Skip to main content

Livres de Jeu Sectoriels: ISO 27001 pour les Fournisseurs Cloud et les Infrastructures Critiques

Livre de Jeu 3 : Fournisseurs de Services Cloud

3.1 Le Profil de Menaces des Fournisseurs Cloud

Les fournisseurs de services cloud occupent une position unique dans l'écosystème de la sécurité de l'information - ils sont simultanément des fournisseurs de sécurité et des cibles de sécurité. Une violation chez un fournisseur cloud hyperscale n'est pas un incident à organisation unique - c'est une attaque sur la chaîne d'approvisionnement affectant chaque organisation qui dépend du service compromis.

Défaillances d'isolation des locataires : Si l'isolation des locataires échoue - via des vulnérabilités d'hyperviseur, des attaques par canal auxiliaire ou des mauvaises configurations - les données d'un client deviennent accessibles à un autre.

Vulnérabilités des API et de la configuration : Le plan de contrôle cloud - les API et consoles via lesquels les clients configurent leurs environnements - est lui-même une surface d'attaque majeure. Les buckets S3 mal configurés, les rôles IAM trop permissifs et les consoles de gestion exposées sont parmi les vulnérabilités cloud les plus exploitées.

Menaces internes avec accès hyperscale : Un seul employé privilégié d'un fournisseur cloud pourrait potentiellement affecter des milliers d'environnements clients simultanément.

Attaques sur la chaîne d'approvisionnement des composants de plateforme : Les fournisseurs cloud dépendent de leurs propres chaînes d'approvisionnement - fabricants de matériel, fournisseurs de firmware, communautés open source.

DDoS ciblant la disponibilité : La disponibilité des services cloud est une infrastructure critique pour les organisations dépendantes.

Cryptojacking et utilisation non autorisée des ressources : Les identifiants cloud compromis sont utilisés pour démarrer des ressources informatiques pour le minage de cryptomonnaies.

3.2 Obligations Réglementaires et Contractuelles des Fournisseurs Cloud

RGPD en tant que sous-traitant : Les fournisseurs cloud traitant des données personnelles de l'UE pour le compte des clients sont des sous-traitants en vertu du RGPD. Ils doivent avoir des Accords de Traitement des Données (ATD) avec les clients, traiter uniquement sur instructions documentées et notifier les clients de violations de données personnelles sans délai indu.

ISO 27001 comme exigence commerciale : Pour les fournisseurs cloud, la certification ISO 27001 est la principale exigence commerciale pour accéder au marché entreprise.

SOC 2 Type II comme mécanisme de transparence : La combinaison de la certification ISO 27001 et de l'attestation SOC 2 Type II est la base minimale effective de crédibilité sur le marché cloud entreprise.

Normes spécifiques au cloud (ISO 27017, ISO 27018) : ISO 27017 fournit une guidance de sécurité spécifique au cloud ; ISO 27018 traite de la protection des DCP dans les clouds publics.

Exigences cloud sectorielles : Les fournisseurs cloud servant des industries réglementées - services financiers (DORA, FCA, FFIEC), santé (HIPAA, NHS), gouvernement (FedRAMP, UK G-Cloud) - doivent satisfaire des exigences sectorielles spécifiques au-dessus des cadres de base.

3.3 Le Modèle de Responsabilité Partagée et le SMSI

Le modèle de responsabilité partagée - qui divise les obligations de sécurité entre le fournisseur cloud et le client - a de profondes implications pour la conception du SMSI.

Pour le SMSI du fournisseur cloud, le modèle de responsabilité partagée doit être explicitement documenté : quels contrôles relèvent de la responsabilité du fournisseur, lesquels sont ceux du client, et lesquels sont partagés. Cette documentation forme le fondement du contenu des ATD, pour les Contrôles Complémentaires des Entités Utilisatrices (CCEU) SOC 2, et pour la guidance de sécurité que le fournisseur publie pour les clients.

3.4 Contrôles ISO 27001 Prioritaires pour les Fournisseurs Cloud

8.9 (Gestion de la configuration) : Dans les environnements cloud, les mauvaises configurations de sécurité sont la catégorie de vulnérabilité dominante. La gestion de la configuration doit être automatisée, continue et capable de détecter les déviations des bases de référence de sécurité en quasi-temps réel.

