Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 10 vues

    2024.11.21 Iso 27002 Chap10

    Transféré par

    mokhtar104
    Iso 27002 chap10

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd

    2024.11.21 Iso 27002 Chap10

    Transféré par

    mokhtar104
    10 vues5 pages
    Iso 27002 chap10

    Titre original

    2024.11.21 Iso 27002 chap10

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Iso 27002 chap10

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pptx, pdf ou txt
    10 vues5 pages

    2024.11.21 Iso 27002 Chap10

    Transféré par

    mokhtar104
    Iso 27002 chap10

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pptx, pdf ou txt
    sur 5

    ISO 27002 – Chapitre

    10
    Résumé

    21/11/2024 1
    Introduction
    Le Chapitre 10 de la norme ISO/IEC 27002:2022, intitulé "Cryptographie", traite des mesures de cryptographie pour protéger
    les informations sensibles pendant leur stockage, leur traitement et leur transmission. La cryptographie est un élément clé pour
    garantir la confidentialité, l'intégrité et l'authenticité des informations, en particulier dans un contexte où les informations doivent
    être protégées contre les accès non autorisés ou les modifications malveillantes.

    Le chapitre 10 de ISO/IEC 27002:2022 définit des contrôles et des recommandations concernant l'utilisation des techniques
    cryptographiques pour sécuriser les informations. L'objectif est de s'assurer que les bonnes pratiques sont suivies lors de
    l'implémentation de la cryptographie dans les systèmes d'information.

    Résumé des contrôles clés du Chapitre 10 :

    1. Politique de cryptographie : L'organisation doit établir une politique définissant l'utilisation des technologies cryptographiques
    pour la protection des informations sensibles.

    2. Gestion des clés cryptographiques : Une gestion rigoureuse des clés est nécessaire, en incluant leur génération, leur stockage
    sécurisé, leur utilisation et leur destruction. La sécurité des clés est primordiale pour la protection des données cryptées.

    3. Chiffrement des données sensibles : Le chiffrement des données doit être mis en œuvre pour protéger les informations
    sensibles, tant dans leur stockage que lors de leur transmission.

    4. Authenticité et intégrité : Des mécanismes cryptographiques doivent être utilisés pour garantir que les informations n'ont pas
    été modifiées et qu'elles proviennent d'une source authentique.

    5. Évaluation des risques et mise à jour continue : L'organisation doit régulièrement évaluer les risques associés à l'utilisation
    de la cryptographie et mettre à jour les mécanismes cryptographiques pour rester conforme aux meilleures pratiques et aux
    normes de sécurité actuelles.

    21/11/2024 2
    Introduction
    10.1. Contrôle de l'utilisation de la cryptographie
    Le premier contrôle du chapitre 10 concerne la définition de l'utilisation appropriée de la cryptographie dans l'organisation.
    10.1.1. Politique de cryptographie :
    • L'organisation doit établir une politique de cryptographie qui définit clairement les objectifs et les règles pour l'utilisation des
    techniques cryptographiques. Cette politique doit inclure des principes sur l'utilisation des algorithmes, des clés de chiffrement, et des
    méthodes de gestion des clés.
    • Elle doit également spécifier les types de données qui doivent être protégées par cryptographie, les systèmes qui doivent utiliser cette
    protection, ainsi que les méthodes d'authentification et d'intégrité des données.
    10.2. Gestion des clés cryptographiques
    La gestion des clés est un aspect crucial de la cryptographie. La sécurité des données cryptées dépend directement de la gestion correcte des
    clés utilisées pour les protéger.
    10.2.1. Gestion des clés :
    • Il est nécessaire de mettre en place une stratégie de gestion des clés cryptographiques qui englobe l'ensemble de leur cycle de
    vie : génération, stockage, distribution, utilisation, sauvegarde, et destruction.
    • Les clés doivent être générées de manière sécurisée et stockées dans un environnement protégé contre l'accès non autorisé.
    • Des mécanismes de rotation des clés doivent être mis en place pour éviter l'utilisation de clés obsolètes ou compromises.
    10.2.2. Sécurisation des clés :
    • Les clés doivent être protégées de manière appropriée, en utilisant des méthodes telles que le stockage dans des modules
    matériels de sécurité (HSM) ou le chiffrement des clés elles-mêmes.
    • L'accès aux clés doit être restreint uniquement aux personnes ou systèmes autorisés, et les processus de gestion des clés doivent être
    régulièrement audités pour s'assurer qu'il n'y a pas de failles de sécurité.
    10.2.3. Conservation des clés :
    21/11/2024 3
    • Les clés doivent être conservées de manière sécurisée pendant toute leur durée de vie utile, et des pratiques appropriées doivent être
    adoptées pour leur destruction sécurisée lorsqu'elles ne sont plus nécessaires.
    Introduction
    10.3. Utilisation appropriée de la cryptographie
    L'ISO 27002 recommande l'utilisation de la cryptographie dans différents contextes pour protéger les informations sensibles.
    10.3.1. Chiffrement des données sensibles :
    • Les informations sensibles doivent être protégées à l'aide de techniques de chiffrement appropriées, tant lorsqu'elles sont stockées
    (données au repos) que lorsqu'elles sont transmises (données en transit).
    • Le chiffrement garantit que seules les parties autorisées peuvent accéder aux données sensibles et empêcher toute modification non
    autorisée.
    10.3.2. Intégrité et authenticité :
    • Outre le chiffrement, l'organisation doit utiliser des mécanismes cryptographiques pour garantir l'intégrité et l'authenticité des
    informations. Cela peut inclure l'utilisation de signatures numériques et de codes de vérification de message (HMAC) pour
    assurer que les données n'ont pas été altérées.
    10.4. Évaluation des risques liés à la cryptographie
    La norme encourage une évaluation continue des risques associés à l'utilisation de la cryptographie et à la gestion des clés.
    10.4.1. Sélection des mécanismes cryptographiques :
    • Les mécanismes cryptographiques doivent être évalués en fonction des risques associés à leur utilisation, et des algorithmes de
    cryptographie robustes doivent être choisis.
    • Les normes et les recommandations de l'industrie (par exemple, AES, RSA, ECC) doivent être suivies pour garantir que les algorithmes
    utilisés sont à jour et résilients face aux nouvelles menaces.
    10.4.2. Mise à jour des mécanismes cryptographiques :
    • La cryptographie doit être régulièrement mise à jour pour rester conforme aux évolutions technologiques et aux nouvelles
    vulnérabilités.
    • Cela inclut la mise à jour des clés cryptographiques, le remplacement des algorithmes vieillissants ou obsolètes, et l'application de
    21/11/2024
    patchs de sécurité sur les systèmes cryptographiques. 4
    Conclusion

    Le Chapitre 10 de la norme ISO/IEC 27002:2022, qui porte sur la cryptographie, est essentiel pour assurer la protection des
    données sensibles dans un environnement numérique. En suivant les contrôles décrits dans ce chapitre, les organisations peuvent
    garantir la confidentialité, l'intégrité et l'authenticité de leurs informations, tout en minimisant les risques liés à la gestion des clés
    cryptographiques. Une gestion adéquate de la cryptographie est cruciale pour protéger les données contre les attaques et les
    violations de sécurité, et pour répondre aux exigences de conformité réglementaire, comme celles énoncées dans des normes telles
    que le RGPD.

    21/11/2024 5

    Vous aimerez peut-être aussi