A.8.

Gestion des actifs

Catégorie de sécurité - A.8.1. Responsabilités relatives aux actifs

Contrôle - A.8.1.1. Inventaire des actifs

Les actifs associés à l' information et aux moyens de traitement de l' information
doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à
jour.

Un licenciement ou un changement d'emploi qui n'est pas géré correctem nt pe• w.- . .­
entraÎner des problèmes de sécurité.

Aspects en cas de cessation ou de changement d'emploi :

s'assurer qu e les d r o its d'accès logiques et physiques sont supprimés ;
assurer la restitution du matériel appartenant à l'organisation ;
les responsabilités et devoirs valables après la cessation d'emploi devraient être inclus
dans les conditions d'emploi (ex. confidentialité).

Changement d'em ploi = cessation d'un emploi et début d'un autre.

A.8.Gestion des actifs

Contrôle - A 8 1 2 P · •t • des actifs

'

Les actifs figurant à l' inventaire doivent être attribués à u n propriétaire.

La propriété doit être attribuée aux actifs.

Le propriétaire de l'actif (individu ou entité) est responsable de la protection de
l'actif.

Le propriétaire de l'actif doit :

- s'assurer que l'actif est inclus dans l'inventaire ;
- s'assurer que le bien est convenablement protégé ;
- définir et revoir les restrictions d'accès à l'actif ;
- assurer un traitement approprié lorsque l'actif est supprimé ou détruit .
A.8 .Gestion des actifs

Contrôle- A.8.1.3. Utilisation correcte des actifs

Les règles d'u tilisation correcte de l'infor mation, les actifs associés à l'infor mation
et les moyens d e traitement d e l'information doivent être identifiés, docu mentés et
mis en œuvre.

Les individus doivent être informés des exigences de sécurité associés aux actifs et
devrait être responsable de l'utilisation des ressources.

Les organisations sont vu lnéra bles à l'utilisation a busive de leurs actifs pa r les em ployés -
intention nelle ou non - fait référence à l'utilisation des actifs d 'u ne ma nière différente
de leu rs objectifs commercia ux.

Il doit y avoir des règles décrivant l'utilisation ou les ressources acceptables et les
utilisateurs doivent être informés des règles et d'accord avec elles.
1 A .8 .Gestion des actifs

Contrôle - A.8.1.4. Restitution des actifs

Tous les sala riés et les utilisateu rs tiers doivent restituer la totalité des actifs de
l'orga nisation qu'ils ont en leur possession a u terme de la période d 'emploi, du contrat
ou de l'accord .

Les procéd ures doivent garantir que les actifs sont retou rnés lorsq ue le t ravail est term iné.

Si l'employé achète l'équipement de l'organisation ou s'il utilise son propre équipement personnel à
des fins professionnelles - des règles doivent être m ise en place pour garantir que les informations
pertinentes sont transférées à l'organisation et que l'équipement est effacé en toute sécurité .
A.8.Gestion des act ifs

Catégorie de sécurité - A.8.2. Classification de l'information

Contrôle - A .8.2.1. Classification des informat ions

Les informations doivent être classifiées en termes d'exigences légales, de
valeur, de caractère critique et de sensibilité au regard d'une divulgation
ou modification non autorisée.

L 'organisation doit développer un système de classification.

Les propriétaires des actifs d'informati on sont responsables de leur
classification.

Recommandé pour avoir un schéma de classificat ion facile à comprendre.

La classification doit être effectuée en tenant compte du niveau de

protection nécessaire pour assurer la confidentialité, l'intégrité et la
disponibilité des informations.

Le système de classification doit être cohérent dans l'ensemble de

l'organisation.
..
A .8.Gesti on des
act ifs

ISO / IEC 27002 fournit un exemple de schéma de classification qui utilise 4 niveaux :

Public - la divulgation ne cause aucun préjudice.

Utilisation interne - la divulgation cause un embarras mineur ou un

inconvénient mineur au fonctionnement.

Confident iel - la divulgation a un impact significatif à court terme sur les opérations
ou les objectifs tactiques.

Top secret - la d iv u lgation a un impact sérieux sur les objectifs stratégiques à long
terme ou met la survie de l'organisation en danger.
A .8.Gestion des act ifs

Contrôle - A.8.2.2. Mar ua e des informat ions

Un ensemble approprié de procédures pour le marquage de l' inform ation
doit être éla boré e t mis en oeuvre conformément a u pla n d e classification
adopté par l'organisation.

