La gestion de la configuration en sécurité de l'information

CONTENU

• Augmentation de la complexité et des menaces
• La gestion de configuration dans le contexte de la norme ISO 27001:2022
• Contrôle 8.9 "Gestion de configuration"
• La gestion de configuration en sécurité de l'information - Conclusion
• DQS : Votre contact pour la sécurité de l'information certifiée

Augmentation de la complexité et des menaces

Des configurations incorrectes et des réglages de sécurité mal configurés comportent des risques incalculables pour la sécurité de l'information. Compte tenu de la complexité croissante des environnements informatiques modernes, la gestion de la configuration - c'est-à-dire la définition, la documentation, la mise en œuvre, la surveillance et la révision continues des configurations de sécurité - devient une tâche complexe qui s'étend à la gestion de la conformité au sein d'une organisation.

Pour un extérieur, l'infrastructure informatique ressemble à un enchevêtrement confus d'applications, d'appareils, de composants réseau et de services, qu'ils soient hébergés sur site ou dans le cloud. Ce dernier, en particulier, a considérablement augmenté pendant la pandémie de coronavirus. Cependant, pour les équipes informatiques, configurer le nombre croissant de composants système et surveiller et adapter en continu les configurations des systèmes représente une charge de travail considérable, qui surcharge souvent les employés. Sans une gestion systématique de la configuration, cela peut entraîner un risque de sécurité majeur ainsi que la perte ou le mauvais usage des données (y compris les données personnelles).

Après tout, 81 % des responsables de la sécurité dans une étude allemande de 2022 ont déclaré que les vulnérabilités et les mauvaises configurations inconnues sont les principaux problèmes de sécurité dans leurs infrastructures. Et dans le "Pandemic Eleven", une étude de la Cloud Security Alliance sur les vulnérabilités les plus graves en informatique dans le cloud pendant la pandémie, les mauvaises configurations occupent également une place importante en troisième position.

Il est donc une conséquence logique des évolutions des dernières années de prêter davantage attention à la gestion de la configuration en technologie de l'information, par exemple dans le contexte des accès non autorisés. Il est donc pertinent que la nouvelle norme ISO/IEC 27001:2022 ait dédié un contrôle de sécurité de l'information spécifique à ce sujet.

La gestion de configuration dans le contexte de la norme ISO 27001:2022

L'annexe A restructurée de la norme ISO 27001 de 2022 contient 93 mesures de sécurité de l'information (contrôles), dont 11 nouvelles. Avec cette mise à jour, les contrôles sont désormais organisés thématiquement en quatre sections :

• Mesures organisationnelles
• Mesures personnelles
• Mesures physiques
• Mesures technologiques

La gestion sécurisée de la configuration en technologie de l'information relève de la catégorie des mesures technologiques ou techniques et est listée dans l'annexe A sous le point 8.9. Il s'agit de l'un des outils préventifs qui soutiennent les trois objectifs de protection de la sécurité de l'information (confidentialité, intégrité et disponibilité).

Modèles standard

La définition des modèles standard aide les organisations à systématiser leur gestion de configuration. Les aspects de base suivants doivent être pris en compte dans ce développement :

• Directives disponibles publiquement, par exemple de la part des fournisseurs ou d'organismes de sécurité indépendants
• Niveaux de protection requis pour garantir une sécurité adéquate
• Soutien à la politique interne de sécurité de l'information, aux lignes directrices spécifiques aux sujets, aux normes et autres exigences de sécurité
• Faisabilité et applicabilité des configurations dans le contexte de l'organisation

Les modèles standard développés doivent être régulièrement examinés et mis à jour, en particulier lorsqu'il est nécessaire de traiter de nouvelles menaces ou vulnérabilités, ou lorsque de nouvelles versions de logiciels ou de matériels sont introduites dans l'organisation.

Il existe également plusieurs autres points à considérer lors de la création des modèles. Ces derniers aident à prévenir les modifications non autorisées ou incorrectes des configurations :

• Minimiser le nombre d'identités avec des droits d'accès privilégiés ou administratifs
• Désactiver les identités inutiles, non utilisées ou non sécurisées
• Désactiver ou restreindre les fonctions et services non nécessaires
• Restreindre l'accès aux utilitaires puissants et aux paramètres d'hôte
• Synchronisation des horloges
• Modifier immédiatement les données d'authentification par défaut du fabricant et les mots de passe par défaut après l'installation et vérifier les paramètres de sécurité importants
• Utiliser les mécanismes de délai d'attente qui se déconnectent automatiquement des appareils informatiques après une certaine période d'inactivité
• Vérifier si les exigences de licence sont remplies

Gestion et suivi des configurations

Toutes les configurations doivent être enregistrées et les modifications doivent être fiablement consignées afin d'écarter toute mauvaise configuration après un incident. Ces informations doivent être stockées de manière sécurisée, par exemple dans des bases de données de configuration ou des modèles.

