Détection et prévention dans la gestion de la sécurité de l'information

• Les cyberattaques restent trop longtemps indétectées
• La nouvelle norme ISO/IEC 27001:2022 - changements clés
• Trois nouveaux contrôles pour la détection et la prévention
• Résumé technique
• Que signifie la mise à jour pour votre certification ?
• Un SMSI à la pointe de la technologie avec l'expertise de DQS

La mise en œuvre des mesures de l'annexe A dans la version actuelle est étayée par les conseils de mise en œuvre de structure identique de la norme ISO/IEC 27002:2022, qui a déjà été mise à jour en février. Les contrôles génériques pour la prévention des attaques stratégiques et la détection plus rapide sont nouvellement inclus.

Trois nouveaux contrôles pour la détection et la prévention

Les 93 mesures de l'annexe A de la norme ISO/IEC 27001:2022 ont été réorganisées en quatre thèmes dans le cadre de la mise à jour

• Mesures organisationnelles,
• Mesures personnelles,
• Mesures physiques et
• Mesures technologiques.

Trois des onze contrôles de sécurité de l'information nouvellement introduits concernent la prévention et la détection rapide des cyberattaques. Ces trois contrôles sont les suivants

• 5.7 Renseignements sur les menaces (organisationnel).
• 8.16 Activités de surveillance (technologiques)
• 8.23 Filtrage du Web (technologique).

Nous allons examiner de plus près ces trois nouveaux contrôles.

Renseignements sur les menaces

Le contrôle organisationnel 5.7 porte sur la collecte et l'analyse systématiques d'informations sur les menaces pertinentes. L'objectif de cette mesure est de permettre aux organisations de prendre conscience de leur propre situation en matière de menaces, afin qu'elles puissent ensuite prendre les mesures appropriées pour atténuer le risque. Les données relatives aux menaces doivent être analysées de manière structurée selon trois aspects : stratégique, tactique et opérationnel.

L'analyse stratégique des menaces fournit des informations sur l'évolution des menaces, telles que les types d'attaques et les acteurs, par exemple les acteurs motivés par l'État, les cybercriminels, les attaquants contractuels, les hacktivistes. Les agences gouvernementales nationales et internationales (telles que le BSI - Office fédéral allemand pour la sécurité de l'information, l'enisa - Agence européenne pour la cybersécurité, le ministère américain de la sécurité intérieure ou le NIST - National Institute of Standards and Technology), ainsi que les organisations à but non lucratif et les forums pertinents, fournissent des informations bien documentées sur les menaces dans tous les secteurs d'activité et toutes les infrastructures critiques.

Les cyberattaques restent trop longtemps indétectées

La valeur éminente de l'information et des données dans le monde des affaires du 21e siècle oblige de plus en plus les entreprises et les organisations à se concentrer sur la sécurité de l'information et à investir dans la protection systématique de leurs actifs numériques. Pourquoi ? Dans un contexte de menaces dynamiques, les tactiques des attaquants deviennent de plus en plus sophistiquées et multicouches, ce qui se traduit par de graves atteintes à l'image et à la réputation des entreprises concernées et par des milliards de dollars de pertes économiques annuelles dans le monde entier.

Les experts s'accordent à dire qu'il n'existe plus de protection complète contre les cyberattaques, ne serait-ce qu'en raison du facteur humain de l'incertitude. Il est donc d'autant plus important de détecter rapidement les attaques potentielles et réelles afin de limiter leur vecteur latéral dans les réseaux d'entreprise et de maintenir le nombre de systèmes compromettables aussi bas que possible. Mais il y a encore beaucoup de retard à rattraper dans ce domaine : les recherches menées dans le cadre de l'étude"Cost of a data breach 2022" d'IBM montrent qu'il fallait en moyenne 277 jours pour détecter et contenir une attaque en 2022.

La nouvelle norme ISO 27001:2022

Pour aider les entreprises et les organisations à disposer d'un cadre contemporain et normalisé pour les systèmes de gestion de la sécurité de l'information, l'ISO a publié le 25 octobre 2022 la nouvelle norme ISO/IEC 27001:2022 sur les systèmes de gestion de la sécurité de l'information. L'annexe A fournit des contrôles/mesures qui peuvent être utilisés sur une base spécifique à l'entreprise pour faire face aux risques liés à la sécurité de l'information.

La mise en œuvre des mesures de l'annexe A dans la version actuelle est soutenue par les conseils de mise en œuvre de structure identique de la norme ISO/IEC 27002:2022, qui a déjà été mise à jour en février. Les contrôles génériques pour la prévention des attaques stratégiques et la détection plus rapide sont nouvellement inclus.

