Survivre à l'évaluation de la sécurité des fournisseurs
En matière de sécurité, tout évolue en permanence et les normes ne font pas exception. La norme ISO 27001:2022 remplacera bientôt la norme ISO 27001:2013. Aucune exigence importante de 2013 n'a été supprimée pour la version 2022. Mais il y a beaucoup de changements, principalement dans deux catégories :
- toute une série de nouveaux contrôles de sécurité
- la fusion d'un grand nombre d'anciens chèques de 2013.
Pour ce billet, nous nous concentrerons sur les nouveaux modèles axés sur la sécurité.
La révision de la norme ISO 27001:2022 introduit 11 nouveaux contrôles
A.5.7 Renseignements sur les menaces
Ce contrôle clé de la norme ISO 27001:2022 consiste à recueillir des informations sur les menaces et à les analyser pour prendre les bonnes mesures de protection. Il s'agit d'obtenir des informations sur des attaques spécifiques et sur les méthodes et technologies sournoises utilisées par les attaquants. En outre, il faut surveiller les dernières tendances en matière d'attaques. Voici l'astuce : vous devez recueillir ces informations à la fois au sein de votre propre organisation et auprès de sources extérieures, telles que les annonces des agences gouvernementales et les rapports des fournisseurs. En restant à l'affût de ce qui se passe, vous serez en mesure de vous conformer à l'article A.5.7.
🎯 Excellente nouvelle - c'est comme si l'Aïkido avait été conçu pour cela. C'est littéralement ce que fait l'Aïkido.
A.5.23 Sécurité de l'information pour l'utilisation des services en nuage
Pour vous conformer à cette exigence de la norme ISO 27001:2022, vous devrez définir des exigences de sécurité pour les services en nuage afin de mieux protéger vos informations dans le nuage. Cela comprend l'achat, l'utilisation, la gestion et la cessation de l'utilisation des services en nuage.
🎯 Aikido dispose d'un outil intégré de gestion de la posture de sécurité dans le cloud (CSPM) pour vous aider.
A.5.30 Préparation des TIC à la continuité des activités
Ce contrôle exige que vos technologies de l'information et de la communication soient prêtes à faire face à d'éventuelles perturbations. Pourquoi ? Pour que les informations et les actifs nécessaires soient disponibles en cas de besoin. Cela comprend la planification de la préparation, la mise en œuvre, la maintenance et les tests.
🎯 Pour vous permettre de vous conformer à cette exigence de la norme ISO 27001:2022, Aikido vérifie votre préparation aux grandes perturbations du cloud, notamment votre capacité à effectuer des sauvegardes entre les régions. Cette fonctionnalité n'est pas un paramètre par défaut, même pour AWS.
A.7.4 Contrôle de la sécurité physique
Ce contrôle ISO 27001:2022 est un peu différent des autres - il se concentre sur l'espace de travail physique. Il exige que vous surveilliez les zones sensibles afin que seules les personnes autorisées puissent y accéder. Les espaces concernés peuvent être n'importe quel endroit où vous opérez : vos bureaux, vos installations de production, vos entrepôts et tout autre espace physique que vous utilisez.
🥋 Conseil : il est temps de se rendre au dojo local ! Pour celui-ci, vous aurez besoin d'un véritable Aïkido ! (l'art martial) 😂
A.8.9 Gestion de la configuration
Ce contrôle exige que vous gériez l'ensemble du cycle de configuration de la sécurité pour votre technologie. L'objectif est de garantir un niveau de sécurité adéquat et d'éviter toute modification non autorisée. Cela comprend la définition de la configuration, la mise en œuvre, le contrôle et la révision.
🎯 L'une des choses ici est que vous vous assurez que la sécurité correcte est configurée dans votre git (GitHub) pour chaque branche, de sorte que tout le monde ne puisse pas fusionner sans les approbations appropriées.
Aikido vérifiera une grande partie des problèmes de configuration dans votre cloud. Il vérifiera également que vous utilisez IAC pour définir votre nuage, afin d'éviter les dérives de configuration dans votre nuage.
