Mesures techniques en matière de sécurité de l'information

Contenu

• Les informations d’entreprise comme cible d’attaque convoitée
• Trois nouvelles mesures pour plus de sécurité des informations
• Suppression des informations
• Masquage des données
• Prévention des fuites de données
• Mesures techniques en matière de sécurité de l'information - une conclusion
• Que signifie la mise à jour pour votre certification ?
• DQS : votre partenaire compétent pour une sécurité des informations certifiée

Les informations d’entreprise sont une cible d’attaque convoitée

L'étude " Protection sociale 2022 " ( Protection des entreprises 2022 ) de l'association industrielle allemande Bitkom confirme que les pirates informatiques sont très conscients de la valeur économique des informations et des données dans le monde des affaires d'aujourd'hui : 36 % des entreprises interrogées ont déjà été touchées par le vol de données sensibles et d'informations numériques. Les cibles particulièrement populaires sont les données de communication (68 %) et les données clients (45 %).

Les dommages causés par le chantage, les violations de brevets et les pertes de ventes directement imputables au vol de données s'élèvent à plusieurs milliards d'euros par an.

Les entreprises et les organisations doivent renforcer davantage la protection lors du traitement de leurs données critiques. Des directives supplémentaires contribuent à améliorer encore le concept global de sécurité et à réduire la surface d’attaque.

Trois nouvelles mesures techniques pour plus de sécurité des informations

Les 93 mesures de l'Annexe A du nouvelle ISO/CEI 27001:2022 ont été réorganisés en quatre sujets :

• Mesures organisationnelles
• Mesures personnelles
• Mesures physiques
• Mesures techniques

Le trois nouvelles mesures pour la protection des informations que nous examinerons plus en détail ci-dessous proviennent du domaine thématique « Mesures techniques » :

• 8.10 Suppression des informations
• 8.11 Masquage des données
• 8.12 Prévention des fuites de données

Suppression des informations

Contrôle 8,10 pouces OIN 27001 répond aux risques posés par les informations qui ne sont plus nécessaires mais qui se trouvent toujours sur des systèmes d'information, des appareils ou d'autres supports de stockage. La suppression de ces données déjà inutiles empêche leur divulgation, garantissant ainsi le respect des exigences légales, statutaires, réglementaires et contractuelles en matière de suppression des données.

Ce faisant, les entreprises et les organisations doivent prendre en compte les points suivants :

• Choisir une méthode d'effacement adaptée à l'environnement commercial et juridique, comme l'écrasement électronique ou l'effacement cryptographique
• Documentation des résultats
• Fournir des preuves lors du recours à des prestataires de services pour supprimer des informations

Si des tiers prennent en charge le stockage des données au nom de votre entreprise, les exigences de suppression doivent être inscrites dans le contrat pour que cela soit appliqué pendant et même après la résiliation de ces services.

Pour garantir la suppression fiable des informations sensibles - tout en garantissant le respect des politiques de conservation des données pertinentes et des lois et réglementations applicables - la nouvelle norme prévoit les procédures, services et technologies suivants :

• Mise en place de systèmes dédiés permettant une destruction sécurisée des informations, par exemple, conformément aux politiques de conservation ou à la demande des personnes concernées
• Suppression des versions obsolètes, des copies ou des fichiers temporaires sur tous les supports de stockage
• Utilisation uniquement d'un logiciel d'effacement approuvé et sécurisé pour supprimer définitivement et définitivement les informations
• Suppression via des prestataires de services d'élimination sécurisés agréés et certifiés
• Utiliser des méthodes d'élimination appropriées au support de stockage particulier mis au rebut, telles que la démagnétisation des disques durs

Lors de l'utilisation de services cloud, il est important de vérifier la licéité des procédures d'effacement proposées. Si cela est indiqué, l'organisation doit utiliser la procédure de suppression ou demander au fournisseur de cloud de supprimer les informations. Si possible, ces processus de suppression doivent être automatisés dans le cadre des directives spécifiques au sujet.

Pour éviter la divulgation par inadvertance d'informations sensibles, tout le stockage de l'appareil retourné aux fournisseurs doit être supprimé avant le retour. Sur certains appareils, comme les smartphones, la suppression des données n'est possible que via la destruction ou des fonctions internes (par exemple, restauration des paramètres d'usine). En fonction de la classification des informations, il est important de choisir une procédure appropriée.

Les processus de suppression doivent être documentés, en fonction de leur sensibilité, afin de pouvoir prouver la suppression des données en cas de doute.

