Descriptif : 

Ce contrôle nécessite que vous rassembliez des informations sur les menaces et que vous les analysiez, afin de prendre les mesures d’atténuation appropriées. Ces informations peuvent concerner des attaques particulières, des méthodes et des technologies utilisées par les attaquants et/ou des tendances d’attaque. Vous devez recueillir ces informations en interne, ainsi qu’à partir de sources externes telles que les rapports des fournisseurs, les annonces des agences gouvernementales, etc. 

Technologie : 

Les petites entreprises n’ont probablement pas besoin de nouvelles technologies liées à ce contrôle ; ils devront plutôt trouver comment extraire les informations à propos de ces menaces à partir de leurs systèmes existants. Si elles n’en ont pas déjà un, les grandes entreprises devront acquérir un système qui les alertera des nouvelles menaces (ainsi que des vulnérabilités et des incidents). Les entreprises de toutes tailles devront utiliser les informations sur les menaces pour renforcer leurs systèmes. 

Organisation/processus : 

Vous devez définir les processus de collecte et d’utilisation des informations sur les menaces pour introduire des contrôles préventifs dans vos systèmes informatiques, améliorer votre évaluation des risques et introduire de nouvelles méthodes de test de sécurité. 

Les personnes : 

Sensibilisez les employés à l’importance d’envoyer des notifications de menace et formez-les sur la manière de communication et à qui ces menaces doivent-elles être communiquées. 

Documents : 

 Aucune documentation n’est requise par la norme ISO 27001 ; cependant, vous pouvez inclure des règles sur les renseignements à propos des menaces dans les documents suivants : 

• Politique de sécurité des fournisseurs – Définissez comment les informations sur les menaces sont communiquées entre l’entreprise et ses fournisseurs et partenaires. 
• Procédure de gestion des incidents – Définissez comment les informations sur les menaces sont communiquées en interne dans l’entreprise. 
• Procédures opérationnelles de sécurité – Définissez comment collecter et traiter les informations sur les menaces.

Descriptif : 

Ce contrôle vous oblige à définir des exigences de sécurité pour les services cloud afin d’avoir une meilleure protection de vos informations dans le cloud. Cela inclut l’achat, l’exploitation, la gestion et la résiliation de l’utilisation des services cloud. 

Technologie : 

Dans la plupart des cas, une nouvelle technologie ne sera pas nécessaire, car la majorité des services cloud disposent déjà de fonctions de sécurité. Dans certains cas, vous devrez peut-être mettre à niveau votre service vers un service plus sécurisé, tandis que dans de rares cas, vous devrez changer de fournisseur de cloud s’il ne dispose pas de fonctionnalités de sécurité. Dans la plupart des cas, le seul changement requis consistera à utiliser les fonctionnalités de sécurité cloud existantes de manière plus approfondie. 

Organisation/processus : 

Vous devez mettre en place un processus pour déterminer les exigences de sécurité pour les services cloud et pour déterminer les critères de sélection d’un fournisseur de cloud ; en outre, vous devez définir un processus pour déterminer l’utilisation acceptable du cloud, ainsi que les exigences de sécurité lors de l’annulation de l’utilisation d’un service cloud. 

Les personnes :  

Sensibilisez les employés aux risques de sécurité liés à l’utilisation des services cloud et formez-les à l’utilisation des fonctionnalités de sécurité des services cloud. 

Documents : 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, si vous êtes une petite entreprise, vous pouvez inclure des règles à propos des services cloud dans la politique de sécurité des fournisseurs. Les grandes entreprises pourraient développer une politique distincte qui se concentrerait spécifiquement sur la sécurité des services cloud. 

Descriptif: 

Ce contrôle nécessite que votre système d’information soit prêt à faire face à d’éventuelles perturbations afin que les informations et les actifs requis soient disponibles en cas de besoin. Cela comprend la planification de la préparation, la mise en œuvre, la maintenance et les tests. 

Technologie: 

Si vous n’avez pas investi dans des solutions qui permettent la résilience et la redondance de vos systèmes, vous devrez peut-être introduire une telle technologie – cela peut aller de la sauvegarde des données jusqu’à la mise en place de liens de communication redondants. Ces solutions doivent être planifiées en fonction de votre évaluation des risques et de la rapidité de récupération de vos données et vos systèmes.

Organisation/processus: 

Outre le processus de planification, qui doit prendre en compte les risques et les besoins de l’entreprise en matière de reprise, vous devez également mettre en place le processus de maintenance de votre système d’information et le processus de test de vos plans de reprise après sinistre et/ou de continuité des activités. 

 Les personnes :

Sensibilisez les employés aux perturbations potentielles qui pourraient survenir et formez-les sur la façon de maintenir les systèmes d’information afin qu’ils soient prêts pour une éventuelle perturbation. 

Documents: 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, si vous êtes une petite entreprise, vous pouvez inclure la préparation aux TIC dans les documents suivants : 

• Plan de reprise après sinistre – planification de la préparation, mise en œuvre et maintenance 
• Rapport d’audit interne – test de préparation 

Si vous êtes une grande organisation ou si vous avez mis en œuvre  la norme ISO 22301 , vous devez documenter l’état de préparation via l’analyse d’impact sur l’activité (BIA : Business Impact Analysis), la stratégie de continuité d’activité, le plan de continuité d’activité et le plan et rapport de test de continuité d’activité. 

Descriptif : 

Ce contrôle vous oblige à surveiller les zones sensibles afin de n’autoriser l’accès qu’aux seules personnes autorisées. Cela peut inclure vos bureaux, installations de production, entrepôts et autres locaux. 

Technologie : 

En fonction de vos risques, vous devrez peut-être mettre en place des systèmes d’alarme ou de surveillance vidéo ; vous pouvez également décider de mettre en œuvre une solution non technique comme une personne observant la zone (par exemple, un garde). 

Organisation/processus : 

Vous devez définir qui est en charge de la surveillance des zones sensibles et quels canaux de communication utiliser pour signaler un incident. 

Les personnes : 

Sensibilisez les employés aux risques d’accès physique non autorisée dans les zones sensibles et formez-les à l’utilisation de la technologie de surveillance. 

Documents : 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, vous pouvez inclure la surveillance de la sécurité physique dans les documents suivants : 

• Procédures qui réglementent la sécurité physique – ce qui est surveillé et qui est responsable de la surveillance 
• Procédure de gestion des incidents – comment signaler et gérer un incident de sécurité physique 

Descriptif : 

Ce contrôle vous oblige à gérer l’ensemble du cycle de configuration de la sécurité de votre système d’information afin d’assurer un niveau de sécurité adéquat et d’éviter toute modification non autorisée. Cela inclut la définition de la configuration, la mise en œuvre, la surveillance et la révision. 

Technologie : 

Le système d’information dont la configuration doit être gérée peut inclure des logiciels, du matériel, des services ou des réseaux. Les petites entreprises seront probablement en mesure de traiter la gestion de la configuration sans aucun outil supplémentaire, tandis que les grandes entreprises ont probablement besoin de logiciels qui appliquent des configurations définies. 

Organisation/processus : 

Vous devez mettre en place un processus de proposition, de révision et d’approbation des configurations de sécurité, ainsi que les processus de gestion et de surveillance des configurations. 

Les personnes : 

Faites comprendre aux employés pourquoi un contrôle strict de la configuration de la sécurité est nécessaire et formez-les à la définition et à la mise en œuvre des configurations de sécurité. 

 Documents : 

La norme ISO 27001 exige que ce contrôle soit documenté. Si vous êtes une petite entreprise, vous pouvez documenter les règles de configuration dans vos procédures opérationnelles de sécurité. Les grandes entreprises auront généralement une procédure distincte qui définit le processus de configuration. 

Vous aurez généralement des spécifications distinctes qui définissent les configurations de sécurité pour chacun de vos systèmes, afin d’éviter les mises à jour fréquentes des documents mentionnés au paragraphe précédent. De plus, toutes les modifications apportées aux configurations doivent être consignées pour permettre une piste d’audit. 

Descriptif : 

Ce contrôle vous oblige à supprimer les données lorsqu’elles ne sont plus nécessaires, afin d’éviter la fuite d’informations sensibles et de permettre le respect de la confidentialité et d’autres exigences. Cela peut inclure la suppression dans vos systèmes informatiques, supports amovibles ou services cloud. 

Technologie : 

Vous devez utiliser des outils de suppression sécurisée, conformément aux exigences réglementaires ou contractuelles, ou conformément à votre évaluation des risques. 

Organisation/processus . Vous devez mettre en place un processus qui définira quelles données doivent être supprimées et quand, et définira les responsabilités et les méthodes de suppression. 

Les personnes : 

Faites comprendre aux employés pourquoi il est important de supprimer des informations sensibles et formez-les sur la façon de le faire correctement. 

Documents : 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, vous pouvez inclure des règles sur la suppression des informations dans les documents suivants : 

• Politique d’élimination et de destruction – comment les informations sur les supports amovibles sont supprimées 
• Politique d’utilisation acceptable – comment les utilisateurs réguliers doivent supprimer les informations sensibles sur leurs ordinateurs et appareils mobiles 
• Procédures d’exploitation de sécurité – comment les administrateurs système doivent supprimer les informations sensibles sur les serveurs et les réseaux 

Les grandes organisations peuvent également avoir une politique de conservation des données qui définit la durée pendant laquelle chaque type d’information est nécessaire et quand elle doit être supprimée. 

Descriptif : 

Ce contrôle nécessite que vous utilisiez le masquage des données avec le contrôle d’accès afin de limiter l’exposition des informations sensibles. Cela signifie principalement des données personnelles, car elles sont fortement réglementées par des réglementations sur la confidentialité, mais cela pourrait également inclure d’autres catégories de données sensibles. 

Technologie : 

Les entreprises peuvent utiliser des outils de « pseudonymisation » ou « d’anonymisation » afin de masquer les données si cela est requis par la confidentialité ou d’autres réglementations. D’autres méthodes telles que le cryptage ou l’obscurcissement peuvent également être utilisées. 

Organisation/processus : 

Vous devez mettre en place des processus qui détermineront quelles données doivent être masquées, qui peut accéder à quel type de données et quelles méthodes seront utilisées pour masquer les données. 

Les personnes :

Faites comprendre aux employés pourquoi le masquage des données est important et formez-les sur les données qui doivent être masquées et comment. 

Documents: 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, vous pouvez inclure des règles sur le masquage des données dans les documents suivants : 

• Politique de classification des informations – déterminez quelles données sont sensibles et quelles catégories de données doivent être masquées 
• Politique de contrôle d’accès – définit qui peut accéder à quel type de données masquées ou non masquées 
• Politique de développement sécurisé – définit la technologie de masquage des données 

Les grandes entreprises, ou les entreprises qui doivent se conformer au règlement général de l’Union européenne sur la protection des données (RGPD de l’UE) et aux réglementations similaires en matière de confidentialité, doivent également disposer des documents suivants : 

• Politique de confidentialité / Politique de protection des données personnelles – responsabilités générales pour le masquage des données 
• Politique d’anonymisation et de « pseudonymisation » – détails sur la façon dont le masquage des données est mis en œuvre dans le contexte d’une réglementation sur la confidentialité

Descriptif : 

Ce contrôle vous oblige à appliquer diverses mesures de fuite de données afin d’éviter la divulgation non autorisée d’informations sensibles et, si de tels incidents se produisent, de les détecter en temps opportun. Cela inclut les informations contenues dans les systèmes informatiques, les réseaux ou tout autre appareil. 

Technologie : 

À cette fin, vous pouvez utiliser des systèmes pour surveiller les canaux de fuite potentiels, y compris les e-mails, les périphériques de stockage amovibles, les appareils mobiles, etc., et les systèmes qui empêchent la fuite d’informations – par exemple, en désactivant le téléchargement vers le stockage amovible, la mise en quarantaine des e-mails, en limitant le copier-coller. des données, restriction du chargement des données vers des systèmes externes, cryptage, etc. 

Organisation/processus : 

Vous devez mettre en place des processus qui déterminent la sensibilité des données, évaluer les risques de diverses technologies (par exemple, les risques de prendre des photos d’informations sensibles avec un smartphone), surveiller les canaux présentant un potentiel de fuite de données et définir la technologie à utiliser pour bloquer l’exposition de données sensibles. 

 Les personnes :

Sensibilisez les employés au type de données sensibles qui sont traitées dans l’entreprise et pourquoi il est important de prévenir les fuites, et formez-les sur ce qui est autorisé et ce qui n’est pas autorisé lors de la manipulation de données sensibles. 

Documents : 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, vous pouvez inclure des règles sur la prévention des fuites de données dans les documents suivants : 

• Politique de classification des informations – plus les données sont sensibles, plus la prévention doit être appliquée 
• Procédures opérationnelles de sécurité – quels systèmes de surveillance et de prévention doivent être utilisés par les administrateurs 
• Politique d’utilisation acceptable – ce qui est et ce qui n’est pas autorisé pour les utilisateurs réguliers 

Descriptif : 

Ce contrôle nécessite que vous surveilliez vos systèmes afin de reconnaître les activités inhabituelles et, si nécessaire, d’activer la réponse appropriée aux incidents. Cela inclut la surveillance de vos systèmes informatiques, de vos réseaux et de vos applications. 

