Mesures techniques en matière de sécurité de l'information

Contenu

• L'information d'entreprise, une cible d'attaque convoitée
• Trois nouvelles mesures pour plus de sécurité de l'information
• Suppression d'informations
• Masquage des données
• Prévention des fuites de données
• Mesures techniques en matière de sécurité de l'information - une conclusion
• Que signifie la mise à jour pour votre certification ?
• DQS : Votre partenaire compétent en matière de sécurité de l'information certifiée

L'information d'entreprise est une cible d'attaque très convoitée

L'étude "Wirtschaftsschutz2022" (Protection des entreprises 2022) de l'association industrielle allemande Bitkom confirme que les pirates informatiques sont tout à fait conscients de la valeur économique des informations et des données dans le monde des affaires d'aujourd'hui : 36 % des entreprises interrogées ont déjà été touchées par le vol de données sensibles et d'informations numériques. Les cibles les plus populaires sont les données de communication (68 %) et les données clients (45 %).

Les dommages causés par le chantage, les violations de brevets et les pertes de chiffre d'affaires directement imputables au vol de données s'élèvent à plusieurs milliards d'euros par an.

Les entreprises et les organisations doivent renforcer la protection lors du traitement de leurs données critiques. Des lignes directrices supplémentaires permettent d'améliorer le concept global de sécurité et de réduire la surface d'attaque.

Trois nouvelles mesures techniques pour plus de sécurité de l'information

Les 93 mesures de l'annexe A de la nouvelle norme ISO/IEC 27001:2022 ont été réorganisées en quatre thèmes:

• Mesures organisationnelles
• Mesures personnelles
• Mesures physiques
• Mesures techniques

Les trois nouvelles mesures de protection de l'information que nous allons examiner plus en détail ci-dessous sont issues du thème " Mesures techniques " :

• 8.10 Suppression d'informations
• 8.11 Masquage des données
• 8.12 Prévention des fuites de données

Suppression d'informations

Le contrôle 8.10 de la norme ISO 27001 traite des risques posés par les informations qui ne sont plus nécessaires mais qui se trouvent encore sur des systèmes d'information, des dispositifs ou d'autres supports de stockage. La suppression de ces données déjà inutiles empêche leur divulgation et garantit la conformité avec les exigences légales, statutaires, réglementaires et contractuelles en matière de suppression des données.

Pour ce faire, les entreprises et les organisations doivent tenir compte des points suivants :

• Choix d'une méthode d'effacement appropriée à la lumière de l'environnement commercial et juridique, telle que l'écrasement électronique ou l'effacement cryptographique.
• la documentation des résultats
• Fournir des preuves lorsque l'on fait appel à des prestataires de services pour effacer les informations.

Si des tiers se chargent du stockage des données pour le compte de votre entreprise, les exigences en matière d'effacement doivent être inscrites dans l'accord contractuel afin de les faire respecter pendant et même après la cessation de ces services.

Pour garantir la suppression fiable des informations sensibles - tout en assurant la conformité avec les politiques de conservation des données et les lois et réglementations applicables - la nouvelle norme prévoit les procédures, services et technologies suivants :

• Mise en place de systèmes dédiés permettant la destruction sécurisée des informations, par exemple, conformément aux politiques de conservation des données ou à la demande des personnes concernées.
• suppression des versions obsolètes, des copies ou des fichiers temporaires sur tous les supports de stockage
• utilisation exclusive de logiciels d'effacement approuvés et sécurisés pour supprimer définitivement les informations
• suppression par l'intermédiaire de fournisseurs de services d'élimination sécurisés agréés et certifiés
• l'utilisation de méthodes d'élimination adaptées au support de stockage concerné, telles que la démagnétisation des disques durs.

Lorsque l'on utilise des services en nuage, il est important de vérifier l'admissibilité des procédures d'effacement proposées. Si c'est le cas, l'organisation doit utiliser la procédure d'effacement ou demander au fournisseur de services en nuage d'effacer les informations. Si possible, ces procédures d'effacement doivent être automatisées dans le cadre des lignes directrices spécifiques au sujet.

Afin d'éviter la divulgation involontaire d'informations sensibles, tout le stockage des appareils renvoyés aux fournisseurs doit être supprimé avant leur retour. Sur certains appareils, comme les smartphones, la suppression des données n'est possible que par la destruction ou par des fonctions internes (par exemple, le rétablissement des paramètres d'usine). En fonction de la classification des informations, il est important de choisir une procédure appropriée.

Les processus de suppression doivent être documentés, en fonction de leur sensibilité, afin de pouvoir prouver la suppression des données en cas de doute.