Trois nouveaux contrôles pour la détection et la prévention

Les 93 mesures de l'annexe A de la norme ISO/IEC 27001:2022 ont été réorganisées en quatre thèmes dans le cadre de la mise à jour

• Mesures organisationnelles,
• Mesures personnelles,
• Mesures physiques et
• Mesures technologiques.

Trois des onze contrôles de sécurité de l'information nouvellement introduits concernent la prévention et la détection rapide des cyberattaques. Ces trois contrôles sont les suivants

• 5.7 Renseignements sur les menaces (organisationnel).
• 8.16 Activités de surveillance (technologiques)
• 8.23 Filtrage du Web (technologique).

Nous allons examiner de plus près ces trois nouveaux contrôles.

Renseignements sur les menaces

Le contrôle organisationnel 5.7 porte sur la collecte et l'analyse systématiques d'informations sur les menaces pertinentes. L'objectif de cette mesure est de permettre aux organisations de prendre conscience de leur propre situation en matière de menaces, afin qu'elles puissent ensuite prendre les mesures appropriées pour atténuer le risque. Les données relatives aux menaces doivent être analysées de manière structurée selon trois aspects : stratégique, tactique et opérationnel.

L'analyse stratégique des menaces fournit des informations sur l'évolution des menaces, telles que les types d'attaques et les acteurs, par exemple les acteurs motivés par l'État, les cybercriminels, les attaquants contractuels, les hacktivistes. Les agences gouvernementales nationales et internationales (telles que le BSI - Office fédéral allemand pour la sécurité de l'information, l'enisa - Agence européenne pour la cybersécurité, le ministère américain de la sécurité intérieure ou le NIST - National Institute of Standards and Technology), ainsi que les organisations à but non lucratif et les forums pertinents, fournissent des informations bien documentées sur les menaces dans tous les secteurs d'activité et les infrastructures critiques.

Le renseignement tactique sur les menaces et son évaluation permettent d'évaluer les méthodes, les outils et les technologies des attaquants.

L'évaluation opérationnelle de menaces spécifiques fournit des informations détaillées sur des attaques spécifiques, y compris des indicateurs techniques, par exemple l'augmentation extrême des cyberattaques par ransomware et ses variantes en 2022.

L'analyse des menaces peut apporter un soutien de la manière suivante :

• D'un point de vue procédural, en intégrant les données relatives aux menaces dans le processus de gestion des risques,
• Sur le plan technique, pour la prévention et la détection, par exemple en mettant à jour les règles des pare-feu, les systèmes de détection d'intrusion (IDS), les solutions anti-malware,
• Avec des informations d'entrée pour des procédures de test spécifiques et des techniques de test pour la sécurité de l'information.

La qualité des données du contrôle organisationnel 5.7 pour déterminer la situation de la menace et l'analyser affecte directement les deux contrôles techniques pour les activités de surveillance (8.16) et le filtrage du web (8.23) discutés ci-dessous, qui sont également nouveaux dans l'ISO/CEI 27002.

Activités de surveillance

Le contrôle de sécurité de l'information 8.16 sur la surveillance technique des activités est axé sur la détection des anomalies en tant que méthode de prévention des menaces. Les réseaux, les systèmes et les applications se comportent selon des modèles attendus, tels que le débit de données, les protocoles, les messages, etc. Tout changement ou écart par rapport à ces modèles est détecté comme une anomalie.

Afin de détecter ce comportement inhabituel, les activités pertinentes doivent être surveillées conformément aux exigences de l'entreprise et de la sécurité de l'information, et toute anomalie doit être comparée aux données existantes sur les menaces, entre autres choses (voir ci-dessus, exigence 5.7). Les aspects suivants sont pertinents pour le système de surveillance :

• Le trafic entrant et sortant du réseau, des systèmes et des applications,
• l'accès aux systèmes, aux serveurs, aux équipements de réseau, aux systèmes de surveillance, aux applications critiques, etc,
• Fichiers de configuration du système et du réseau au niveau administratif ou critique ;
• journaux des outils de sécurité [par exemple, antivirus, systèmes de détection d'intrusion (IDS), systèmes de prévention d'intrusion (IPS), filtres web, pare-feu, prévention des fuites de données],
• les journaux d'événements relatifs aux activités du système et du réseau,
• Vérification de l'intégrité et de l'autorisation du code exécutable dans un système,
• l'utilisation des ressources, par exemple la puissance du processeur, la capacité du disque, l'utilisation de la mémoire, les bandes passantes.

Les conditions de base pour un contrôle efficace des activités sont une infrastructure IT/OT configurée de manière propre et transparente et des réseaux IT/OT fonctionnant correctement. Tout changement par rapport à cet état de base est détecté comme une menace potentielle pour la fonctionnalité et donc comme une anomalie. Selon la complexité de l'infrastructure, la mise en œuvre de cette mesure constitue un défi majeur malgré les solutions proposées par les fournisseurs. L'importance des systèmes de détection des anomalies a été reconnue presque simultanément avec l'exigence 8.16 de la norme ISO/IEC 27002:2022 pour les opérateurs d'infrastructures dites critiques. Ainsi, dans le cadre national des réglementations légales pertinentes, il existe une obligation pour ces derniers d'appliquer efficacement les systèmes de détection des attaques avec des délais.