L'ét iquetage reflète le n iveau de classification.

Les procédures d'étiquetage de l'information doivent couvrir les informations et

leurs actifs associés dans des formats physiques et électroniques.

Les employés et les sous-traitants doivent être informés des

procédures d'étiquetage.

Lors de la réception d'informations d'autres organisations, il convient de prêter

attention aux étiquettes des documents, car d'autres organisations peuvent avoir
des définitions différentes pour les mêmes étiquettes.
A.8.Gestion des actifs

Contrôle - A.8.2.3. Mani ulation des actifs

Des p rocéd u res d e traitement de l'infor mation doivent être éla borées
et mises en œuvre conformément au plan de classification de
l'information adopté pa r l'organisation .

Les procéd ures de gestion des actifs visent à prévenir le risq ue de ma uvaise
gestion des informations sensibles et doivent détailler :

- les restrictions d'accès pour chaque niveau de classification ;

la protection des copies (temporaires ou permanentes) au même titre que
les originaux ;
les exigences de stockage selon le niveau de classification ;
- déclassement et destruction selon classement
A.8 .Gestion des
actifs
Catégorie de sécurité - A.8.3. Manipulation des supports

Contrôle- A.8.3.1. Gestion des su orts amovibles

Des procédures de gestion des supports amovibles doivent être mises en
œuvre conformément au plan de classification adopté par l'organisation.

Les supports amovibles {disques flash , disques durs amovibles, CD, DVD, supports
imprimés, etc.) contenant les données de l'organisation p résentent une vulnérabilité
à la perte de données et aux atteintes à la confidentialité.

Les contrô les mis en œuvre doivent résoudre des problèmes tels
-que : n'utiliser des supports amovibles que s'il existe une raison commerciale
•
de le faire ; stocker les médias dans des environnements sûrs et sécurisés ;
le contenu des supports réutilisables à retirer de l'organisation doit être rendu
irrécupérable ;
l'organisation peut utiliser le cryptage des données sur des supports
amovibles ;
transférer les données utiles sur des supports frais pour éviter que les supports
ne se dégradent dans le temps ;
avoir plusieurs copies d'informati ons précieuses sur des supports distincts.
A.8.Gestion des act ifs

Contrôle - A.8.3.2. M ise au rebut des orts

su
Les supports qui ne sont p lus nécessaires doivent être m is au rebut de
manière sécurisée en suivant des procédures form elles.

•
Les procédures d'élim ination sécurisée réduisent le r isque de fuite d'informations
confidentielles vers des personnes non autorisées.

Lignes directrices 15 0/ I EC 27002 sur l'élim inat ion des

supports :
identifier les articles qui nécessitent une élimination sécurisée;
stocker e t élim i n e r en t o u t e sécurité les supports contenant des informations
confidentielles;
procéder à une sélection minutieuse du prestataire pour les services de collecte
et d'élimination (si un tel prestataire est utilisé pour l'élimination des supports) ;
- garder un journal de l'élimination des objets sensibles.
A.8.Gestion des actifs

Contrôle - A.8.3.3. Transfert h si ue des su orts

Les supports contenant de l'information doivent être protégés contre les
a ccè s non au torisés, les erreu rs d 'u tilisation e t l'altération lors d u tra nsport.

Transport des médias = risq ues de perte, de corru ption, d'accès non autorisé et d'u tilisation abusive.

Directives pour le transport des médias :

utilisation de coursiers fiables et vérificati on de l'identité du coursier

utiliser un emballage approprié pour protéger le contenu des dommages
physiques et des facteurs environnementaux - comme la chaleur ou les champs
électromagnétiques ;
pour atténuer le r isque de violation de la confidentialité en cas de perte ou de vol
de supports - les données à transporter doivent être cryptées et bien entendu la
clé de cryptage ne doit jamai s être envoyée avec les données cryptées .

..
A.9.Contrôle d'a ccès

Catégorie de sécurité - A.9.1. Exigences métier en

matière de contrôle d'accès

Contrôle - A.9.1.1. Politi ue de cont rôle d 'accès

Une politiq ue de cont rôle d 'accès doit être établie, docu mentée et revue
sur la base des exigences métier et de sécurité de l'information.

l e contrôle d'accès fait référenc e à la fo is à l'accès logique et

ph ysique.

Des règles de contrôle d'accès, des droits d'accès et des restrictions pour
des rôles d'utilisateur spécifiques doivent être établis.

Les pro priétaires d'actifs décident des droits d'accès aux actifs en fonction des
besoins de l'entreprise
1 A.9.Co ntrôle d'a ccès

Une politique de contrôle d'accès doit exister et doit aborder certains éléments :

les exigences de sécurité pour les d ifférentes applications métier ;

- cohérence entre les droits d'accès et la classification des informations ;
la législation et les obligations cont ract uelles concernant la lim itation de l'accès aux
données ou aux services ;
la séparation des rôles se référant au contrôle d'accès ;
révision périodique des droits d'accès ;
- suppression des droits d'accès ;
les rôles qui ont un accès privilégié.

Principes : besoin de savoir et besoin d'utiliser

Utiliser : « Tout est généralement interdit sauf

autorisation expresse »
au lieu de
« Tout est généralement autorisé sauf interdiction
expresse »
A.9.Co ntrôle d'a ccès

Contrôle - A.9.1.2. Accès aux réseaux et aux services réseau

Les utilisateurs doivent avoir uniquement accès au réseau et aux services
réseau pour lesquels ils ont spécifiquement reçu une autorisation .

150/IEC 2 7 00 2 recommande une politique d'accès aux réseaux qui doit couvrir :

les réseaux et services réseaux auxquels il est permis d'accéder ;

des procédures d'autorisation pour déterminer qui est autorisé à accéder à quels réseaux et services ;
quels contrôles sont en place pour protéger l'accès aux réseaux et aux services ;
comment les réseaux et services réseau sont-ils accessibles (ex. utilisation de VPN ou sans fil)
quelles sont les exigences d'authentificati o n des utilisateurs pour permettre l'accès aux réseaux e t
serv ices ;
comment est surveillé l'utilisation des services de réseau.

Les ut ilisateurs se connectant à un réseau, un ordinateur ou une application ne devraient avoir accès
qu'aux informations et services nécessaires à leur fonction commerciale et qu'ils ont été autorisés à
utiliser.
A .9.Cont rô le d'accès

Catégorie de sécurité - A.9.2. Gestion de l'accès ut i lisateur

Contrôle - A.9.2.1. En re istrement et désinscri tion des Utilisateu rs

U n processus formel d'enregist rement et de désinscription des utilisateu
rs doit être mis en oeuvre pou r permett re l'attribution des droits d'accès.

Chaque utilisateur doit être formellement autorisé et enregistré sur chaque système
d'informat ion, réseau ou service auquel il accède pour les besoins de l'entreprise.

Gestion des identifia nts d'utilisateu rs :

- utiliser des identifiants d'utilisateur uniques pour permettre aux utilisateurs d'être
liés
à leurs actions ;
- désactiver ou supprimer immédiatement les identifiants des utilisateurs qui ont
quitté l'organisation ;
- identifier et supprimer périodiquement ou désactiver les identifiants d'utilisateurs
redondants et
- s'assurer que les ID utilisateur redondants ne sont pas attribués à d'autres
utilisateurs.
A .9 .Contrôle d'accès

Contrôle - A .9.2.2. Distribution des accès aux utilisateurs

Un processus formel de distribution des accès aux utilisateurs doit être mis
en œuvre pour attribuer e t retirer des droits d 'accès à tous types d 'utilisateurs
sur l'ensemble des services et des s stèmes.

- le propriétaire du système d'information est responsable d'approuver ou de révoquer

les droits d'accès aux identifiants des utilisateurs ;
les droits d'accès ne doivent pas être activés avant l'autorisation ;
- un enregistrement central des droits d'accès accordés à chaque identifiant
d'utilisateur
doit être conservé ;
les droits d'accès doivent être adaptés pour les utilisateurs qui changent de rôle ou
de
travail et supprimés pour les utilisateurs qui ont quitté l'organisation.

Un moyen plus simple de gérer les droits d'accès consiste à utiliser l'accès basé sur
les rôles - en définissant des profils d'utilisateurs pour différents rôles et postes dans
l'organisation.