Technologie : 

Pour vos réseaux, systèmes et applications, vous pouvez surveiller les éléments suivants : les journaux des outils de sécurité, les journaux des événements, qui accède à quoi, les activités de vos principaux administrateurs, le trafic entrant et sortant, la bonne exécution du code et la façon dont les ressources système sont utilisées et leur performance

Organisation/processus : 

Vous devez mettre en place un processus qui définit les systèmes qui seront surveillés ; comment les responsabilités de surveillance sont déterminées ; et les méthodes de surveillance, l’établissement d’une base de référence pour les activités inhabituelles et de signalement des événements et des incidents. 

 Les personnes : 

Informez les employés que leurs activités seront surveillées et expliquez ce qui est et ce qui n’est pas considéré comme un comportement normal. Former les administrateurs informatiques à l’utilisation des outils de surveillance. 

Documents : 

Aucune documentation n’est requise par la norme ISO 27001 ; cependant, si vous êtes une petite entreprise, vous pouvez inclure des règles sur la surveillance dans les procédures opérationnelles de sécurité. Les grandes entreprises pourraient développer une procédure distincte qui décrirait comment surveiller leurs systèmes. 

De plus, il serait utile de tenir des registres des activités de surveillance. 

Descriptif : 

Ce contrôle vous oblige à gérer les sites Web auxquels vos utilisateurs accèdent, afin de protéger vos systèmes informatiques. De cette façon, vous pouvez empêcher vos systèmes d’être compromis par un code malveillant et également empêcher les utilisateurs d’utiliser du contenu illégal provenant d’Internet. 

Technologie : 

Vous pouvez utiliser des outils qui bloquent l’accès à des adresses IP particulières, ce qui peut inclure l’utilisation d’un logiciel anti-malware. Vous pouvez également utiliser des méthodes non technologiques, comme développer une liste de sites Web interdits et demander aux utilisateurs de ne pas les visiter. 

Organisation/processus : 

Vous devez mettre en place des processus qui déterminent quels types de sites Web ne sont pas autorisés et comment les outils de filtrage Web sont maintenus. 

Les personnes : 

Sensibilisez les employés aux dangers de l’utilisation d’Internet et indiquez où trouver les consignes d’utilisation en toute sécurité, et formez vos administrateurs système à la manière d’effectuer le filtrage Web. 

Documents : 

Aucune documentation n’est requise par la norme ISO 27001 ; Toutefois, si vous êtes une petite entreprise, vous pouvez inclure des règles sur le filtrage Web dans les documents suivants : 

• Procédures d’exploitation de la sécurité – Définissez des règles pour les administrateurs système sur la façon de mettre en œuvre le filtrage Web. 
• Politique d’utilisation acceptable – Définissez des règles pour tous les utilisateurs sur ce qui est une utilisation acceptable d’Internet. 

Les grandes entreprises pourraient développer une procédure distincte qui décrirait comment le filtrage Web est effectué. 

Descriptif: 

Ce contrôle vous oblige à établir des principes de codage sécurisé et à les appliquer à votre développement logiciel afin de réduire les vulnérabilités de sécurité dans le logiciel. Cela pourrait inclure des activités avant, pendant et après le codage. 

Technologie: 

Vous utilisez éventuellement des outils pour maintenir un inventaire des bibliothèques, pour protéger le code source contre la falsification, pour consigner les erreurs et les attaques, et pour les tests. Vous pouvez également utiliser des composants de sécurité tels que l’authentification, le cryptage, etc. 

Organisation/processus: 

Vous devez mettre en place un processus pour définir la base minimale de codage sécurisé – à la fois pour le développement de logiciels internes et pour les composants logiciels de tiers, un processus de surveillance des menaces émergentes et des conseils sur le codage sécurisé, un processus pour décider quels outils et bibliothèques externes peuvent être utilisé, et un processus qui définit les activités effectuées avant le codage, pendant le codage, après le codage (révision et maintenance) et pour la modification du logiciel. 

Les personnes : 

Sensibilisez vos développeurs de logiciels à l’importance d’utiliser des principes de codage sécurisé et formez-les aux méthodes et outils de codage sécurisé. 

 Documents: 

Aucune documentation n’est requise par la norme ISO 27001 ; Toutefois, si vous êtes une petite entreprise, vous pouvez inclure des règles sur le codage sécurisé dans la politique de développement sécurisé. Les grandes entreprises peuvent développer des procédures distinctes de codage sécurisé pour chacun de leurs projets de développement de logiciels.