Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Classification de l'information pour la conformité ISO 27001

Classification de l'information pour la conformité ISO 27001

Dec 11, 2020

L'ISO 27001 exige que les organisations identifient, classifient et protègent les actifs d'information en fonction de leur sensibilité et de leur valeur commerciale. L'annexe A.8 décrit les responsabilités concernant la propriété des actifs, leur classification et leur manipulation sécurisée, y compris l'étiquetage et les contrôles des supports. Une classification efficace garantit que les données critiques reçoivent la plus haute protection, tandis que les actifs moins sensibles sont gérés avec des contrôles appropriés, soutenant la conformité, la gestion des risques et l'efficacité des coûts.

ISO 27001 est une norme internationale axée sur la sécurité de l'information. Cette norme oriente l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion de la sécurité de l'information (ISMS). Pour atteindre la conformité, vous devez :

  • Comprenez quels actifs de données vous détenez, leur valeur et qui sont les propriétaires des actifs
  • Priorisez efficacement les contrôles de sécurité et les processus
  • Protégez correctement vos actifs critiques, y compris leur confidentialité, intégrité et disponibilité (le triade CIA)
  • Mettez en œuvre la gestion des risques en évaluant la valeur de vos données et l'impact si des données spécifiques sont perdues, mal utilisées ou compromises

La norme est volontaire, mais des entreprises du monde entier choisissent de la suivre. Les exigences conviennent aux organisations de toute taille dans tous les secteurs, particulièrement dans l'environnement riche en données mais risqué d'aujourd'hui. Se conformer à l'ISO 27001 montre aux auditeurs et aux clients qu'une entreprise dispose de niveaux de protection appropriés pour ses informations précieuses. Cela aide également les entreprises à se conformer aux exigences légales, à obtenir un avantage concurrentiel, à améliorer la productivité et à réduire les coûts.

L'ISO 27001 est divisée en annexes pour traiter des domaines spécifiques. Dans cet article, nous allons explorer les exigences clés de l'Annexe A.8, qui réglemente la gestion des actifs.

Annexe A.8 : Gestion des actifs

Annexe A.8 précise les types de contrôles que les organisations doivent mettre en œuvre pour garantir une identification précise des actifs de sécurité de l'information, désigner la responsabilité de la sécurité et assurer la protection des actifs de données en fonction de leurs niveaux de classification. Les contrôles définis par la réglementation qui sont divisés en contrôles techniques, organisationnels, légaux, physiques et des ressources humaines.

Notez que l'ISO 27001 ne spécifie pas une liste exacte des actifs sensibles ; c'est votre organisation qui prend cette décision en utilisant son meilleur jugement.

L'annexe est divisée en trois principales sous-parties, qui sont brièvement décrites ci-dessous. Ensuite, nous examinerons plus en détail la deuxième sous-partie, qui concerne la data classification.

Contenu connexe sélectionné :

A.8.1 Responsabilité des actifs

L'objectif de A.8.1 est d'identifier les actifs de données qui sont dans le périmètre pour le SMIS et de définir les responsabilités de protection. Lancez une découverte pour identifier tous les actifs d'information au sein de votre organisation, tels que les dossiers papier, les fichiers numériques, les dispositifs amovibles et les courriels. Puis créez un registre d'actifs. Pour chaque actif, attribuez à un propriétaire de données la responsabilité de le protéger.

A.8.2 Classification des actifs

La classification de vos actifs est l'une des étapes les plus importantes que vous pouvez entreprendre pour sécuriser correctement vos données et les rendre accessibles à ceux qui en ont besoin. La classification vous permet de protéger chaque actif au niveau de sécurité approprié : vous consommez moins de ressources pour les données moins sensibles et fournissez une protection renforcée pour vos actifs les plus sensibles.

A.8.3 Procédures pour les dispositifs de stockage

La sous-partie A.8.3 est conçue pour aider les organisations à prévenir la divulgation, la modification, la suppression ou la destruction non autorisées des informations stockées sur des supports amovibles, tels que les clés USB, les CD-ROM et les disques durs détachables. Elle inclut également des contrôles pour l'élimination ou le transfert appropriés de ces supports afin de protéger contre les violations de données, telles que l'utilisation de coursiers autorisés et d'un emballage sûr et la tenue d'un registre de tout le contenu des données et de son niveau de protection.

Une analyse approfondie de l'Annexe A.8.2 : Classification des informations

Comme discuté précédemment, l'Annexe A.8.2 couvre la classification des données et l'étiquetage de chaque actif selon sa sensibilité ou son importance pour votre organisation, afin que vous puissiez mettre en place des protections appropriées (telles que des restrictions d'accès) basées sur ces niveaux. Voici les sous-parties de l'Annexe A.8.2.

A.8.2.1 Classification des informations

Le schéma de classification de l'information idéal est celui qui reflète l'activité commerciale, plutôt que de l'inhiber ou de la compliquer. Construisez votre schéma en fonction de la sensibilité de vos données, des exigences légales, de la criticité et de la valeur, afin de pouvoir donner à chaque actif un niveau de protection approprié.

La plupart des entreprises commencent avec seulement trois ou quatre catégories. Par exemple, le classification scheme de l'Université de Bath au Royaume-Uni classe les informations dans ces groupes :

  • Hautement restreint — Nécessite des mesures de sécurité importantes avec un accès strictement contrôlé et limité.
  • Accès restreint — Nécessite des mesures de sécurité et un accès limité mais pas significatif ou strictement contrôlé.
  • Usage interne — Ne nécessite aucune protection supplémentaire.

Un exemple de schéma de classification avec quatre catégories est confidentiel, restreint, interne et public.

A.8.2.2 Étiquetage des données

Il convient d'étiqueter les actifs physiques et électroniques avec leurs catégories. Les étiquettes doivent être faciles à gérer pour que les employés les utilisent de manière appropriée. Par exemple, vous pouvez étiqueter les documents papier en les tamponnant comme « secret » ou « confidentiel ». Les données électroniques sont généralement étiquetées à l'aide de métadonnées.

A.8.2.3 Gestion des données

La gestion des données fait référence à la manière dont les données peuvent être utilisées et par qui elles peuvent l'être. Par exemple, vous pouvez décider que certains actifs de données peuvent être lus mais pas copiés par certains groupes d'utilisateurs.

Il existe de multiples contrôles pour faire respecter les politiques de manipulation des données. Vous pourriez exiger que vos actifs les plus sensibles soient chiffrés afin que seules les personnes disposant d'une autorisation particulière puissent les ouvrir. Les actifs physiques importants peuvent être conservés dans un meuble verrouillé ou un coffre-fort. Les procédures pour les dispositifs de stockage de médias devraient être conformes à A.8.2.3.

Comment Netwrix peut aider

La Netwrix Data Security Platform vous aide à atteindre, maintenir et démontrer la conformité ISO en fournissant l'intelligence de sécurité nécessaire pour :

Mieux encore, la plateforme prend en charge à la fois les systèmes de données sur site et dans le cloud, ainsi que les données structurées et non structurées.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Du bruit à l'action : transformer le risque des données en résultats mesurables

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité