Réussir votre audit de sécurité fournisseur
En matière de sécurité, tout est en constante évolution et les normes ne font pas exception. La norme ISO 27001:2022 remplacera bientôt la norme ISO 27001:2013. Aucune exigence significative de la version 2013 n'a été supprimée pour la version 2022. Mais il y a de nombreux changements, principalement dans deux catégories :
- un ensemble de nouveaux contrôles de sécurité
- fusionnant de nombreuses anciennes vérifications de 2013.
Pour cet article de blog, concentrons-nous uniquement sur les nouveautés axées sur la sécurité.
La révision de l'ISO 27001:2022 introduit 11 nouveaux contrôles
A.5.7 Renseignement sur les menaces
Ce contrôle clé ISO 27001:2022 consiste à recueillir des informations sur les menaces et à les analyser pour prendre les bonnes mesures de protection. Cela signifie obtenir des informations détaillées sur les attaques spécifiques ainsi que sur les méthodes et technologies sournoises utilisées par ces attaquants. De plus, il exige de surveiller les dernières tendances d'attaque. Voici l'astuce : vous devez recueillir ces informations à la fois au sein de votre propre organisation et auprès de sources externes, telles que les annonces des agences gouvernementales et les rapports des fournisseurs. En restant informé de ce qui se passe, vous pourrez vous conformer à l'A.5.7.
🎯 Excellente nouvelle – c'est comme si Aikido avait été conçu pour cela. C'est littéralement ce que fait Aikido.
A.5.23 Sécurité de l'information pour l'utilisation des services cloud
Pour vous conformer à cette exigence ISO 27001:2022, vous devrez définir des exigences de sécurité pour les services cloud afin de mieux protéger vos informations dans le cloud. Cela inclut l'achat, l'utilisation, la gestion et la résiliation de l'utilisation des services cloud.
🎯 Aikido dispose d'un outil intégré de gestion de la posture de sécurité cloud (CSPM) pour vous aider.
A.5.30 Préparation des TIC à la continuité des activités
Ce contrôle exige que vos technologies de l'information et de la communication soient prêtes à faire face à d'éventuelles perturbations. Pourquoi ? Pour que les informations et les ressources nécessaires soient disponibles en cas de besoin. Cela inclut la planification de la préparation, l'implémentation, la maintenance et les tests.
🎯 Pour vous permettre de vous conformer à cette exigence ISO 27001:2022, Aikido vérifie votre préparation aux perturbations majeures du cloud, y compris votre capacité à effectuer des sauvegardes inter-régions. Cette fonctionnalité n'est pas un paramètre par défaut, même pour AWS.
A.7.4 Surveillance de la sécurité physique
Ce contrôle ISO 27001:2022 est un peu différent des autres – il est axé sur l'espace de travail physique. Il vous oblige à surveiller les zones sensibles afin de n'autoriser que les personnes autorisées à y accéder. Les espaces concernés peuvent inclure tous les lieux où vous opérez : vos bureaux, installations de production, entrepôts et tout autre espace physique que vous utilisez.
🥋 Conseil de pro : il est temps de vous rendre au dojo local ! Pour celui-ci, vous aurez besoin du vrai Aikido ! (l'art martial) 😂
A.8.9 Gestion de la configuration
Ce contrôle vous demande de gérer l'ensemble du cycle de configuration de sécurité pour votre technologie. L'objectif est d'assurer un niveau de sécurité adéquat et d'éviter toute modification non autorisée. Cela inclut la définition, l'implémentation, la surveillance et la révision de la configuration.
🎯 L'une des choses ici est de s'assurer que la sécurité correcte est configurée dans votre git (GitHub) pour chaque branche, afin que tout le monde ne puisse pas merge sans les approbations appropriées.
Aikido vérifiera un grand nombre de problèmes de configuration dans votre cloud. Il vérifiera également que vous utilisez l'IAC pour définir votre cloud, afin d'éviter la dérive de configuration dans votre cloud.