8.16 (Activités de surveillance) : Les fournisseurs cloud doivent surveiller leurs environnements à une échelle et une sophistication nécessitant des outils conçus à cet effet. L'analytique comportementale, la détection des anomalies et la chasse aux menaces automatisée sont des exigences opérationnelles.

5.23 (Sécurité de l'information pour l'utilisation des services cloud) : Les fournisseurs cloud doivent appliquer ce contrôle non seulement à leur propre utilisation de services tiers mais comme référence pour ce que leurs clients devraient attendre d'eux.

5.19 à 5.22 (Contrôles fournisseurs) : Les fournisseurs cloud sont des fournisseurs pour leurs clients, mais ils sont aussi clients de leur propre chaîne d'approvisionnement.

8.14 (Redondance) : Les clients cloud sélectionnent des fournisseurs spécifiquement pour la résilience de l'infrastructure distribuée. Le SMSI doit refléter une redondance vérifiée, pas seulement la capacité architecturale.

5.28 (Collecte de preuves) : Les fournisseurs cloud peuvent être tenus de fournir des preuves forensiques pour les enquêtes d'incidents clients, les procédures réglementaires ou les demandes des forces de l'ordre.

3.5 Pièges d'Implémentation pour les Fournisseurs Cloud

Piège 1 : Sous-délimitation de l'inventaire des actifs. Les fournisseurs cloud gérant une infrastructure à grande échelle peuvent avoir des millions d'actifs qui changent continuellement. La gestion traditionnelle des actifs échoue complètement.

Piège 2 : Traiter les environnements clients comme hors périmètre. La sécurité des environnements clients dépend des capacités de la plateforme que le fournisseur opère.

Piège 3 : Sous-estimation de la menace interne à l'échelle. Un seul employé avec un accès élevé à la plateforme pourrait potentiellement affecter des milliers d'environnements clients.

Piège 4 : Mécanismes de transparence de sécurité inadéquats. Les clients entreprises nécessitent des preuves de posture de sécurité allant au-delà d'un certificat. La transparence de la sécurité est une capacité commerciale, pas seulement une obligation de conformité.

Liste de Contrôle : Fournisseurs Cloud

Gouvernance et Leadership

  • Modèle de responsabilité partagée documenté - délimitation claire des obligations de sécurité du fournisseur et du client
  • Engagements de sécurité clients mappés aux contrôles SMSI - les obligations ATD ont des contrôles correspondants
  • Périmètre d'audit SOC 2 aligné sur le périmètre SMSI ISO 27001 - partage des preuves maximisé
  • Évaluation des écarts ISO 27017 et ISO 27018 complétée
  • Conseil consultatif en sécurité ou conseil de sécurité clients établi pour les apports externes
  • Politique de divulgation des vulnérabilités publiée - programme de divulgation responsable opérationnel

Gestion des Risques

  • L'évaluation des risques au niveau de la plateforme couvre l'isolation des locataires, la sécurité des API et les risques de chaîne d'approvisionnement
  • Risque des données clients évalué par classification
  • Évaluation du risque de la chaîne d'approvisionnement couvre le matériel, l'hyperviseur, les équipements réseau et les fournisseurs de logiciels
  • Risque de menace interne spécifiquement évalué pour les employés ayant un accès élevé à la plateforme
  • Menace DDoS évaluée - capacité de scrubbing et capacité d'ingénierie du trafic documentées
  • Risque réglementaire évalué par juridiction client

Gestion des Actifs

  • Inventaire de l'infrastructure automatisé - CMDB continuellement réconciliée avec l'environnement provisionné
  • Approche de suivi des actifs de données clients documentée
  • Nomenclature des logiciels (SBOM) maintenue pour les composants logiciels de la plateforme
  • Inventaire des dépendances open source maintenu - surveillance des vulnérabilités automatisée
  • Contrôles d'intégrité de la chaîne d'approvisionnement matérielle documentés - démarrage sécurisé, vérification du firmware

Contrôle des Accès

  • Accès privilégié à la production - juste-à-temps, enregistré, surveillé comportementalement
  • Contrôles d'accès à l'environnement client documentés - l'accès de support nécessite l'approbation du client
  • Accès aux données clients à des fins de support - processus conforme à l'ATD, capacité de notification des clients
  • Gouvernance IAM interne - définitions des rôles, revue trimestrielle, déprovision automatisée
  • Guidance sur les meilleures pratiques IAM client publiée et tenue à jour

Contrôles Techniques

  • Contrôles d'isolation des locataires testés - périmètre du test de pénétration inclut des scénarios d'attaque inter-locataires
  • Surveillance de la conformité de la configuration automatisée - CSPM déployé sur la plateforme complète
  • Gestion des vulnérabilités à l'échelle - scanning automatisé, priorisation par probabilité d'exploit, SLA appliqué
  • Surveillance de la sécurité à l'échelle de la plateforme - SIEM capable d'ingérer la télémétrie à l'échelle de la plateforme
  • Capacité d'atténuation DDoS - capacité de scrubbing, routage anycast, ingénierie du trafic
  • Gestion des clés de chiffrement - capacité de clé gérée par le client, isolation des clés vérifiée
  • Conservation des journaux répondant aux exigences des clients entreprises - minimum 12 mois

Gestion des Incidents

  • Processus de notification clients documenté - calendrier de notification de violation par juridiction
  • Distinction incident plateforme vs. incident client documentée
  • Processus de communication des incidents majeurs - communications clients, page de statut, rapports post-incident
  • Capacité de support forensique - conservation des journaux et extraction en support des enquêtes clients
  • Coordination de la notification de violation multi-juridictionnelle là où le fournisseur est sous-traitant RGPD

Transparence Client

  • Certificat ISO 27001 accessible publiquement
  • Rapport SOC 2 Type II disponible sous accord de confidentialité pour les clients entreprises
  • Résumé exécutif du test de pénétration disponible pour les clients sur demande
  • Livre blanc de sécurité documentant l'architecture de sécurité de la plateforme publié et à jour
  • Portail de documentation de conformité - modèles ATD, liste des sous-traitants, avenants de sécurité
  • Notifications de sécurité clients - processus de notification des clients pertinents des événements de sécurité

Livre de Jeu 4 : Infrastructures Critiques

4.1 Le Profil de Menaces des Infrastructures Critiques

Les opérateurs d'infrastructures critiques - compagnies d'énergie, services des eaux, réseaux de transport, fournisseurs de télécommunications - font face à un profil de menaces qualitativement différent des organisations commerciales. La conséquence d'une attaque réussie n'est pas une perte financière ou une violation de données - c'est un préjudice physique au public et la perturbation de services dont les populations dépendent pour leur sécurité et leur bien-être de base.

Opérations cyber des États-nations : Le pré-positionnement - l'obtention d'un accès persistant pour une activation future potentielle - est une stratégie documentée de plusieurs acteurs étatiques. L'attaque Colonial Pipeline de 2021 a perturbé les approvisionnements en carburant sur la côte Est des États-Unis.

Exploitation de la technologie opérationnelle (OT) : La convergence des réseaux IT et OT a considérablement élargi la surface d'attaque des infrastructures critiques. Le malware TRITON/TRISIS, qui ciblait les systèmes instrumentés de sécurité dans une installation pétrochimique du Moyen-Orient, a démontré que les attaques contre les systèmes de sécurité physique ne sont pas théoriques.

Attaques sur la chaîne d'approvisionnement des systèmes de contrôle industriels : Les fournisseurs ICS - fabricants d'automates programmables, de systèmes de sécurité et de stations de travail d'ingénierie - ont été spécifiquement ciblés.

Combinaisons d'attaques physiques-cyber : Les attaques contre les infrastructures critiques combinent de plus en plus des éléments cyber et physiques.

Ransomware ciblant la continuité opérationnelle : Les groupes criminels de ransomware ont démontré leur volonté d'attaquer les infrastructures critiques.