Définir des sanctions en cas d 'accès non autorisé

A.9.Cont rôle d 'a ccès

Contrôle -A.9.2.3.Gestion des droits d'accès à rivilè es

L'a llocation et l'utilisation des droits d'accès à privilèges doivent être rest reintes
et contrôlées.

Privilèges = signifie raccourcir les contrôles.

L'attribution et l'utilisation inutiles de privilèges peuvent entraÎner des fai lles de sécurité.

Les recom ma ndat ions d'ISO/I EC 27002 sur l'att ribu tion des droits d 'accè s
privilégiés : une identification claire des droits d'accès privilégiés et des
utilisateurs pour chaque application, système d'exploitation, base de données ; etc
attribution de droits d'accès privilégiés en fonction des besoins et de préférence
événement par événement ;
utiliser un processus d'autorisation pour octroyer des droits d'accès privilégiés et ne
les octroyer qu'une fois l'autorisation obtenue ;
attribuer les droits d'accès privilégiés à un identifiant utilisateur différent de
ceux utilisés pour les activités commerciales habituelles.

. . : : I S O 2 7 0 0 1 : L e s Fo nda t i o n : :. . P R O I T C o nsu ll in g 1 h l l p s : / / p r o - i t -c:on

s u l l i n g.c:om 1 c:o n ta c:l@p ro - i t . ma
A.9.Cont rôle d 'a ccès

Contrôle - A.9.2.4. Gestion des informations Secrètes d 'a u thentification des

utilisa teu rs l'attri bution des infor mations secrètes d 'authentification doit êt re réa lisée
da ns le
cad re d 'u n processus de gestion formel.

L'authentification secrète se fait généralement à l'aide de mots de passe .

Exigences pour / 'attribution des informations d'authentification secrètes :

les utilisateurs doivent être invités à signer une déclaration afin de préserver la
confidentialité des informations d'authentificati on secrètes personnelles (mots de
passe) ;
- si les utilisateurs choisissent leurs propres mots de passe - ils devraient recevoir
initialement un mot de passe temporaire qu'ils devraient être forcés de
changer ; les mots de passe doivent être donnés aux utilisateurs de manière
sécurisée et les utilisateurs doivent accuser réception.
A.9.Co ntrôle d'accès

Contrôle - A.9.2.6. Su ression ou ada ta tion des droits d'accès

Les droits d 'accès aux informations et aux moyens de traitement des informations
de l'ensem ble des salariés et utilisateu rs tiers doivent êt re supprimés à la fin de
leu r période d 'em ploi, ou ada ptés en cas de modification du contrat ou de
l'accord.

Si un emploi est terminé, les droits d 'accès associés doivent être suppr imés.

Si l'utilisateur fait partie d'un groupe - et que les droits d'accès sont attribués au
niveau du groupe - les individus qui partent doivent être retirés du groupe et
les autres membres doivent être informés de ne plus partager d'informations
avec la personne qui part.
A.9.Cont rôle d 'a
ccès

Contrôle - A. 9.2.5. Revue des droits d 'accès utilisateu rs

Les propriétaires d'actifs doivent vérif ier les d roits d'accès des utilisateu rs
à intervalles réguliers .

Les droits d 'accès doivent être basés sur les besoins de l'entreprise et lorsque
le besoin de l'entreprise change ou passe, l'accès doit être annulé.

Les droits d'accès doivent être réexaminés périodiquement et s'il s'avère que
certains droits d'accès ne sont pas nécessaires, ils doivent être retirés.
A .9.Contrô le d'accès

Contrôle -A.9.2.6.Su ression ou ada tation des droits d'accès

Les droits d'accès au x informations et aux moyens de traitement des informations
de l'ensem ble des sala riés et utilisateu rs tiers doivent être supprimés à la fin de
leur période d'emploi, ou adaptés en cas de modification du contrat ou de l'accord.

Si un emploi est terminé, les droits d 'accès associés doivent être suppr imés.

Si l'utilisateur fait partie d'un groupe - et que les droits d'accès sont attribués au
niveau du groupe - les individus qui partent doivent être retirés du groupe et les
autres membres doivent être informés de ne plus partager d'informations avec
la personne qui part.