A.8.10 Suppression d'informations
Vous devez supprimer les données lorsqu'elles ne sont plus nécessaires pour respecter ce contrôle. Pourquoi ? Pour éviter la fuite d'informations sensibles et pour permettre le respect de la vie privée et d'autres exigences. Il peut s'agir de la suppression dans vos systèmes informatiques, sur des supports amovibles et dans des services en nuage.
⚠️ Ce type de contrôle n'est pas couvert par l'Aïkido.
A.8.11 Masquage des données
La norme ISO 27001:2022 exige que vous utilisiez le masquage des données (alias l'obscurcissement des données) ainsi que le contrôle d'accès afin de limiter l'exposition des informations sensibles. Il s'agit principalement d'informations personnelles identifiables (PII), car il existe déjà des réglementations strictes en matière de protection de la vie privée. Par ailleurs, d'autres catégories de données sensibles pourraient également être concernées.
⚠️ Ce contrôle vise à s'assurer que vous n'enregistrez pas les mauvaises IIP dans les systèmes d'enregistrement, etc. Heureusement, la plupart des systèmes modernes (par exemple Sentry) disposent d'une sorte de filtre intégré pour répondre à cette exigence. Mais Aikido n'est pas conçu pour vérifier ce contrôle.
A.8.12 Prévention des fuites de données
Pour ce contrôle, vous devrez appliquer diverses mesures contre les fuites de données afin d'éviter la divulgation non autorisée d'informations sensibles. Et si de tels incidents se produisent, vous devrez les détecter en temps utile. Cela concerne les informations contenues dans les systèmes informatiques, les réseaux et tous les appareils.
🎯 Aikido vérifie que votre nuage n'a pas de mauvaise configuration de sécurité qui pourrait entraîner une fuite de données non désirée.
A.8.16 Activités de contrôle
Ce contrôle exige que vous surveilliez vos systèmes afin de détecter les activités inhabituelles et, le cas échéant, d'activer la réponse appropriée en cas d'incident. Cela comprend la surveillance de vos systèmes, réseaux et applications informatiques.
🎯 Une fois que vous avez configuré vos applications, il ne suffit pas de laisser les courriels s'accumuler dans les archives de votre boîte de réception. Le mieux est de les laisser envoyer des alertes sur Slack. Et, devinez quoi ? C'est ce que fait Aikido.
A.8.23 Filtrage du web
Afin de protéger vos systèmes informatiques, le contrôle du filtrage web vous permet de gérer les sites web auxquels vos utilisateurs accèdent. Vous éviterez ainsi que vos systèmes soient compromis par des codes malveillants. Vous empêcherez également les utilisateurs de se servir de matériel illégal sur Internet.
🎯 En pratique, cela signifie utiliser n'importe quel type de WAF tel que AWS WAF ou Cloudflare. Aikido vous couvre - nous surveillons leur présence.
A.8.28 Codage sécurisé
La norme ISO 27001:2022 concerne également le codage sécurisé. Ce contrôle exige que vous établissiez des principes de codage sécurisé et que vous les appliquiez au développement de vos logiciels. Pourquoi ? Pour réduire les failles de sécurité dans le logiciel. Quand ? Il peut s'agir d'activités avant, pendant et après le codage.
🎯 Il s'agit du test statique de sécurité des applications (SAST) d'Aikido, que nous avons construit sur les meilleurs logiciels open-source. En outre, vous pouvez utiliser notre analyse de composition logicielle (SCA), basée sur Trivy.
La conformité à la norme ISO 27001:2022 avec l'aide de l'Aïkido
Si vous en êtes encore à la norme ISO 27001:2013, vous avez du pain sur la planche. Mais ne vous inquiétez pas. Il est possible de se mettre au diapason de la norme ISO 27001:2022 en peu de temps.
Ainsi, si vous souhaitez sécuriser rapidement votre application, Aikido vous donne un aperçu complet de votre situation en ce qui concerne le code et les contrôles dans le nuage.
Vous voulez savoir où vous en êtes ? Vérifiez votre conformité dès maintenant avec l'Aïkido ! Cela ne prend que quelques minutes : https://app.aikido.dev/reports/iso
Vous souhaitez discuter avec quelqu'un qui est passé par le processus de certification ISO ? Remplissez le formulaire ci-dessous et nous organiserons un appel.
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
