.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Le management des vulnérabilités dans le contexte de la norme ISO 27001

André Saeckel

DQS Standard Expert for Information Security
mai 23 , 2023
# Sécurité de l'information et gestion des risques

La norme ISO 27001 porte sur les informations sensibles et précieuses d'une organisation : Sa protection, sa confidentialité, son intégrité et sa disponibilité. ISO 27001 est une norme internationale pour la sécurité de l'information dans les organisations privées, publiques ou à but non lucratif. La norme décrit les exigences pour l'établissement, la mise en œuvre, le fonctionnement et l'optimisation d'un système de management de la sécurité de l'information (SGSI) documenté. Le système de management est principalement axé sur l'identification, le management et le traitement des risques.

CONTENU

Quels sont les menaces et les risques pour la sécurité de l'information ?

La gestion des vulnérabilités dans le contexte de l'ISO 27001 fait référence aux vulnérabilités techniques. Celles-ci peuvent conduire à des menaces pour la sécurité informatique des entreprises et des organisations. Il s'agit notamment de :

  • Ransomware, un logiciel d'extorsion qui peut conduire au cryptage de supports de données et à l'obtention d'informations compromettantes.
  • leschevaux de Troie d'accès à distance (RAT), qui peuvent permettre un accès à distance au réseau
  • Lephishing et le SPAM, qui peuvent conduire à une perte de contrôle par courrier électronique. Ici, une passerelle particulièrement populaire est le Règlement général sur la protection des données (RGPD) et la demande dans un courriel de vérifier les données des clients en cliquant sur un lien. Souvent, les expéditeurs semblent être des banques ou même PayPal.
  • DDoS/botnets, qui peuvent conduire à l'atteinte à la disponibilité et à l'intégrité des systèmes en raison d'énormes paquets de données.
  • Lescyberterroristes parrainés par des États, les activistes, les criminels ainsi que les auteurs internes qui apportent une grande variété de menaces.
  • Processus inadéquats ou manquants

L'identification des vulnérabilités et des lacunes en matière de sécurité qui découlent de ces menaces nécessite une évaluation des besoins de protection avec la norme ISO 27001, car elle débouche sur une gestion systématique des vulnérabilités pour sécuriser l'infrastructure informatique avec une évaluation continue des vulnérabilités.

Processus défectueux - Une menace pour la sécurité de l'information ?

Sans un processus d'analyse des journaux et des données des systèmes, sans une connaissance des vulnérabilités techniques et sans un examen plus approfondi des systèmes informatiques, une évaluation réaliste des risques n'est pas possible. L'absence de processus ou un processus défectueux ne permet pas non plus d'établir des critères d'acceptation des risques ou de déterminer des niveaux de risque - comme l'exige la norme ISO 27001.

Il s'ensuit que le risque pour la sécurité informatique, et donc pour la sécurité de l'information d'une entreprise, ne peut être déterminé et doit être considéré comme le risque le plus élevé possible pour cette entreprise.

La gestion des vulnérabilités dans le contexte de l'ISO 27001 : sécurisation optimale de l'infrastructure

Une mesure appropriée possible pour sécuriser l'infrastructure informatique est la gestion des vulnérabilités et des failles de sécurité potentielles. Cela implique un balayage régulier, systématique et contrôlé par le réseau ainsi que des tests de pénétration de tous les systèmes pour détecter les vulnérabilités techniques. Les vulnérabilités identifiées sont enregistrées dans le système de gestion de la sécurité de l'information (SGSI) conformément à la norme ISO 27001.

Il est également important de définir les menaces qui pèsent sur la sécurité informatique - ainsi que sur la sécurité globale de l'information. Dans ce contexte, les vulnérabilités techniques doivent être classées par ordre de priorité en fonction de leur gravité (CVSS) et finalement corrigées. L'évaluation du risque résiduel lié aux vulnérabilités techniques restantes et, finalement, l'acceptation du risque font également partie de la gestion des vulnérabilités selon la norme ISO 27001.

Pour évaluer la gravité d'une vulnérabilité, on peut utiliser la norme industrielle"CVSS - Common Vulnerability Scoring System". Une note globale de 0 à 10 est déterminée à partir de la métrique du score de base, qui répond notamment aux questions suivantes À quel point l'attaquant doit-il se rapprocher du système vulnérable (vecteur d'attaque) ? Avec quelle facilité l'attaquant atteint-il la cible (complexité de l'attaque) ? Quels droits d'accès sont nécessaires pour exploiter la vulnérabilité (Privilèges requis) ? Avez-vous besoin d'assistants, par exemple un utilisateur qui doit d'abord suivre un lien (User Interaction) ? La confidentialité est-elle compromise (Confidentiality Impact) ?