4.2 Le Problème de Convergence IT/OT

L'aspect le plus significatif et le plus fréquemment mal géré de la conception du SMSI des infrastructures critiques est le traitement des systèmes OT. Trois approches sont courantes, et une seule est défendable :

Approche 1 : Exclure l'OT du périmètre SMSI. C'est dangereux - les connexions réseau IT/OT qui existent dans pratiquement tous les environnements d'infrastructures critiques modernes signifient que les compromissions IT peuvent directement affecter les opérations OT.

Approche 2 : Appliquer les contrôles IT standard à l'OT. Cela échoue typiquement car les systèmes OT ne peuvent pas être patchés, ne peuvent pas exécuter d'agents de protection des endpoints et ont des exigences de disponibilité qui excluent les fenêtres de maintenance.

Approche 3 : Approche hybride avec contrôles spécifiques à l'OT. L'approche défendable reconnaît les systèmes OT comme étant dans le périmètre SMSI mais applique des contrôles spécifiques à l'OT adaptés aux contraintes uniques de l'environnement OT. ISA/IEC 62443 fournit le cadre de contrôle spécifique à l'OT ; ISO 27001 fournit la gouvernance du système de management. Les deux normes sont conçues pour une utilisation intégrée.

4.3 Le Cadre Réglementaire des Infrastructures Critiques

NIS2 - entités essentielles : Les opérateurs d'infrastructures critiques dans les secteurs d'entités essentielles font face aux exigences NIS2 les plus strictes.

Réglementations sectorielles :

  • Énergie : Codes de réseau de l'UE, exigences du National Grid ESO du Royaume-Uni, NERC CIP (États-Unis)
  • Transport : Exigences de cybersécurité OACI/OMI, guidance d'implémentation sectorielle NIS de l'UE
  • Eau : Exigences de cybersécurité de l'EPA (États-Unis), guidance sur la sécurité de l'eau potable de l'UE
  • Télécommunications : Lignes directrices BEREC, réglementations nationales de sécurité des télécoms

ISA/IEC 62443 : La principale norme de sécurité ICS/OT - une famille de normes traitant de la sécurité des systèmes d'automatisation et de contrôle industriels, de plus en plus référencée dans la réglementation des infrastructures critiques.

4.4 Contrôles ISO 27001 Prioritaires pour les Infrastructures Critiques

8.20 à 8.22 (Sécurité et segmentation des réseaux) : La segmentation IT/OT est le contrôle le plus critique dans les environnements d'infrastructures critiques. Un poste de travail administratif compromis ne doit jamais avoir un chemin réseau vers un système de contrôle opérationnel.

5.30 (Préparation des TIC pour la continuité des activités) : Pour les infrastructures critiques, la continuité des activités est une obligation de sécurité publique. Les plans de continuité doivent inclure des procédures opérationnelles manuelles testées contre de véritables scénarios de perturbation.

5.7 (Renseignements sur les menaces) : Les acteurs étatiques ciblant les infrastructures critiques sont sophistiqués, patients et bien dotés en ressources. L'ICS-CERT, les ISACs sectoriels et les partenariats de renseignement gouvernementaux sont essentiels.

7.1 à 7.6 (Sécurité physique) : Pour les infrastructures critiques, la sécurité physique des installations opérationnelles est aussi importante que la cybersécurité. L'accès physique aux systèmes de contrôle peut permettre des attaques contournant tous les contrôles cyber.

8.8 (Vulnérabilités techniques - adapté à l'OT) : Le processus de gestion des vulnérabilités standard doit être adapté pour les environnements OT où le patching peut être impossible.

4.5 Pièges d'Implémentation pour les Infrastructures Critiques

Piège 1 : Traiter la sécurité OT comme un problème informatique. La sécurité OT nécessite une expertise en ingénierie opérationnelle. Un SMSI implémenté par une équipe de sécurité informatique sans implication de l'ingénierie OT produira des contrôles techniquement corrects mais opérationnellement impossibles à mettre en œuvre.

Piège 2 : Supposer que les lacunes d'air sont maintenues. L'investigation révèle généralement des clés USB, des ordinateurs portables de maintenance, des serveurs historians, des connexions d'accès à distance et des canaux de support fournisseurs qui traversent la frontière supposée.