Masquage des données

Pour une série d'informations sensibles telles que le traitement des données personnelles, les exigences réglementaires ou spécifiques à l'entreprise et au secteur prévoient le masquage, la pseudonymisation ou l'anonymisation des informations. Une ligne directrice pour ces mesures est fournie dans le contrôle 8.11.

Les techniques de pseudonymisation ou d’anonymisation permettent de masquer des données personnelles, de masquer les véritables données et de masquer les liens croisés d’informations. Pour mettre en œuvre cela efficacement, il est important de traiter de manière adéquate tous les éléments pertinents d’informations sensibles.

Alors que l’anonymisation modifie les données de manière irrévocable, dans le cas de la pseudonymisation, il est tout à fait possible de tirer des conclusions sur une véritable identité via des informations croisées supplémentaires. Par conséquent, les informations croisées supplémentaires doivent être conservées séparément et protégées pendant le processus de pseudonymisation.

D'autres techniques de masquage des données incluent :

• Chiffrement
• Zéros ou suppression de caractères
• Différents numéros et dates
• Substitution - remplacer une valeur par une autre pour masquer les données sensibles
• Remplacer les valeurs par leur hachage

Lors de la mise en œuvre de ces mesures techniques pour la sécurité de l'information, il est important de prendre en compte un certain nombre d'aspects :

• Les utilisateurs ne doivent pas avoir accès à toutes les données, mais doivent uniquement pouvoir visualiser les données dont ils ont réellement besoin.
• Dans certains cas, toutes les données d'un ensemble de données ne doivent pas être visibles pour les utilisateurs. Dans ce cas, des procédures d’obscurcissement des données doivent être conçues et mises en œuvre. Exemple : les données d'un patient dans un dossier médical qui ne doivent pas être visibles par tout le personnel, mais uniquement par les employés ayant des rôles spécifiques liés au traitement.
• Dans certains cas, l'obscurcissement des données ne doit pas être apparent pour ceux qui accèdent aux données (obscurcissement de l'obfuscation) si, par exemple, des conclusions peuvent être tirées sur la date réelle via la catégorie de données (grossesse, prise de sang, etc.).
• Exigences légales ou réglementaires, par exemple l'obligation de masquer les données des cartes de paiement lors du traitement ou du stockage.

De manière générale, le masquage des données, la pseudonymisation ou l’anonymisation nécessitent quelques points généraux :

• La force du masquage des données, de la pseudonymisation ou de l’anonymisation dépend en grande partie de l’utilisation des données traitées.
• L'accès aux données traitées doit être sécurisé par des mécanismes de protection appropriés.
• Prise en compte des accords ou restrictions concernant l’utilisation des données traitées.
• Interdire que les données traitées soient mises en correspondance avec d’autres informations permettant d’identifier la personne concernée.
• Suivez et contrôlez en toute sécurité la fourniture et la réception des données traitées.

Prévention des fuites de données

Control 8.12 est conçu pour empêcher les fuites de données et formule des mesures spécifiques à appliquer à tous les systèmes, réseaux et autres appareils qui traitent, stockent ou transmettent des informations sensibles. Pour minimiser la fuite de données sensibles, les organisations doivent prendre en compte les éléments suivants :

• Identifier et classer les informations, par exemple les données personnelles, les modèles de tarification et les conceptions de produits
• Surveillance des canaux par lesquels les données peuvent s'échapper, tels que les e-mails, les transferts de fichiers, les appareils mobiles et les périphériques de stockage mobiles
• Mesures qui empêchent les fuites de données, par exemple la mise en quarantaine des e-mails contenant des informations sensibles

Afin d'éviter les fuites de données dans les structures informatiques modernes et complexes, avec leur multitude de données différentes, les organisations ont également besoin d'outils appropriés pour

• Identifier et surveiller les informations sensibles risquant d'être divulguées sans autorisation, par exemple dans les données non structurées du système d'un utilisateur.
• Détecter les divulgations de données sensibles, par exemple lorsque les données sont téléchargées vers des services cloud tiers non fiables ou envoyées par e-mail
• Bloquer les actions des utilisateurs ou les transferts réseau qui exposent des informations critiques, comme empêcher la copie des entrées de base de données dans une feuille de calcul

Les organisations doivent remettre en question de manière critique la nécessité de restreindre les autorisations des utilisateurs pour copier, coller ou télécharger des données vers des services, des appareils et des supports de stockage en dehors de l'organisation. Si nécessaire, il peut également être nécessaire de mettre en œuvre des outils appropriés pour éviter les fuites de données ou pour configurer les technologies existantes de manière appropriée.