Une calculatrice CVSS est disponible sur les pages du National Institute of Standards and Technology (NIST) des États-Unis.

Comment une entreprise peut-elle se protéger des vulnérabilités techniques ?

Par exemple, une entreprise peut se protéger de manière préventive contre les logiciels malveillants en introduisant et en mettant en œuvre des mesures de détection, de prévention et de sécurité des données, conjointement avec une sensibilisation appropriée des utilisateurs. En détail, cela signifie : Pour prévenir l'exploitation d'une vulnérabilité technique dans le contexte de la gestion des vulnérabilités de la norme ISO 27001, il est nécessaire de :

  • Obtenir des informations opportunes sur les vulnérabilités techniques des systèmes d'information utilisés.
  • Évaluer leur vulnérabilité, et
  • Prendre les mesures appropriées

Cela peut se faire par l'installation de correctifs de sécurité (gestion des correctifs), l'isolement des systèmes informatiques vulnérables ou, finalement, par l'arrêt des systèmes. En outre, des règles d'installation de logiciels par les utilisateurs doivent être définies et mises en œuvre.

Questions importantes sur la gestion des vulnérabilités et le concept de sécurité ISO 20071

Les questions suivantes pourraient être posées lors d'un audit, il est donc judicieux d'y répondre à l'avance :

  • Avez-vous défini les rôles et les responsabilités pour traiter et surveiller les vulnérabilités techniques ?
  • Avez-vous pris connaissance des sources d'information qui peuvent être utilisées pour identifier les vulnérabilités techniques ?
  • Existe-t-il un délai pour réagir par des actions lorsqu'une vulnérabilité est notifiée et découverte ?
  • Avez-vous procédé à une évaluation des risques liés aux vulnérabilités, notamment en ce qui concerne les actifs de l'entreprise ?
  • Connaissez-vous vos vulnérabilités techniques ?

Si vous souhaitez obtenir un aperçu complet et fondé des menaces de l'Allemagne dans le cyberespace, vous pouvez trouver le "Situation Report on IT Security 2019" en anglais de l'Office fédéral allemand de la sécurité de l'information (BSI) sur https://www.bsi.bund.de.

Conclusion

La gestion des vulnérabilités dans le contexte de la norme ISO 27001 est un processus continu qui doit être effectué régulièrement. Selon la norme ISO 27001, les résultats doivent être "valides". Cela signifie qu'une analyse de vulnérabilité et une évaluation des risques effectuées en une seule fois pour la mise en œuvre ou la certification ne sont plus valables à un moment ultérieur, par exemple lors de la recertification.

Une analyse de vulnérabilité n'est valable qu'au moment précis où elle est effectuée. Mais si des mises à jour logicielles sont effectuées ultérieurement ou si des changements sont apportés à la topologie, ceux-ci peuvent entraîner de nouvelles vulnérabilités.

Il est donc important pour toute organisation de suivre, vérifier et répéter en permanence les processus de gestion des vulnérabilités et de reporter les informations pertinentes dans le système de gestion de la sécurité de l'information.

Certification ISO 27001

Quels efforts devez-vous consentir pour faire certifier votre SGSI selon la norme ISO 27001 ? Obtenez des informations gratuites et sans engagement.

Nous nous réjouissons d'en discuter avec vous.

DQS. La qualité en toute simplicité.

Nous nous considérons comme des partenaires importants de nos clients, avec lesquels nous travaillons à hauteur d'yeux pour obtenir une valeur ajoutée durable. Notre objectif est de donner aux organisations d'importantes impulsions de valeur ajoutée pour leur succès entrepreneurial grâce aux processus les plus simples, ainsi qu'au plus grand respect des délais et de la fiabilité.

Nos compétences principales résident dans la réalisation d'audits de certification et d'évaluations. Cela fait de nous l'un des principaux fournisseurs mondiaux, avec la prétention d'établir à tout moment de nouvelles références en matière de fiabilité, de qualité et d'orientation client.

Auteur
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Vous avez des questions ?

Nous sommes là pour vous.
Nous contacter