Piège 3 : Sous-estimation du risque de la chaîne d'approvisionnement pour les fournisseurs ICS. Le cas TRITON/TRISIS démontre que même les systèmes instrumentés de sécurité sont dans le périmètre des attaquants sophistiqués.

Piège 4 : Cloisonnement physique-cyber. La sécurité physique et la cybersécurité sont gérées par des équipes différentes avec une coordination limitée.

Liste de Contrôle : Infrastructures Critiques

Gouvernance et Leadership

  • Gouvernance de la sécurité IT et OT intégrée - comité de sécurité de l'information inclut l'ingénierie opérationnelle
  • Propriété de la sécurité OT définie - responsabilité entre la sécurité IT et l'ingénierie opérationnelle documentée
  • Obligations réglementaires mappées - réglementations sectorielles, exigences NIS2 entité essentielle, exigences CIP nationales
  • Budget de sécurité inclut l'investissement en sécurité OT - ligne budgétaire distincte calibrée au profil de menaces OT
  • Relations de renseignement gouvernemental établies - adhésion ISAC sectoriel, contacts de liaison gouvernementaux
  • Sensibilisation au niveau du conseil au profil de menaces des États-nations

Gestion des Risques

  • Risque de convergence IT/OT spécifiquement évalué - toutes les connexions réseau documentées et évaluées par les risques
  • Inventaire des systèmes OT complet - systèmes ICS/SCADA, automates, RTU, stations de travail d'ingénierie, serveurs historians
  • Profils d'acteurs de menaces étatiques maintenus pour les acteurs connus pour cibler le secteur
  • Scénarios d'attaques physiques-cyber combinés inclus dans l'évaluation des risques
  • Évaluation du risque de la chaîne d'approvisionnement couvre les fournisseurs ICS
  • Scénarios d'impact dans le pire des cas évalués - conséquences sur la sécurité publique incluses dans le scoring d'impact

Architecture et Segmentation IT/OT

  • Architecture de frontière IT/OT documentée - toutes les connexions réseau, flux de données et protocoles mappés
  • Frontière IT/OT appliquée par des contrôles techniques - pare-feu, diodes de données ou passerelles unidirectionnelles
  • Affirmations de lacune d'air activement vérifiées - scanning et inspection physique, pas d'hypothèse
  • Segments réseau spécifiques à l'OT définis - systèmes de sécurité isolés des opérationnels, opérationnels des entreprises
  • Accès à distance aux environnements OT - spécifiquement autorisé, journalisé, surveillé, minimisé à la nécessité
  • Détection de sans-fil non autorisé déployée dans les zones opérationnelles

Contrôles de Sécurité OT

  • Inventaire des actifs OT maintenu - fournisseur, modèle, version firmware, connexion réseau, fonction opérationnelle
  • Processus de gestion des vulnérabilités OT documenté - adapté aux contraintes OT et à l'impact opérationnel
  • Notifications de patch des fournisseurs ICS surveillées - abonnement aux avis de sécurité de tous les fournisseurs pertinents
  • Systèmes OT en fin de support inventoriés - contrôles compensatoires ou plan de remplacement formellement documentés
  • Identifiants OT par défaut éliminés ou documentés avec contrôles compensatoires
  • Contrôles des supports amovibles pour les environnements OT - liste blanche USB ou blocage physique où faisable
  • Surveillance comportementale spécifique à l'OT déployée - détection intégrant les protocoles ICS (Claroty, Dragos, ou équivalent)
  • Évaluation des écarts ISA/IEC 62443 complétée - alignement documenté et écarts remédiés

Sécurité Physique

  • Périmètres de sécurité physique définis pour tous les sites opérationnels critiques
  • Journaux d'accès physique maintenus pour toutes les zones opérationnelles critiques
  • Détection d'intrusion physique déployée sur les sites critiques - surveillance avec capacité de réponse 24/7
  • Gestion des visiteurs et contractants pour les sites opérationnels
  • Détection de falsification physique pour les dispositifs de terrain critiques
  • Sécurité physique de la chaîne d'approvisionnement pour le matériel ICS - chaîne de custody de l'approvisionnement à l'installation