Toutes les modifications sont effectuées conformément au contrôle 8.32 "Contrôle des modifications", qui décrit une ligne directrice pour les changements relatifs aux directives de traitement de l'information et aux systèmes d'information. Les enregistrements de configuration doivent contenir toutes les informations nécessaires pour suivre à la fois l'état d'un système ou d'un bien informatique et les modifications apportées à tout moment. Cela inclut, par exemple, les informations suivantes :

• Informations actuelles sur l'actif en question - Qui est le propriétaire ou le point de contact ?
• Date de la dernière modification de configuration
• Version du modèle de configuration
• Connexions et relations avec les configurations d'autres actifs

Un ensemble complet d'outils de gestion de système - tels que des programmes de maintenance, un support à distance, des outils de gestion d'entreprise et des logiciels de sauvegarde et de restauration - aide à surveiller et vérifier régulièrement les configurations. Avec l'aide de ces outils, les responsables peuvent vérifier les paramètres de configuration, évaluer la force des mots de passe et évaluer les activités effectuées.

Les états réels peuvent également être comparés avec les modèles cibles définis et des réponses appropriées peuvent être initiées en cas de divergences - soit en appliquant automatiquement la configuration cible définie, soit en analysant manuellement la divergence et en prenant des mesures correctives. L'automatisation, par exemple via l'infrastructure as code (infrastructure programmable), permet de gérer les configurations de sécurité dans des environnements virtualisés et de cloud computing de manière efficace et sécurisée.

Gestion de configuration en sécurité de l'information - un résumé

La gestion de configuration en sécurité de l'information est un outil de sécurité important et contribue de manière significative à réduire les failles de sécurité causées par des erreurs de configuration. Son approche systématique allège la charge des équipes internes et contribue à des opérations informatiques efficaces, ainsi qu’au renforcement des systèmes et à la disponibilité des informations et des données confidentielles. Les effets positifs sur la protection des données personnelles, par exemple, sont également évidents.

La gestion de configuration peut également être intégrée dans les processus de gestion des actifs et les outils associés. La gestion centralisée des paramètres de sécurité permet de réagir rapidement face aux nouvelles menaces et vulnérabilités concernant la disponibilité des systèmes et la protection des données, contribuant ainsi à minimiser les surfaces d’attaque potentielles dans les systèmes. Le nouveau contrôle de sécurité 8.9 de la norme ISO 27001 constitue une contribution importante à la sécurité des organisations et de leur gestion.

Cette valeur ajoutée doit être mise en œuvre par les entreprises et les organisations. Les exigences du contrôle 8.9 doivent être comparées avec l'état actuel et optimisées davantage via un processus de changement contrôlé. Forts de plus de 35 ans d'expertise en audit et certification, nous sommes votre partenaire idéal et pouvons vous fournir des conseils et un accompagnement sur la sécurité de l'information.

Que signifie la mise à jour pour votre certification ?

La norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022.

Cela entraîne les échéances et périodes suivantes pour la transition des utilisateurs 

Dernière date pour les audits initiaux/recertification sous l'ancienne norme ISO 27001

• Après le 30 avril 2024, DQS ne réalisera plus d'audits initiaux ni de récertifications selon l'ancienne norme ISO/IEC 27001, mais exclusivement selon la nouvelle norme ISO/IEC 27001:2022.

Conversion de tous les certificats existants selon l'ancienne norme ISO/IEC 27001:2013 à la nouvelle version 2022

• Une période de transition de 3 ans s'applique à partir du 31 octobre 2022.
• Les certificats délivrés conformément à ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 sont valables jusqu'au 31 octobre 2025 au plus tard, ou doivent être retirés à cette date.

ISO/IEC 27001:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l'information - Exigences

DQS: Simply leveraging Security 

Les organisations ont encore un certain temps pour passer à la nouvelle version de la norme ISO/IEC 27001. Les certificats actuels basés sur l'ancienne norme perdront leur validité le 31 octobre 2025. Cependant, il est fortement conseillé de se préparer dès maintenant aux exigences modifiées pour un système de management de la sécurité de l'information (SMSI), de lancer les processus de changement appropriés et de les mettre en œuvre en conséquence.

En tant qu'experts en audits et certifications avec plus de trois décennies d'expérience, nous pouvons vous accompagner dans la mise en œuvre de la nouvelle norme ISO 27001:2022. Découvrez auprès de nos nombreux auditeurs expérimentés les changements les plus importants et leur pertinence pour votre entreprise, et faites confiance à notre expertise. Nous avons hâte de recevoir de vos nouvelles.

Confiance et expertise

Nos articles et livres blancs sont rédigés exclusivement par nos experts en normes ou nos auditeurs de longue date. Si vous avez des questions concernant le contenu des textes ou nos services à notre auteur, veuillez nous contacter.