Les normes ISO 27k, publiées par l’Organisation internationale de normalisation, sont un ensemble de normes destinées à régir la cybersécurité (« systèmes de management de la sécurité de l’information ») au sein de votre entreprise. Pour être certifié conforme à la norme ISO 27001, il faut analyser et tester en profondeur les systèmes à certifier, leurs fonctionnalités et leurs capacités.
L’une des exigences de la norme ISO 27001 – plus précisément, le contrôle A.12.6.1 de l’annexe A de la norme ISO 27001:2013 – exige qu’une organisation empêche l’exploitation de toute vulnérabilité potentielle. Nous répondons ci-dessous à certaines des questions les plus fréquemment posées concernant la norme ISO 27001 en relation avec les tests d’intrusion.
Table des matières
La norme ISO 27001 exige-t-elle des tests d’intrusion ?
Pour les systèmes simples, aux fonctionnalités, outils et architectures standards, vous pouvez être en mesure de répondre à cette exigence avec une évaluation ou une analyse effectuée par un scanner de vulnérabilité (vous pouvez consulter notre article sur les scanners de vulnérabilité ici). En revanche, pour les systèmes plus complexes, tels que les applications Web personnalisées, réaliser un pentest sera certainement nécessaire pour s’assurer que les mesures de sécurité que vous avez prises sont suffisantes.
Les outils d’analyse courants, même ceux spécifiquement conçus pour les applications Web, peuvent s’avérer inefficaces pour identifier des vulnérabilités telles que les défauts de contrôles d’accès, les attaques par usurpation d’identité ou d’autres vulnérabilités non standards et spécifiques à une fonctionnalité. Les tests d’intrusion sont donc dans ce cas indispensables.
Qu’est-ce qu’un test d’intrusion ?
Les tests d’intrusion sont un outil essentiel de gestion des risques, au même titre que les scans de vulnérabilités et les tests de sécurité. Les tests d’intrusion permettent d’atténuer les risques en simulant des attaques malveillantes et des violations de données par le biais du piratage éthique, afin de déterminer si vos contrôles de sécurité sont adéquats, fonctionnent correctement et sont capables de résister à une attaque.
Au cours du pentest, des experts en sécurité exploitent les failles de sécurité dans un environnement simulé afin que vous puissiez y remédier en améliorant les mesures de sécurité.
Quelles sont les exigences de l’ISO 27001 en matière de tests d’intrusion ?
Le contrôle ISO A.12.6.1 de l’annexe A de la norme ISO 27001:2013 (gestion des vulnérabilités techniques) stipule que : « Les informations relatives aux vulnérabilités techniques des systèmes d’information utilisés doivent être obtenues en temps utile, l’exposition de l’organisme à ces vulnérabilités doit être évaluée et des mesures appropriées doivent être prises pour traiter le risque associé. »
Le test d’intrusion répond à ces exigences en fournissant une analyse des failles via une attaque malveillante simulée. Il doit être mené par des professionnels qui proposent des services de pentest et aboutir à des résultats qui peuvent servir de base à l’amélioration de vos mesures de sécurité existantes.
Comment fonctionne un test d’intrusion ?
Avec l’entreprise en charge du test d’intrusion, vous définissez le périmètre qui couvrira vos objectifs de sécurité, vos plans de test et toute exigence réglementaire ou contractuelle pour votre entreprise.
Les tests peuvent inclure des tests externes pour détecter les failles exposées sur internet, les vulnérabilités des applications Web, etc. Ils peuvent également inclure des tests internes qui analysent vos périphériques réseau, vos systèmes d’exploitation et la détection des vulnérabilités internes telles que les mots de passe faibles, les logiciels obsolètes, les sites Web mal codés et les applications non sécurisées.
Une fois les tests terminés, l’analyse post-mortem peut commencer par l’examen des vulnérabilités et des détails documentés, l’évaluation de la gravité des menaces, la prise en compte des recommandations de votre pentest et l’élaboration d’un plan de remédiation.
À quelle fréquence devez-vous effectuer des tests d’intrusion ISO 27001 ?
Les tests d’intrusion doivent être effectués tout au long du cycle de vie de votre système, de la planification initiale à la mise en production.
Les actifs informatiques présentent des vulnérabilités techniques inhérentes qui doivent être surveillées et améliorées en permanence. Les cybercriminels trouvent régulièrement de nouveaux moyens de casser ou contourner des mesures de sécurité auparavant considérées comme inviolables.
Les tests d’intrusion doivent être effectués dès que vous avez déterminé les actifs qui doivent être inclus dans le champ d’application de votre évaluation des risques. Au cours de l’analyse post-mortem, vous devrez également déterminer une fréquence appropriée pour la réalisation de nouveaux tests à l’avenir.
Test d’intrusion Protectam
Nous vous proposons d’effectuer les tests d’intrusion qui vous permettront de répondre aux exigences de la norme ISO 27001. Afin de déterminer le périmètre et le type de test dont vous avez besoin, prenez rendez-vous avec l’un de nos consultants ici.
Commentaires récents