Gestion des Incidents

  • Guide de jeu de réponse aux incidents OT documenté - distinct de la réponse aux incidents IT, validé opérationnellement
  • La réponse aux incidents OT implique l'ingénierie opérationnelle
  • Capacité d'alerte précoce NIS2 à 24 heures - détection et escalade dans les 24 heures pour les incidents significatifs
  • Contacts de notification gouvernement/régulateur dans le guide de jeu
  • Évaluation de l'impact sur la sécurité publique dans la classification de gravité des incidents
  • Guide de jeu ransomware incluant la récupération spécifique à l'OT
  • Exercices annuels incluant des scénarios OT - perte de contrôle, perte de communications, combinaison physique-cyber

Continuité des Activités

  • Procédures opérationnelles manuelles documentées pour chaque fonction opérationnelle critique
  • Opérations manuelles testées - exercice de simulation pour la perte de capacité d'automatisation, résultats documentés
  • Objectifs de délai de récupération reflétant les exigences de sécurité publique
  • Procédures de sauvegarde et récupération OT - sauvegarde de configuration, restauration d'image ICS, testée annuellement
  • Accords d'aide mutuelle avec les opérateurs pairs - cadre de soutien pour les pannes prolongées

Renseignements sur les Menaces

  • Adhésion ISAC sectoriel active - participation aux briefings, contribution au partage
  • Relation de renseignement gouvernementale établie - CISA (États-Unis), NCSC (Royaume-Uni), ANSSI (France), BSI (Allemagne), ou équivalent national
  • Profils d'acteurs APT maintenus pour les acteurs connus pour cibler le secteur
  • ICS-CERT et avis de sécurité des fournisseurs surveillés
  • Renseignements sur les menaces régulièrement alimentés dans les règles de détection de surveillance OT

Partie 5 : Enseignements Transversaux Consolidés

5.1 Les Contrôles Importants Partout

Quatre contrôles apparaissent systématiquement dans tous les secteurs dans chaque plan de traitement des risques critiques et chaque analyse post-incident.

Authentification multifacteur (8.5) : Chaque attaque basée sur les identifiants est rendue beaucoup plus difficile par une application universelle de l'AMF. Les déploiements partiels - externe uniquement, systèmes sélectionnés uniquement - laissent systématiquement les lacunes que les attaquants sophistiqués exploitent.

Gestion des accès privilégiés (8.2) : Dans chaque secteur, les comptes privilégiés sont l'objectif principal de l'attaquant après l'accès initial. L'accès juste-à-temps, l'enregistrement de session, la revue trimestrielle sans exception et la surveillance comportementale réduisent systématiquement le rayon d'action d'un compromis initial.

Sauvegarde et récupération testées (8.13 et 5.30) : La capacité de récupération après ransomware est le principal déterminant de si un incident de ransomware est une perturbation de 24 heures ou une crise de plusieurs semaines. Les sauvegardes non testées fournissent une fausse confiance.

Sécurité de la chaîne d'approvisionnement (5.19 à 5.23) : Dans chaque secteur, les incidents les plus significatifs des cinq dernières années ont impliqué des compromissions de fournisseurs plutôt que des attaques directes. SolarWinds, Kaseya, MOVEit, Log4Shell - toutes étaient des attaques sur la chaîne d'approvisionnement ou les composants tiers.

5.2 Les Principes d'Implémentation qui Transcendent les Secteurs

Proportionnalité des risques plutôt que complétude des contrôles. Le SMSI qui traite les risques réels et spécifiques de l'organisation dans son contexte spécifique surpassera le SMSI qui met en œuvre chaque contrôle de l'Annexe A sans discriminer.

Intégration opérationnelle plutôt que documentation. Le contrôle qui est opérationnellement intégré - que le personnel comprend, qui est techniquement appliqué, qui produit des preuves comme sous-produit de l'opération normale - fournit une sécurité réelle.

Renseignements sur les menaces comme apport continu au risque. Les évaluations de menaces génériques produisent des sélections de contrôles génériques. Les renseignements sur les menaces actuels et spécifiques au secteur - consommés activement, analysés systématiquement et alimentés dans les mises à jour du registre des risques - produisent des évaluations qui reflètent ce qui se passe réellement.