Masquage des données

Pour une série d'informations sensibles telles que le traitement des données personnelles, les exigences réglementaires ou spécifiques à l'entreprise ou au secteur stipulent le masquage, la pseudonymisation ou l'anonymisation des informations. Une ligne directrice pour ces mesures est fournie dans le contrôle 8.11.

Les techniques de pseudonymisation ou d'anonymisation permettent de masquer les données personnelles, les données réelles et les liens croisés entre les informations. Pour mettre en œuvre ces techniques de manière efficace, il est important de traiter de manière adéquate tous les éléments pertinents de l'information sensible.

Alors que l'anonymisation modifie les données de manière irrévocable, dans le cas de la pseudonymisation, il est tout à fait possible de tirer des conclusions sur l'identité réelle grâce à des informations croisées supplémentaires. Par conséquent, les informations croisées supplémentaires doivent être conservées séparément et protégées pendant le processus de pseudonymisation.

Les autres techniques de masquage des données sont les suivantes

• le cryptage
• les zéros ou la suppression de caractères
• Différents chiffres et dates
• Substitution - remplacement d'une valeur par une autre pour masquer des données sensibles
• Remplacement des valeurs par leur hachage

Lors de la mise en œuvre de ces mesures techniques pour la sécurité de l'information, il est important de prendre en compte un certain nombre d'aspects :

• Les utilisateurs ne doivent pas avoir accès à toutes les données, mais seulement à celles dont ils ont réellement besoin.
• Dans certains cas, toutes les données d'un ensemble de données ne doivent pas être visibles pour les utilisateurs. Dans ce cas, des procédures d'obscurcissement des données doivent être conçues et mises en œuvre. Exemple : les données d'un patient dans un dossier médical qui ne doivent pas être visibles par l'ensemble du personnel, mais uniquement par les employés ayant des rôles spécifiques en rapport avec le traitement.
• Dans certains cas, l'occultation des données ne doit pas être apparente pour ceux qui accèdent aux données (occultation de l'occultation) si, par exemple, des conclusions peuvent être tirées sur la date réelle par le biais de la catégorie de données (grossesse, test sanguin, etc.).
• Exigences légales ou réglementaires, par exemple l'obligation de masquer les données relatives aux cartes de paiement pendant le traitement ou le stockage.

En général, le masquage, la pseudonymisation ou l'anonymisation des données requièrent certains points généraux :

• La force du masquage, de la pseudonymisation ou de l'anonymisation des données dépend largement de l'utilisation des données traitées.
• L'accès aux données traitées doit être assuré par des mécanismes de protection appropriés.
• Prise en compte des accords ou des restrictions concernant l'utilisation des données traitées.
• Interdiction d'associer les données traitées à d'autres informations permettant d'identifier la personne concernée.
• Suivre et contrôler en toute sécurité la fourniture et la réception des données traitées.

Prévention des fuites de données

Le contrôle 8.12 est conçu pour prévenir les fuites de données et formule des mesures spécifiques à appliquer à tous les systèmes, réseaux et autres dispositifs qui traitent, stockent ou transmettent des informations sensibles. Pour minimiser les fuites de données sensibles, les organisations doivent prendre en compte les éléments suivants :

• Identifier et classer les informations, par exemple les données personnelles, les modèles de tarification et les conceptions de produits.
• surveiller les canaux par lesquels les données peuvent fuir, tels que le courrier électronique, les transferts de fichiers, les appareils mobiles et les dispositifs de stockage mobiles
• Mesures de prévention des fuites de données, par exemple la mise en quarantaine des courriels contenant des informations sensibles.

Afin de prévenir les fuites de données dans les structures informatiques modernes et complexes, avec leur multitude de données différentes, les organisations ont également besoin d'outils appropriés pour

• identifier et surveiller les informations sensibles qui risquent d'être divulguées sans autorisation, par exemple dans les données non structurées du système d'un utilisateur
• détecter les divulgations de données sensibles, par exemple lorsque des données sont téléchargées vers des services en nuage tiers non fiables ou envoyées par courrier électronique
• bloquer les actions de l'utilisateur ou les transferts réseau qui exposent des informations critiques, par exemple en empêchant la copie des entrées d'une base de données dans une feuille de calcul.

Les organisations devraient s'interroger sur la nécessité de restreindre les autorisations des utilisateurs à copier, coller ou télécharger des données vers des services, des appareils et des supports de stockage extérieurs à l'organisation. Le cas échéant, il peut également être nécessaire de mettre en œuvre des outils appropriés pour prévenir les fuites de données ou de configurer les technologies existantes de manière adéquate.

