Détection et prévention dans le management de la sécurité de l'information

• Les cyberattaques restent trop longtemps indétectées
• La nouvelle norme ISO/IEC 27001:202 2 - changements clés
• Trois nouveaux contrôles pour la détection et la prévention
• Résumé technique
• Que signifie la mise à jour pour votre certification ?
• ISMS de pointe avec l’expertise de DQS

La mise en œuvre des mesures de l'annexe A dans la version actuelle est soutenue par les lignes directrices de mise en œuvre de structure identique de la norme ISO/IEC 27002:2022, qui ont déjà été mises à jour en février. Des contrôles génériques pour la prévention des attaques stratégiques et une détection plus rapide sont nouvellement inclus.

Trois nouveaux contrôles pour la détection et la prévention

Les 93 mesures désormais de l'Annexe A de la norme ISO/IEC 27001:2022 sont désormais réorganisées dans le cadre de la mise à jour en quatre thèmes.

• Mesures organisationnelles,
• Mesures personnelles,
• Mesures physiques et
• Mesures technologiques.

Trois des onze contrôles de sécurité des informations nouvellement introduits concernent la prévention et la détection rapide des cyberattaques. Ces trois contrôles sont

• 5.7 Renseignements sur les menaces (organisationnelles).
• 8.16 Activités de surveillance (technologique)
• 8.23 Filtrage Web (technologique).

Ci-dessous, nous examinerons de plus près ces 3 nouveaux contrôles.

Renseignements sur les menaces

Le contrôle organisationnel 5.7 traite de la collecte et de l'analyse systématiques d'informations sur les menaces pertinentes. Le but de cette mesure est de sensibiliser les organisations à leur propre situation de menace afin qu'elles puissent ensuite prendre les mesures appropriées pour atténuer le risque. Les données sur les menaces doivent être analysées de manière structurée selon trois aspects : stratégique, tactique et opérationnel.

L'analyse stratégique des menaces fournit un aperçu de l'évolution du paysage des menaces, comme les types d'attaques et les acteurs (par exemple, les acteurs motivés par l'État, les cybercriminels, les attaquants sous contrat, les hacktivistes). Les agences gouvernementales nationales et internationales (telles que BSI - Office fédéral allemand pour la sécurité de l'information, enisa - Agence de l'Union européenne pour la cybersécurité, le Département américain de la sécurité intérieure ou le NIST - National Institute of Standards and Technology), ainsi que les organisations à but non lucratif et les organismes concernés. forums, fournissent des renseignements bien documentés sur les menaces dans tous les secteurs et infrastructures critiques.

Les cyberattaques restent trop longtemps indétectées

La valeur éminente des informations et des données dans le monde des affaires du 21e siècle oblige de plus en plus les entreprises et les organisations à se concentrer sur la sécurité des informations et à investir dans la protection systématique de leurs actifs numériques. Pourquoi? Dans des environnements de menaces dynamiques, les tactiques des attaquants deviennent de plus en plus sophistiquées et à plusieurs niveaux, ce qui entraîne de graves dommages à l'image et à la réputation des entreprises concernées et des milliards de dollars de pertes économiques annuelles dans le monde entier.

Les experts s'accordent à dire qu'il n'existe plus de protection complète contre les cyberattaques, ne serait-ce qu'en raison du facteur humain d'incertitude. Cela rend la détection précoce des attaques potentielles et réelles d’autant plus importante afin de limiter leur vecteur latéral dans les réseaux d’entreprise et de maintenir le nombre de systèmes compromis aussi bas que possible. Mais il y a encore un énorme rattrapage à faire dans ce domaine : les recherches menées dans le cadre du projet "IBM" Coût d'une violation de données 2022 " Une étude montre qu'il a fallu en moyenne 277 jours pour détecter et contenir une attaque en 2022.

