Analyse des nouvelles commandes ISO 27001:2022 – À partir de cette semaine, nous publierons une analyse approfondie des 11 nouvelles commandes requises par la norme ISO 27001:2022.
A.5.7 Informations sur les menaces
A.5.23 Sécurité de l’information pour l’utilisation des services cloud
A.5.30 Préparation des TIC pour la continuité des activités
A.7.4 Surveillance de la sécurité physique
A.8.9 Gestion de la configuration
A.8.10 Élimination des informations
A.8.11 Masquage des données
A.8.12 Prévention de la perte de données
A.8.16 Activités de suivi
A.8.23 Filtrage du Web
A.8.28 Codage sécurisé
Ces contrôles ne sont pas obligatoires : ISO 27001 vous permet d’exclure un contrôle si (1) vous n’avez pas identifié les risques associés et (2) il n’y a pas d’exigences légales/réglementaires/contractuelles pour mettre en œuvre ce contrôle spécifique.
A.5.7 Informations sur les menaces
Description. Ce contrôle nécessite que vous collectiez des informations sur les menaces et que vous les analysiez afin de prendre les mesures d’atténuation appropriées. Ces informations peuvent être liées aux attaques, aux méthodes et aux technologies spécifiques utilisées par les attaquants et/ou aux tendances des attaques. Nous devons collecter ces informations en interne ainsi que de sources externes telles que des rapports de fournisseurs, des annonces d’agences gouvernementales, etc.
Technologie. Les petites entreprises n’auront probablement pas besoin de nouvelles technologies liées à ce contrôle ; au contraire, elles devront découvrir comment extraire des renseignements sur les menaces à partir de leurs systèmes existants. Si elles n’en ont pas encore, les grandes entreprises devront acquérir un système qui les avertit des nouvelles menaces (ainsi que des vulnérabilités et des incidents). Les entreprises de toutes tailles devront utiliser des renseignements sur les menaces pour renforcer leurs systèmes.
Organisation/processus. Vous devez mettre en place des processus autour de la collecte et de l’utilisation des renseignements sur les menaces pour introduire des contrôles préventifs dans les systèmes informatiques, améliorer l’évaluation des risques et introduire de nouvelles méthodes pour les tests de sécurité. Personnes. Sensibilisez les employés à l’importance de signaler les menaces et formez-les sur la manière de communiquer ces menaces et à qui.
Documentation. ISO 27001 n’exige pas de documentation ; cependant, vous pouvez inclure des règles de renseignement sur les menaces dans les documents suivants :
Politique de sécurité des fournisseurs : définissez comment les informations sur les menaces sont communiquées entre l’entreprise et ses fournisseurs et partenaires.
Processus de gestion des incidents : définissez comment les informations sur les menaces sont communiquées en interne dans l’entreprise.
Procédures opérationnelles de sécurité : définissez comment collecter et traiter les informations sur les menaces.
