informations stockées sur, traitées par ou accessibles via les points de terminaison des utilisateurs doivent être protégées. »
Pas de secrets locaux; injection des identifiants
8.2 Droits d'accès privilégiés
« L'allocation et l'utilisation des droits d'accès privilégiés doivent être restreintes et gérées. »
Gestion complète PAM, enregistrement de la session
8.3 Restriction de l'accès à l'information
« L'accès à l'information et aux autres actifs associés doit être restreint conformément à la politique spécifique au sujet en matière de contrôle de l'accès. »
Contrôle d'accès basé sur les rôles, segmentation
8.4 Accès au code source
« L'accès en lecture et en écriture au code source, aux outils de développement et aux bibliothèques logicielles doit être géré de manière appropriée. »
Stockage sécurisé des secrets DevOps et CI/CD
8.5 Authentification sécurisée
« Les technologies et procédures d'authentification sécurisée doivent être mises en œuvre sur la base des restrictions d'accès à l'information et de la politique spécifique au sujet en matière de contrôle de l'accès. »
AMF, FIDO2, OTP, push
8.7 Protection contre les logiciels malveillants
« La protection contre les logiciels malveillants doit être mise en œuvre et soutenue par une sensibilisation appropriée des utilisateurs. »
Réduction du hameçonnage via l'injection des identifiants
8.9 Gestion des configurations
« Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. »
Standardisation des connexions et de la gestion de l'accès
8.11 Masquage de données
« Le masquage de données doit être utilisé conformément à la politique spécifique à l'organisation sur le contrôle d'accès et d'autres politiques spécifiques, ainsi qu'aux exigences opérationnelles, tout en tenant compte de la législation applicable. »
Injection des identifiants (secret jamais révélé), contrôle d'accès basé sur les rôles
8.12 Prévention des fuites de données
« Les mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et à tout autre dispositif traitant, stockant ou transmettant des informations sensibles. »
Coffre + mandataire de session, contrôle d'accès basé sur les rôles
8.13 Sauvegarde de l'information
« Les copies de sauvegarde des informations, logiciels et systèmes doivent être maintenues et régulièrement testées conformément à la politique spécifique au sujet agréée sur la sauvegarde. »
Sauvegardes chiffrées DVLS/Hub
8.15 Journalisation
« Les journaux qui enregistrent les activités, exceptions, défauts et autres événements pertinents doivent être produits, stockés, protégés et analysés. »
Piste d'audit complète
8.16 Surveillance des activités
« Les réseaux, systèmes et applications doivent être surveillés pour détecter les comportements anormaux et les mesures appropriées doivent être prises pour évaluer les éventuels incidents de sécurité de l'information. »
Surveillance + enregistrement de la session
8.18 Utilisation des programmes utilitaires privilégiés
« L'utilisation des programmes utilitaires capables de contourner les contrôles des systèmes et applications doit être restreinte et rigoureusement contrôlée. »
PAM, restrictions d'outils d'administration
8.22 Ségrégation des réseaux
« Les groupes de services d'information, utilisateurs et systèmes d'information doivent être séparés dans les réseaux de l'organisation. »
Segmentation via Gateway
8.24 Utilisation de la cryptographie
« Les règles pour l'utilisation efficace de la cryptographie, y compris la gestion des clés cryptographiques, doivent être définies et mises en œuvre. »
Chiffrement AES-256, protocole TLS 1.2+
8.25 Cycle de vie de développement sécurisé
« Des règles pour le développement sécurisé des logiciels et des systèmes doivent être établies et appliquées. »
Gestion des secrets dev/test/prod
8.29 Test de sécurité en développement et en acceptation
« Les processus de test de sécurité doivent être définis et mis en œuvre dans le cycle de vie du développement. »
Secrets de test sécurisés
8.31 Séparation des environnements de développement, de test et de production
« Les environnements de développement, de test et de production doivent être séparés et sécurisés. »
Séparation logique via coffres / contrôle d'accès basé sur les rôles
8.32 Gestion des changements
« Les changements apportés aux installations de traitement de l'information et aux systèmes d'information doivent être soumis à des procédures de gestion des changements. »
Piste d'audit et traçabilité des changements
8.33 Informations de test
« Les informations de test doivent être sélectionnées, protégées et gérées de manière appropriée. »
Protection des secrets de test
Ressources
Découvrez plus d'informations et d'outils pour rester au sommet de votre sécurité informatique.
Devolutions Blog
Comment Devolutions aide les organisations à satisfaire les contrôles clés de gestion des identités et des accès (IAM) de l'ISO/IEC 27001:2022
Lire les articles
Conveyor Devolutions
Accès centralisé à la documentation juridique et aux certifications de conformité de Devolutions.
En savoir plus
Documentation Devolutions
Le bouton Sécurité, juridique et confidentialité vous redirige vers notre site Web, où vous pouvez accéder à toutes les ressources pertinentes
Consulter la documentation
Besoin d'aide en matière de conformité ?
Notre équipe d'experts peut vous aider à comprendre comment les solutions Devolutions répondent à vos exigences de conformité et vous guider tout au long du processus.