La nouvelle ISO 27001:2022

Pour aider les entreprises et les organisations à mettre en place un cadre contemporain et normalisé pour les systèmes de gestion de la sécurité de l'information, l'ISO a publié la nouvelle norme ISMS ISO/IEC 27001:2022 le 25 octobre 2022. L'annexe A fournit des contrôles/mesures qui peuvent être utilisés dans un contexte spécifique à l'entreprise. base pour faire face aux risques liés à la sécurité de l’information.

Afin de détecter ce comportement inhabituel, les activités concernées doivent être surveillées conformément aux exigences commerciales et de sécurité de l'information et toute anomalie doit être comparée, entre autres, aux données de menace existantes (voir ci-dessus, exigence 5.7). Les aspects suivants sont pertinents pour le système de surveillance :

• Trafic réseau, système et applicatif entrant et sortant,
• Accès aux systèmes, serveurs, équipements réseaux, systèmes de surveillance, applications critiques, etc...,
• Fichiers de configuration système et réseau au niveau administratif ou critique pour la mission ;
• Journaux des outils de sécurité [par exemple, antivirus, systèmes de détection d'intrusion (IDS), système de prévention des intrusions (IPS), filtres Web, pare-feu, prévention des fuites de données],
• Journaux d'événements liés aux activités du système et du réseau,
• Vérification que le code exécutable d'un système est intègre et autorisé,
• Utilisation des ressources, par exemple puissance du processeur, capacité du disque, utilisation de la mémoire, bandes passantes.

Les exigences de base pour un suivi fonctionnel des activités sont une infrastructure IT/OT configurée de manière propre et transparente et des réseaux IT/OT fonctionnant correctement. Tout changement par rapport à cet état de base est détecté comme une menace potentielle pour la fonctionnalité et donc comme une anomalie. Selon la complexité d'une infrastructure, la mise en œuvre de cette mesure constitue un défi majeur malgré les solutions des fournisseurs pertinentes. L'importance des systèmes de détection des anomalies a été reconnue presque simultanément avec l'exigence 8.16 de la norme ISO/IEC 27002:2022 pour les opérateurs d'infrastructures dites critiques. Ainsi, dans le cadre des réglementations légales pertinentes au niveau national, il existe une obligation pour celles-ci d'appliquer efficacement et dans des délais ce que l'on appelle des systèmes de détection des attaques.

Filtrage Web

Internet est à la fois une bénédiction et une malédiction. L’accès à des sites Web douteux continue d’être une porte d’entrée pour les contenus malveillants et les logiciels malveillants. Le contrôle de sécurité des informations 8.23 Filtrage Web a pour objectif préventif de protéger les propres systèmes d'une organisation contre l'intrusion de logiciels malveillants et d'empêcher l'accès aux ressources Web non autorisées. Les organisations doivent établir des règles pour une utilisation sûre et appropriée des ressources en ligne à cette fin, y compris des restrictions d'accès obligatoires aux sites Web et aux applications Web indésirables ou inappropriés. L'accès aux types de sites Web suivants doit être bloqué par l'organisation :

• Sites Web dotés d'une fonction de téléchargement - à moins que cela ne soit nécessaire pour des raisons commerciales légitimes,
• Sites Internet malveillants connus ou suspectés,
• Serveurs de commande et de contrôle,
• Sites Internet malveillants identifiés comme tels à partir des données sur les menaces (voir également mesure 5.7),
• Sites Web au contenu illégal.

La mesure de filtrage du Web ne fonctionne réellement qu'avec un personnel formé et suffisamment conscient de l'utilisation sûre et appropriée des ressources en ligne.

Les renseignements tactiques sur les menaces et leur évaluation fournissent des évaluations des méthodes, des outils et des technologies des attaquants.

L'évaluation opérationnelle de menaces spécifiques fournit des informations détaillées sur des attaques spécifiques, y compris des indicateurs techniques, par exemple, actuellement, l'augmentation extrême des cyberattaques par ransomware et ses variantes en 2022.