Par exemple, les utilisateurs peuvent être autorisés à consulter et à modifier des données à distance, mais pas à les copier et à les coller en dehors du contrôle de l'organisation. Si une exportation de données est toujours nécessaire, le propriétaire des données peut l'approuver au cas par cas et, le cas échéant, tenir les utilisateurs responsables des activités non désirées.

La prévention des fuites de données s'applique explicitement aussi à la protection des informations confidentielles ou des secrets commerciaux qui peuvent être utilisés à des fins d'espionnage ou qui peuvent être d'une importance vitale pour la communauté. Dans ce cas, les mesures doivent également être conçues pour confondre les attaquants - par exemple, en remplaçant les informations par de fausses, en faisant de l'ingénierie sociale inversée ou en utilisant des pots de miel pour attirer les attaquants.

Les fuites de données peuvent être prises en charge par des contrôles de sécurité standard, par exemple via des politiques spécifiques à un thème pour le contrôle d'accès et la gestion sécurisée des documents (voir également les mesures/contrôles 5.12 et 5.15).

Important lors de l'utilisation d'outils de surveillance

Pour protéger leurs propres informations, de nombreux outils surveillent inévitablement les communications et les activités en ligne des employés, ainsi que les messages de tiers. Cette surveillance soulève différentes questions juridiques qu'il convient d'examiner avant d'utiliser les outils de surveillance appropriés. Il est nécessaire de trouver un équilibre entre le niveau de surveillance et les diverses législations relatives à la vie privée, à la protection des données, à l'emploi, à l'interception des données et aux télécommunications.

Mesures techniques en matière de sécurité de l'information - une conclusion.

Dans le contexte général des objectifs de protection de la sécurité de l'information que sont la confidentialité, l'intégrité et la disponibilité, les procédures de traitement des données décrites ici jouent un rôle clé dans l'amélioration de la protection des données sensibles.

Grâce à un contrôle continu du flux de données et d'informations, au masquage des informations sensibles et à des politiques strictes de suppression des données, les entreprises peuvent améliorer durablement leur protection contre les fuites et les pertes de données et contrecarrer la publication involontaire d'informations critiques. En outre, ces procédures contribuent de manière décisive à la cybersécurité à l'échelle de l'entreprise et réduisent la surface d'attaque des pirates informatiques et de l'espionnage industriel.

Pour les entreprises et les organisations, il s'agit maintenant de mettre en place les procédures et les outils nécessaires de manière appropriée et de les intégrer dans leurs processus opérationnels afin de démontrer la mise en œuvre conforme à la norme des exigences lors des futurs audits de certification.

Grâce au regard professionnel de nos auditeurs expérimentés et à notre expertise de plus de 35 ans en matière de certification, nous nous recommandons comme votre interlocuteur pour les thèmes de la sécurité de l'information et de la certification selon ISO 27001.

Que signifie la mise à jour pour votre certification ?

La norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022. Il en résulte les échéances et périodes de transition suivantes pour les utilisateurs :

Dernière date pour les audits initiaux et de recertification selon l'"ancienne" ISO 27001:2013.

• Après le 30 avril 2024, DQS effectuera des audits initiaux et de recertification uniquement selon la nouvelle norme ISO/IEC 27001:2022.

Conversion de tous les certificats existants selon l'"ancienne" norme ISO/IEC 27001:2013 à la nouvelle norme ISO/IEC 27001:2022.

• Une période de transition de trois ans est prévue à partir du 31 octobre 2022.
• Les certificats délivrés conformément à la norme ISO/IEC 27001:2013 ou EN ISO/IEC 27001:2017 sont valables jusqu'au 31 octobre 2025 au plus tard ou doivent être retirés à cette date.

DQS : Votre partenaire compétent en matière de sécurité de l'information certifiée

Grâce aux périodes de transition, les entreprises disposent de suffisamment de temps pour adapter leur gestion de la sécurité de l'information aux nouvelles exigences et la faire certifier. Il ne faut cependant pas sous-estimer la durée et l'effort de l'ensemble du processus de changement - surtout si vous ne disposez pas d'un personnel spécialisé suffisant. Si vous voulez mettre toutes les chances de votre côté, vous devez vous occuper de la question le plus tôt possible et faire appel à des spécialistes expérimentés si nécessaire.

En tant qu'experts en audit et en certification ayant plus de 35 ans d'expérience, nous nous ferons un plaisir de vous aider lors d'un audit delta. Nos nombreux auditeurs expérimentés vous renseigneront sur les changements les plus importants et leur pertinence pour votre organisation. N'hésitez pas à nous contacter.

Confiance et expertise

Nos textes sont rédigés exclusivement par nos experts internes en systèmes de gestion et nos auditeurs de longue date. Si vous avez des questions à poser à l'auteur, n'hésitez pas à nous contacter .