Conformité
Votre partenaire de confiance en sécurité et conformité.
Qu'est-ce que l'ISO/IEC 27001:2022 ?
ISO/IEC 27001:2022 est la norme internationalement reconnue pour établir, mettre en œuvre, maintenir et améliorer continuellement un Système de Management de la Sécurité de l'Information (SMSI). La mise à jour de 2022 renforce les exigences autour des contrôles de sécurité basés sur les risques, de l'accès centré sur l'identité pour les identités humaines et machines, de la gouvernance rigoureuse des identifiants et de la surveillance continue des activités privilégiées.
La norme révisée introduit des attentes accrues pour gérer les identifiants éphémères ou de courte durée, imposer une gouvernance d'identité et d'accès cohérente, sécuriser les comptes privilégiés et assurer une auditabilité unifiée et traçable sur les infrastructures hybrides et basées sur le nuage. Ces changements augmentent le besoin de solutions modernes pouvant prendre en charge des environnements TI dynamiques et distribués.
Cette cartographie résume où et comment les produits Devolutions peuvent aider les organisations à aborder les aspects techniques des contrôles ISO/IEC 27001:2022—en particulier ceux liés à l'accès à distance sécurisé, à la gestion des identifiants privilégiés, à la gouvernance des identités et à l'auditabilité complète. Ce n'est pas un remplacement pour la mise en œuvre d'un SMSI complet, mais cela fournit des conseils sur la façon dont les outils Devolutions peuvent soutenir vos efforts de conformité.
5. Contrôles organisationnels
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
5.3 Séparation des tâches
« Les tâches conflictuelles et les zones de responsabilité conflictuelles doivent être séparées. »
Séparation des rôles, contrôle d'accès basé sur les rôles
5.9 Inventaire des informations et autres actifs associés
« Un inventaire des informations et autres actifs associés, incluant les propriétaires, doit être développé et maintenu. »
Inventaire de l'accès, des identités et des sessions
5.15 Contrôle d'accès
« Des règles pour contrôler l'accès physique et logique à l'information et aux autres actifs associés doivent être établies et mises en place en fonction des exigences de sécurité de l'information et des affaires. »
Contrôle d'accès logique, PAM, permissions fines
5.16 Gestion des identités
« Le cycle de vie complet des identités doit être géré. »
Intégration avec AD, Azure AD, SCIM, SSO
5.17 Informations d'authentification
« L'allocation et la gestion des informations d'authentification doivent être contrôlées par un processus de gestion, incluant le conseil au personnel sur la manière appropriée de manipuler les informations d'authentification. »
Coffre chiffré, rotation des mots de passe, AMF
5.18 Droits d'accès
« Les droits d'accès aux informations et autres actifs associés doivent être provisionnés, révisés, modifiés et supprimés conformément à la politique spécifique de l'organisation et aux règles de contrôle d'accès. »
Gestion du cycle de vie des accès
5.23 Sécurité de l'information pour l'utilisation des services infonuagiques
« Des processus pour l'acquisition, l'utilisation, la gestion et la sortie des services infonuagiques doivent être établis en accord avec les exigences de sécurité de l'information de l'organisation. »
Gestion de l'accès infonuagique, gestion des secrets, tunnelisation sécurisée
5.24 Planification et préparation à la gestion des incidents de sécurité de l'information
« L'organisation doit planifier et se préparer à gérer les incidents de sécurité de l'information en définissant, établissant et communiquant des processus, rôles et responsabilités de gestion des incidents de sécurité de l'information. »
Piste d'audit, journalisation, disponibilité en cas d'incident
5.25 Évaluation et décision sur les incidents de sécurité de l'information
« L'organisation doit évaluer les événements de sécurité de l'information et décider s'ils doivent être classés comme incidents de sécurité de l'information. »
Détection/analyse via les journaux
5.26 Réponse aux incidents de sécurité de l'information
« Les incidents de sécurité de l'information doivent être traités conformément aux procédures documentées. »
Actions de remédiation (rotation des secrets), gestion des incidents
5.27 Apprentissage des incidents de sécurité de l'information
« Les connaissances acquises à partir des incidents de sécurité de l'information doivent être utilisées pour renforcer et améliorer les contrôles de sécurité de l'information. »
Historique d'audit pour encourager les améliorations
5.28 Collecte de preuves
« L'organisation doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux incidents de sécurité de l'information. »
Enregistrement de la session, journaux horodatés
6. Contrôles liés aux personnes
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
6.7 Travail à distance
« Des mesures de sécurité doivent être mises en œuvre lorsque le personnel travaille à distance pour protéger les informations consultées, traitées ou stockées en dehors des locaux de l'organisation. »
Accès à distance sécurisé, AMF, tunnels sécurisés
7. Contrôles physiques
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
7.10 Supports de stockage
« Les supports de stockage doivent être gérés tout au long de leur cycle de vie, de l'acquisition à l'utilisation, au transport et à l'élimination, conformément au schéma de classification et aux exigences de gestion de l'organisation. »