La disponibilité comme dimension de risque de première classe. Dans tous les secteurs, les risques de disponibilité se sont avérés aussi conséquents que les risques de confidentialité - et dans la santé et les infrastructures critiques, plus conséquents en termes de préjudice humain potentiel.

L'engagement de la direction comme prérequis non négociable. Dans tous les secteurs et au cours de deux décennies d'implémentations SMSI, le prédicteur le plus fiable de l'efficacité du SMSI est l'engagement réel de la direction - des conseils d'administration qui comprennent le profil de menaces, des équipes de direction qui traitent la sécurité comme une fonction stratégique.

Partie 6 : Liste de Contrôle d'Implémentation Transversale Finale

Ces éléments s'appliquent quel que soit le secteur. Considérez ceci comme le plancher avant l'application de toute liste de contrôle spécifique au secteur.

Fondation

  • La déclaration de périmètre définit précisément les frontières organisationnelles, géographiques, de processus et technologiques
  • Analyse du contexte documentée - enjeux internes et externes, exigences des parties prenantes
  • Méthodologie de risque documentée - critères, échelles, méthodologie, déclencheurs de révision
  • Registre des risques actuel - révisé dans les 12 derniers mois au minimum
  • Déclaration d'Applicabilité complète - les 93 contrôles traités avec des justifications substantielles
  • Politique de sécurité de l'information approuvée par la haute direction et communiquée à tout le personnel en scope
  • Rôles et responsabilités assignés - chaque activité SMSI significative a un propriétaire désigné

Gestion des Risques

  • L'évaluation des risques couvre tous les actifs informationnels significatifs
  • Plan de traitement des risques complet - chaque risque est traité, accepté, évité ou transféré avec documentation
  • Propriétaires de risques identifiés pour tous les risques significatifs
  • Risques résiduels formellement acceptés au niveau organisationnel approprié
  • Objectifs de sécurité de l'information définis - SMART, mesurables, avec progression suivie

Opérations

  • Inventaire des actifs maintenu - actuel, complet, avec propriétaires et classification
  • Processus de gestion des changements opérationnel - revue de sécurité intégrée
  • Registre des fournisseurs maintenu - nivelé par risque, avec calendrier de révision actuel
  • Registre des incidents opérationnel - incidents enregistrés, classifiés et post-révisés
  • Processus de gestion des vulnérabilités opérationnel - scanner, trier, remédier, SLA appliqué

Personnes

  • Formation annuelle de sensibilisation à la sécurité complétée par tout le personnel en scope
  • Formation spécifique au rôle fournie pour les rôles à haut risque - accès privilégié, finance, développement
  • Simulation de phishing réalisée - résultats utilisés pour le suivi ciblé
  • Processus arrivées/mobilités/départs intègre la sécurité - accès provisionné, révisé et révoqué systématiquement
  • Processus de vérification défini pour les rôles avec accès à des informations sensibles

Contrôles Techniques

  • AMF appliquée - universelle pour l'accès externe, l'accès privilégié et les systèmes sensibles au minimum
  • Revues d'accès réalisées selon le calendrier - trimestrielles pour les privilégiés, semestrielles pour tous les utilisateurs
  • Sauvegarde testée - sauvegarde isolée vérifiée avec exercice de récupération chronométré
  • Chiffrement déployé - au repos pour les données sensibles, en transit pour toutes les communications sensibles
  • Journalisation opérationnelle - couverture des systèmes critiques, conservation suffisante pour l'investigation des incidents

Mesure et Amélioration

  • Métriques de sécurité rapportées mensuellement à la direction de la sécurité
  • Métriques de sécurité rapportées trimestriellement à la direction générale
  • Programme d'audit interne exécuté - couvre l'ensemble du périmètre SMSI sur le cycle de certification
  • Revue de direction réalisée - couvre tous les apports de la Clause 9.3, produit des décisions et actions spécifiques
  • Processus de non-conformité et d'action corrective opérationnel - cause racine traitée, clôture vérifiée
  • Registre d'amélioration continue maintenu - opportunités d'amélioration suivies jusqu'à leur complétion

© ISO 27001 Wiki - Pour les RSSI, Analystes de Sécurité et Professionnels GRC 10 Chapitres | Édition Complète