Par exemple, les utilisateurs peuvent être autorisés à afficher et modifier des données à distance, mais pas à les copier et à les coller en dehors du contrôle de votre organisation. Si une exportation de données est toujours nécessaire, le propriétaire des données peut l'approuver au cas par cas et tenir les utilisateurs responsables des activités indésirables si nécessaire.

La prévention des fuites de données s'applique explicitement également à la protection des informations confidentielles ou secrets commerciaux qui peuvent être utilisés à mauvais escient à des fins d’espionnage ou peuvent revêtir une importance vitale pour la communauté. Dans ce cas, des mesures doivent également être conçues pour semer la confusion chez les attaquants, par exemple en les remplaçant par de fausses informations, en procédant à une ingénierie sociale inversée ou en utilisant des pots de miel pour attirer les attaquants.

Les fuites de données peuvent être prises en charge par des contrôles de sécurité standard, par exemple via des politiques spécifiques à un sujet pour le contrôle d'accès et la gestion sécurisée des documents (voir également Mesures/Contrôles 5.12 et 5.15).

Important lors de l'utilisation d'outils de surveillance

Pour protéger leurs propres informations, de nombreux outils surveillent également inévitablement les communications et les activités en ligne des employés ainsi que les messages de tiers. Cette surveillance soulève différentes questions juridiques qui doivent être considérées avant d’utiliser les outils de surveillance appropriés. Il est nécessaire d’équilibrer le niveau de surveillance avec diverses législations en matière de confidentialité, de protection des données, d’emploi, d’interception de données et de télécommunications.

Mesures techniques en matière de sécurité de l'information - une conclusion.

Dans le contexte général de objectifs de protection de la sécurité de l'information de confidentialité, intégrité et disponibilité, les procédures de traitement des données décrites ici jouent un rôle clé dans la protection renforcée des données sensibles.

Grâce à une surveillance continue du flux de données et d'informations, au masquage des informations sensibles et à des politiques strictes de suppression des données, les entreprises peuvent améliorer durablement leur protection contre les fuites et les pertes de données - et contrecarrer la publication involontaire d'informations critiques. En outre, les procédures apportent une contribution décisive à la cybersécurité à l'échelle de l'entreprise et minimisent la surface d'attaque des pirates informatiques et de l'espionnage industriel.

Il s’agit désormais pour les entreprises et les organisations d’établir de manière appropriée les procédures et les outils nécessaires et de les intégrer dans leurs processus métiers afin de démontrer la mise en œuvre conforme aux exigences lors des futurs audits de certification.

Avec le regard professionnel de nos expérimentés auditeurs et notre expertise en certification de plus de 35 ans, nous nous recommandons comme votre interlocuteur pour les thèmes de la sécurité de l'information et certification selon la norme ISO 27001 .

Que signifie la mise à jour pour votre certification ?

La norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022. Cela se traduit par les délais et périodes de transition suivants pour les utilisateurs :

Date limite pour les audits initiaux et de recertification selon « l'ancienne » ISO 27001:2013.

• Après le 30 avril 2024, DQS réalisera des audits initiaux et de recertification uniquement selon la nouvelle norme ISO/IEC 27001:2022.

Conversion de tous les certificats existants selon « l'ancienne » ISO/IEC 27001:2013 vers la nouvelle ISO/IEC 27001:2022

• Il y a une période de transition de trois ans commençant le 31 octobre 2022.
• Les certificats délivrés selon ISO/IEC 27001:2013 ou EN ISO/IEC 27001:2017 sont valables jusqu'au 31 octobre 2025 au plus tard ou doivent être retirés à cette date.

DQS : Votre partenaire compétent en matière de sécurité de l'information certifiée

Grâce aux périodes de transition, les entreprises disposent de suffisamment de temps pour adapter leur gestion de la sécurité de l'information aux nouvelles exigences et la faire certifier. Cependant, la durée et les efforts de l'ensemble du processus de changement ne doivent pas être sous-estimés - surtout si vous ne disposez pas de suffisamment de personnel spécialisé. Si vous voulez être prudent, vous devez régler le problème le plus tôt possible et faire appel à des spécialistes expérimentés si nécessaire.

En tant qu'experts en audit et certification avec plus de 35 ans d'expertise, nous serons heureux de vous accompagner lors d'une audit delta . Renseignez-vous auprès de nos nombreux auditeurs expérimentés sur les changements les plus importants et leur pertinence pour votre organisation. nous avons hâte de audience de toi.

Confiance et expertise

Nos textes sont rédigés exclusivement par nos experts internes en systèmes de gestion et nos auditeurs de longue date. Si vous avez des questions pour l'auteur, n'hésitez pas à Contactez-nous.