La norme ISO 27001 porte sur les informations sensibles et précieuses d'une organisation : Sa protection, sa confidentialité, son intégrité et sa disponibilité. ISO 27001 est une norme internationale pour la sécurité de l'information dans les organisations privées, publiques ou à but non lucratif. La norme décrit les exigences pour l'établissement, la mise en œuvre, le fonctionnement et l'optimisation d'un système de management de la sécurité de l'information (SMSI) documenté. Le système de management est principalement axé sur l'identification, le management et le traitement des risques.

Loading...

Quels sont les menaces et les risques pour la sécurité de l'information ?

Le management des vulnérabilités dans le contexte de l'ISO 27001 fait référence aux vulnérabilités techniques. Celles-ci peuvent conduire à des menaces pour la sécurité informatique des entreprises et des organisations. Il s'agit notamment de :

  • Ransomware, un logiciel d'extorsion qui peut conduire au cryptage de supports de données et à l'obtention d'informations compromettantes.
  • les chevaux de Troie d'accès à distance (RAT), qui peuvent permettre un accès à distance au réseau
  • Le phishing et le SPAM, qui peuvent conduire à une perte de contrôle par courrier électronique. Ici, une passerelle particulièrement populaire est le Règlement général sur la protection des données (RGPD) et la demande dans un courriel de vérifier les données des clients en cliquant sur un lien. Souvent, les expéditeurs semblent être des banques ou même PayPal.
  • DDoS/botnets, qui peuvent conduire à l'atteinte à la disponibilité et à l'intégrité des systèmes en raison d'énormes paquets de données.
  • Les cyber terroristes parrainés par des États, les activistes, les criminels ainsi que les auteurs internes qui apportent une grande variété de menaces.
  • Processus inadéquats ou manquants

L'identification des vulnérabilités et des lacunes en matière de sécurité qui découlent de ces menaces nécessite une évaluation des besoins de protection avec la norme ISO 27001, car elle débouche sur un management systématique des vulnérabilités pour sécuriser l'infrastructure informatique avec une évaluation continue des vulnérabilités.

ISO/IEC 27001:2013 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences

Processus défectueux - Une menace pour la sécurité de l'information ?

Sans un processus d'analyse des journaux et des données des systèmes, sans une connaissance des vulnérabilités techniques et sans un examen plus approfondi des systèmes informatiques, une évaluation réaliste des risques n'est pas possible. L'absence de processus ou un processus défectueux ne permet pas non plus d'établir des critères d'acceptation des risques ou de déterminer des niveaux de risque - comme l'exige la norme ISO 27001.

Il s'ensuit que le risque pour la sécurité informatique, et donc pour la sécurité de l'information d'une entreprise, ne peut être déterminé et doit être considéré comme le risque le plus élevé possible pour cette entreprise.

Le management des vulnérabilités dans le contexte de l'ISO 27001 : sécurisation optimale de l'infrastructure

Une mesure appropriée possible pour sécuriser l'infrastructure informatique est le management des vulnérabilités et des failles de sécurité potentielles. Cela implique un balayage régulier, systématique et contrôlé par le réseau ainsi que des tests de pénétration de tous les systèmes pour détecter les vulnérabilités techniques. Les vulnérabilités identifiées sont enregistrées dans le système de management de la sécurité de l'information (SMSI) conformément à la norme ISO 27001.

Il est également important de définir les menaces qui pèsent sur la sécurité informatique - ainsi que sur la sécurité globale de l'information. Dans ce contexte, les vulnérabilités techniques doivent être classées par ordre de priorité en fonction de leur gravité (CVSS) et finalement corrigées. Une évaluation du risque résiduel lié aux vulnérabilités techniques restantes et, finalement, l'acceptation du risque font également partie du management des vulnérabilités selon la norme ISO 27001.

Pour évaluer la gravité d'une vulnérabilité, on peut utiliser la norme industrielle"CVSS - Common Vulnerability Scoring System". Une note globale de 0 à 10 est déterminée à partir de la métrique du score de base, qui répond notamment aux questions suivantes À quel point l'attaquant doit-il se rapprocher du système vulnérable (vecteur d'attaque) ? Avec quelle facilité l'attaquant atteint-il la cible (complexité de l'attaque) ? Quels droits d'accès sont nécessaires pour exploiter la vulnérabilité (Privilèges requis) ? Avez-vous besoin d'assistants, par exemple un utilisateur qui doit d'abord suivre un lien (User Interaction) ? La confidentialité est-elle compromise (Confidentiality Impact) ?