A.8.10 Suppression d'informations
Vous devez supprimer les données lorsqu'elles ne sont plus nécessaires pour se conformer à ce contrôle. Pourquoi ? Pour éviter la fuite d'informations sensibles et permettre la conformité aux exigences de confidentialité et autres. Cela peut inclure la suppression dans vos systèmes informatiques, les supports amovibles et les services cloud.
⚠️ Ce type de contrôle n'est pas couvert par Aikido.
A.8.11 Masquage des données
L'ISO 27001:2022 exige l'utilisation du masquage de données (aussi appelé obfuscation de données) conjointement avec le contrôle d'accès afin de limiter l'exposition des informations sensibles. Cela concerne principalement les informations personnellement identifiables (PII), car il existe déjà des réglementations robustes en matière de confidentialité. En outre, cela pourrait également inclure d'autres catégories de données sensibles.
⚠️ Ce contrôle vise à s'assurer que vous ne journalisez pas les mauvaises PII dans les systèmes de journalisation, etc. Heureusement, la plupart des systèmes modernes (par exemple Sentry) disposent d'un filtre intégré pour cette exigence. Mais Aikido n'est pas conçu pour vérifier ce contrôle.
A.8.12 Prévention des fuites de données
Pour ce contrôle, vous devrez appliquer diverses mesures de prévention des fuites de données afin d'éviter la divulgation non autorisée d'informations sensibles. Et si de tels incidents se produisent, vous devrez les détecter en temps voulu. Cela inclut les informations dans les systèmes informatiques, les réseaux et tout appareil.
🎯 Aikido vérifie que votre cloud ne présente aucune configuration de sécurité inadéquate susceptible d'entraîner une fuite de données indésirable.
A.8.16 Activités de surveillance
Ce contrôle vous demande de surveiller vos systèmes afin de reconnaître les activités inhabituelles et, si nécessaire, d'activer la réponse appropriée aux incidents. Cela inclut la surveillance de vos systèmes informatiques, réseaux et applications.
🎯 Une fois vos applications configurées, il ne suffit pas de laisser les e-mails s'accumuler dans l'archive de votre boîte de réception. Il est préférable de les laisser envoyer des alertes à Slack. Et devinez quoi ? Aikido le fait.
A.8.23 Filtrage web
Afin de protéger vos systèmes informatiques, le contrôle de filtrage web vous demande de gérer les sites web auxquels vos utilisateurs accèdent. De cette manière, vous pouvez empêcher vos systèmes d'être compromis par des codes malveillants. Vous empêcherez également les utilisateurs d'utiliser des contenus illégaux provenant d'Internet.
🎯 En pratique, cela signifie utiliser tout type de WAF tel que AWS WAF ou Cloudflare. Aikido s'en charge – nous surveillons leur présence.
A.8.28 Codage sécurisé
L'ISO 27001:2022 concerne également le codage sécurisé. Ce contrôle vous demande d'établir des principes de codage sécurisé et de les appliquer à votre développement logiciel. Pourquoi ? Pour réduire les vulnérabilités de sécurité dans le logiciel. Quand ? Cela peut inclure des activités avant, pendant et après le codage.
🎯 Il s'agit des Tests de sécurité des applications statiques (SAST) d'Aikido, que nous avons développés à partir de logiciels open source de premier ordre. De plus, vous pouvez utiliser notre analyse de la composition logicielle (SCA), basée sur Trivy.
Conformité ISO 27001:2022 avec l'aide d'Aikido
Si vous utilisez toujours la norme ISO 27001:2013, vous aurez du travail à faire. Mais ne vous inquiétez pas. Il est tout à fait possible de se mettre à jour sur l'ISO 27001:2022 en peu de temps.
Ainsi, si vous souhaitez sécuriser rapidement votre application, Aikido vous offre une vue d'ensemble complète de votre situation concernant les contrôles de code et de cloud.
Vous voulez savoir où vous en êtes ? Vérifiez votre conformité dès maintenant avec Aikido ! Cela ne prend que quelques minutes : https://app.aikido.dev/reports/iso
Intéressé par une discussion avec quelqu'un qui a traversé le processus de certification ISO ? Remplissez le formulaire ci-dessous et nous organiserons un appel.