Remplacer le stockage local par un coffre chiffré central
8. Contrôles technologiques
Contrôles ISO27001
Fonctionnalité Devolutions
Produits associés
8.1 Appareils de point de terminaison de l'utilisateur
« Les informations stockées sur, traitées par ou accessibles via les points de terminaison des utilisateurs doivent être protégées. »
Pas de secrets locaux; injection des identifiants
8.2 Droits d'accès privilégiés
« L'allocation et l'utilisation des droits d'accès privilégiés doivent être restreintes et gérées. »
Gestion complète PAM, enregistrement de la session
8.3 Restriction de l'accès à l'information
« L'accès à l'information et aux autres actifs associés doit être restreint conformément à la politique spécifique au sujet en matière de contrôle de l'accès. »
Contrôle d'accès basé sur les rôles, segmentation
8.4 Accès au code source
« L'accès en lecture et en écriture au code source, aux outils de développement et aux bibliothèques logicielles doit être géré de manière appropriée. »
Stockage sécurisé des secrets DevOps et CI/CD
8.5 Authentification sécurisée
« Les technologies et procédures d'authentification sécurisée doivent être mises en œuvre sur la base des restrictions d'accès à l'information et de la politique spécifique au sujet en matière de contrôle de l'accès. »
AMF, FIDO2, OTP, push
8.7 Protection contre les logiciels malveillants
« La protection contre les logiciels malveillants doit être mise en œuvre et soutenue par une sensibilisation appropriée des utilisateurs. »
Réduction du hameçonnage via l'injection des identifiants
8.9 Gestion des configurations
« Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et révisées. »
Standardisation des connexions et de la gestion de l'accès
8.11 Masquage de données
« Le masquage de données doit être utilisé conformément à la politique spécifique à l'organisation sur le contrôle d'accès et d'autres politiques spécifiques, ainsi qu'aux exigences opérationnelles, tout en tenant compte de la législation applicable. »
Injection des identifiants (secret jamais révélé), contrôle d'accès basé sur les rôles
8.12 Prévention des fuites de données
« Les mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et à tout autre dispositif traitant, stockant ou transmettant des informations sensibles. »
Coffre + mandataire de session, contrôle d'accès basé sur les rôles
8.13 Sauvegarde de l'information
« Les copies de sauvegarde des informations, logiciels et systèmes doivent être maintenues et régulièrement testées conformément à la politique spécifique au sujet agréée sur la sauvegarde. »
Sauvegardes chiffrées DVLS/Hub
8.15 Journalisation
« Les journaux qui enregistrent les activités, exceptions, défauts et autres événements pertinents doivent être produits, stockés, protégés et analysés. »
Piste d'audit complète
8.16 Surveillance des activités
« Les réseaux, systèmes et applications doivent être surveillés pour détecter les comportements anormaux et les mesures appropriées doivent être prises pour évaluer les éventuels incidents de sécurité de l'information. »
Surveillance + enregistrement de la session
8.18 Utilisation des programmes utilitaires privilégiés
« L'utilisation des programmes utilitaires capables de contourner les contrôles des systèmes et applications doit être restreinte et rigoureusement contrôlée. »
PAM, restrictions d'outils d'administration
8.22 Ségrégation des réseaux
« Les groupes de services d'information, utilisateurs et systèmes d'information doivent être séparés dans les réseaux de l'organisation. »
Segmentation via Gateway
8.24 Utilisation de la cryptographie
« Les règles pour l'utilisation efficace de la cryptographie, y compris la gestion des clés cryptographiques, doivent être définies et mises en œuvre. »
Chiffrement AES-256, protocole TLS 1.2+
8.25 Cycle de vie de développement sécurisé
« Des règles pour le développement sécurisé des logiciels et des systèmes doivent être établies et appliquées. »
Gestion des secrets dev/test/prod
8.29 Test de sécurité en développement et en acceptation
« Les processus de test de sécurité doivent être définis et mis en œuvre dans le cycle de vie du développement. »
Secrets de test sécurisés
8.31 Séparation des environnements de développement, de test et de production
« Les environnements de développement, de test et de production doivent être séparés et sécurisés. »
Séparation logique via coffres / contrôle d'accès basé sur les rôles
8.32 Gestion des changements
« Les changements apportés aux installations de traitement de l'information et aux systèmes d'information doivent être soumis à des procédures de gestion des changements. »
Piste d'audit et traçabilité des changements
8.33 Informations de test
« Les informations de test doivent être sélectionnées, protégées et gérées de manière appropriée. »
Protection des secrets de test
Ressources
Explorez plus d'informations et d'outils pour vous aider à rester au top de votre jeu de sécurité TI.
Comprendre les CVE : Un élément clé pour protéger votre organisation
Lire maintenant
Combler les lacunes de sécurité TI avec PAM dirigé par TI
Regarder à la demande
Abonnez-vous à notre infolettre
Rejoignez nos listes de diffusion pour recevoir des nouvelles du secteur, des mises à jour de produits, des conseils rapides, des offres spéciales et plus encore.