Filtrage du web

Internet est à la fois une bénédiction et une malédiction. L'accès à des sites web douteux continue d'être une porte d'entrée pour les contenus malveillants et les logiciels malveillants. Le contrôle de sécurité de l'information 8.23 Filtrage du web a pour objectif préventif de protéger les systèmes d'une organisation contre l'intrusion de logiciels malveillants et d'empêcher l'accès à des ressources web non autorisées. Les organisations devraient établir des règles pour une utilisation sûre et appropriée des ressources en ligne à cette fin - y compris des restrictions d'accès obligatoires aux sites web et aux applications web non désirés ou inappropriés. L'accès aux types de sites web suivants doit être bloqué par l'organisation :

• les sites web dotés d'une fonction de téléchargement, à moins que cela ne soit nécessaire pour des raisons professionnelles légitimes
• Les sites web malveillants connus ou même soupçonnés d'être malveillants,
• les serveurs de commande et de contrôle,
• les sites web malveillants identifiés comme tels à partir des données sur les menaces (voir également la mesure 5.7),
• les sites web au contenu illégal.

La mesure de filtrage du web ne fonctionne réellement qu'avec un personnel formé et suffisamment sensibilisé à l'utilisation sûre et appropriée des ressources en ligne.

Conclusion technique

Les nouveaux contrôles de détection et de prévention décrits ici ont un rôle clé à jouer dans la défense contre la cybercriminalité organisée, et c'est à juste titre qu'ils ont trouvé leur place dans les versions actuelles des normes ISO/CEI 27001 et ISO/CEI 27002. Grâce à la mise à jour et à l'analyse continues des informations disponibles sur les menaces, à la surveillance étendue des activités dans leurs propres infrastructures informatiques et à la sécurisation de leurs propres systèmes contre les sites web douteux, les entreprises renforcent durablement leur protection contre l'intrusion de logiciels malveillants dangereux. Elles se mettent également en position d'initier des mesures de réponse appropriées à un stade précoce.

Les entreprises et les organisations doivent maintenant mettre en œuvre les trois contrôles/mesures présentés et les intégrer de manière cohérente dans leur SMSI afin de répondre aux exigences des futurs audits de certification. DQS dispose de plus de 35 ans d'expertise dans le domaine des audits et des certifications impartiaux - et est heureux de vous soutenir dans la gestion du changement de votre système de gestion de la sécurité de l'information conformément à la norme ISO/IEC 27001:2022.

Que signifie cette mise à jour pour votre certification ?

La norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022. Les échéances et les délais de transition pour les utilisateurs sont donc les suivants :

• Préparation à la certification ISO/IEC 27001:2022 est prévue pour juin/juillet 2023 (sous réserve de notre organisme d'accréditation DAkkS, Deutsche Akkreditierungsstelle GmbH).
• La dernière date pour les audits initiaux et de recertification selon l'"ancienne" norme ISO 27001:2013 est le 31 octobre 2023 Après le 31 octobre 2023, DQS effectuera des audits initiaux et de recertification uniquement selon la nouvelle norme ISO/IEC 27001:2022.
• Conversion de tous les certificats existants selon l'"ancienne" norme ISO/IEC 27001:2013 à la nouvelle norme ISO/IEC 27001:2022 : une période de transition de trois ans s'appliquera à partir du 31 octobre 2022. Les certificats délivrés selon ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 seront valables jusqu'au 31 octobre 2025 au plus tard ou devront être retirés à cette date.

Un SGSI à la pointe de la technologie grâce à l'expertise de DQS

Lors de la transition vers la nouvelle version de la norme ISO/IEC 27001, les organisations disposent encore d'un peu de temps. Les certificats actuels basés sur l'ancienne norme perdront leur validité le 31.10.2025. Néanmoins, il est conseillé d'aborder les nouvelles exigences du SMSI à un stade précoce, de lancer les processus de changement appropriés et de les mettre en œuvre en conséquence.

En tant qu'experts en matière d'audits et de certifications, forts d'une expérience de plus de trois décennies, nous vous assistons dans la mise en œuvre de la nouvelle norme. Informez-vous auprès de nos nombreux auditeurs expérimentés sur les changements les plus importants et leur pertinence pour votre organisation - et faites confiance à notre expertise. Nous discuterons ensemble de votre potentiel d'amélioration et vous soutiendrons jusqu'à ce que vous receviez le nouveau certificat. N'hésitez pas à nous contacter.