L’analyse des menaces peut fournir une assistance des manières suivantes :

• De manière procédurale pour intégrer les données sur les menaces dans le processus de gestion des risques,
• Techniquement préventif et détection, par exemple en mettant à jour les règles de pare-feu, les systèmes de détection d'intrusion (IDS), les solutions anti-malware,
• Avec des informations d'entrée pour des procédures de test spécifiques et des techniques de test contre la sécurité des informations.

La qualité des données du contrôle organisationnel 5.7 pour déterminer la situation de menace et l'analyser affecte directement les deux contrôles techniques pour les activités de surveillance (8.16) et le filtrage Web (8.23) discutés ci-dessous, qui sont également nouveaux dans la norme ISO/IEC 27002.

Activités de surveillance

Le contrôle de sécurité de l'information détective et correctif 8.16 sur la surveillance technique des activités se concentre sur la détection des anomalies comme méthode de prévention des menaces. Les réseaux, les systèmes et les applications se comportent selon des modèles attendus, tels que le débit des données, les protocoles, les messages, etc. Tout changement ou écart par rapport à ces modèles attendus est détecté comme une anomalie.

Conclusion technique

Les nouveaux contrôles de détection et de prévention décrits ici ont un rôle clé à jouer dans la défense contre la cybercriminalité organisée, et ils ont trouvé à juste titre leur place dans les versions actuelles des normes ISO/IEC 27001 et ISO/IEC 27002. Avec la mise à jour et l'analyse continues des normes disponibles informations sur les menaces, surveillance approfondie de l'activité dans leurs propres infrastructures informatiques et sécurisation de leurs propres systèmes contre les sites Web douteux, les entreprises renforcent durablement leur protection contre l'intrusion de malwares dangereux. Ils se mettent également en mesure de prendre à un stade précoce des mesures de réponse appropriées.

Les entreprises et les organisations doivent désormais mettre en œuvre les trois contrôles/mesures présentés en conséquence et les intégrer de manière cohérente dans leur SMSI afin de répondre aux exigences des futurs audits de certification. DQS possède plus de 35 ans d'expertise complète dans le domaine des audits et certifications impartiaux - et est heureux de vous accompagner dans la gestion du changement de votre système de gestion de la sécurité de l'information conformément à la norme ISO/IEC 27001:2022.

Que signifie la mise à jour pour votre certification ?

La norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022. Cela entraîne les délais et délais suivants pour la transition des utilisateurs :

Date limite pour les audits initiaux/recertifications selon « l'ancienne » ISO 27001:2013

• Après le 30 avril 2024, DQS réalisera des audits initiaux et de recertification uniquement selon la nouvelle norme ISO/IEC 27001:2022.

Transition de tous les certificats existants selon « l'ancienne » ISO/IEC 27001:2013 vers la nouvelle ISO/IEC 27001:2022

• Il y a une période de transition de 3 ans à compter du 31 octobre 2022
• Les certificats délivrés selon ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 sont valables jusqu'au 31 octobre 2025 au plus tard ou doivent être retirés à cette date.

ISMS de pointe avec l’expertise de DQS

Lors de la transition vers la nouvelle version de la norme ISO/IEC 27001, les organisations ont encore du temps. Les certificats actuels basés sur l'ancienne norme perdront leur validité au 31.10.2025. Néanmoins, il est conseillé de traiter à un stade précoce les nouvelles exigences du SMSI, de lancer des processus de changement appropriés et de les mettre en œuvre en conséquence.

En tant qu'experts en audits et certifications avec plus de trois décennies d'expérience, nous vous accompagnons dans la mise en œuvre de la nouvelle norme. Renseignez-vous auprès de nos nombreux auditeurs expérimentés sur les changements les plus importants et leur pertinence pour votre organisation - et faites confiance à notre expertise. Ensemble, nous discuterons de votre potentiel d’amélioration et vous accompagnerons jusqu’à l’obtention du nouveau certificat. Nous avons hâte d'avoir de tes nouvelles.