Une calculatrice CVSS est disponible sur les pages du National Institute of Standards and Technology (NIST) des États-Unis.

Comment une entreprise peut-elle se protéger des vulnérabilités techniques ?

Par exemple, une entreprise peut se protéger de manière préventive contre les logiciels malveillants en introduisant et en mettant en œuvre des mesures de détection, de prévention et de sécurité des données, conjointement avec une sensibilisation appropriée des utilisateurs. En détail, cela signifie : Pour prévenir l'exploitation d'une vulnérabilité technique dans le contexte du management des vulnérabilités de la norme ISO 27001, il est nécessaire de :

  • Obtenir des informations opportunes sur les vulnérabilités techniques des systèmes d'information utilisés.
  • Évaluer leur vulnérabilité, et
  • Prendre les mesures appropriées

Cela peut se faire par l'installation de correctifs de sécurité (management des correctifs), l'isolement des systèmes informatiques vulnérables ou, finalement, par l'arrêt des systèmes. En outre, des règles d'installation de logiciels par les utilisateurs doivent être définies et mises en œuvre.

Questions importantes sur le management des vulnérabilités et le concept de sécurité ISO 20071

Les questions suivantes pourraient être posées lors d'un audit, il est donc judicieux d'y répondre à l'avance :

  • Avez-vous défini les rôles et les responsabilités pour traiter et surveiller les vulnérabilités techniques ?
  • Avez-vous pris connaissance des sources d'information qui peuvent être utilisées pour identifier les vulnérabilités techniques ?
  • Existe-t-il un délai pour réagir par des actions lorsqu'une vulnérabilité est notifiée et découverte ?
  • Avez-vous procédé à une évaluation des risques liés aux vulnérabilités, notamment en ce qui concerne les actifs de l'entreprise ?
  • Connaissez-vous vos vulnérabilités techniques ?

Si vous souhaitez obtenir un aperçu complet et fondé des menaces de l'Allemagne dans le cyberespace, vous pouvez trouver le "Situation Report on IT Security 2019" en anglais de l'Office fédéral allemand de la sécurité de l'information (BSI) sur https://www.bsi.bund.de.

Conclusion

Le management des vulnérabilités dans le contexte de la norme ISO 27001 est un processus continu qui doit être effectué régulièrement. Selon la norme ISO 27001, les résultats doivent être "valides". Cela signifie qu'une analyse de vulnérabilité et une évaluation des risques effectuées en une seule fois pour la mise en œuvre ou la certification ne sont plus valables à un moment ultérieur, par exemple lors de la re-certification.

Une analyse de vulnérabilité n'est valable qu'au moment précis où elle est effectuée. Mais si des mises à jour logicielles sont effectuées ultérieurement ou si des modifications sont apportées à la topologie, celles-ci peuvent entraîner de nouvelles vulnérabilités.

Il est donc important pour toute organisation de suivre, vérifier et répéter en permanence les processus de management des vulnérabilités et de reporter les informations pertinentes dans le système de management de la sécurité de l'information.

Lyna BARAKETI - DQS Maghreb
Loading...

Certification ISO 27001

Quels efforts devez-vous consentir pour faire certifier votre SMSI selon la norme ISO 27001 ? Obtenez des informations gratuites et sans engagement.

Nous nous réjouissons d'en discuter avec vous.

DQS. Simply leveraging Quality.

Nous nous considérons comme des partenaires importants de nos clients, avec lesquels nous travaillons à hauteur d'yeux pour obtenir une valeur ajoutée durable. Notre objectif est de donner aux organisations d'importantes impulsions de valeur ajoutée pour leur succès entrepreneurial grâce aux processus les plus simples, ainsi qu'au plus grand respect des délais et de la fiabilité.

Nos compétences principales résident dans la réalisation d'audits de certification et d'évaluations. Cela fait de nous l'un des principaux fournisseurs mondiaux, avec la prétention d'établir à tout moment de nouvelles références en matière de fiabilité, de qualité et d'orientation client.

Auteur
André Saeckel

Chef de produit chez DQS pour le management de la sécurité de l'information. En tant qu'expert en normes pour le domaine de la sécurité de l'information et du catalogue de sécurité informatique (infrastructures critiques), André Säckel est responsable, entre autres, des normes suivantes et des normes spécifiques au secteur : ISO 27001, ISIS12, ISO 20000-1, KRITIS et TISAX (sécurité de l'information dans l'industrie automobile). Il est également membre du groupe de travail ISO/IEC JTC 1/SC 27/WG 1 en tant que délégué national de l'Institut allemand de normalisation DIN.

Loading...