Le test d'intrusion en tant qu'élément nécessaire à l'obtention de la certification ISO 27001

Un composant essentiel de la conformité à la norme ISO 27001 (et éventuellement à la certification) consiste à effectuer un test d'intrusion. Grâce aux tests d'intrusion, les entreprises peuvent identifier efficacement les améliorations à apporter au système de gestion de la sécurité de l'information (SGSI). Ce système s'inscrit également dans un programme efficace d'amélioration continue.

Les tests d'intrusion sont une composante essentielle de tout système SGSI ISO 27001, du développement initial à la maintenance et à l'amélioration continue.

L’objectif de contrôle ISO 27001 A12.6 (Gestion de la vulnérabilité technique) stipule que « les informations sur les vulnérabilités techniques des systèmes d’information utilisés doivent être obtenues rapidement, l’exposition de l’organisation à ces vulnérabilités doit être évaluée et des mesures appropriées doivent être prises pour faire face au risque associé ».


L'importance de tester votre SGSI

Un SGSI est un ensemble de politiques et de procédures permettant de gérer systématiquement les données sensibles d’une organisation. L'objectif d'un système de gestion de la sécurité informatique est de minimiser les risques et d'assurer la continuité des activités en limitant de manière proactive l'impact d'une violation de la sécurité.

Cependant, étant donné la nature évolutive de l'informatique, de nouvelles vulnérabilités techniques qui pourraient être exploitées par des attaquants apparaissent constamment. Les attaques automatisées et aveugles ciblent des vulnérabilités identifiables dans le matériel et les logiciels, quelle que soit leur organisation. Ces vulnérabilités comprennent des logiciels non corrigés, des mots de passe inadéquats, des sites web mal codés, des accès sans fil non fiables et des applications non sécurisées.


Comment les tests d'intrusion s'intègrent-ils à mon projet ISO 27001 ?

Les tests d'intrusion aident à identifier les vulnérabilités et fournissent des détails sur la vulnérabilité et la menace associée, ainsi que des conseils sur les actions correctives appropriées. Les menaces et vulnérabilités identifiées constitueront un élément clé de vos tests de sécurité (intrusion) et de votre évaluation de risque ISO 27001, et les étapes à suivre éclaireront votre sélection de contrôles.

  • Un test d'intrusion contribue de manière significative à votre projet SGSI dans le cadre du processus d'analyse des risques. Les vulnérabilités dans les applications web, les systèmes internes et les applications sont exposées et liées à des menaces identifiables.
  • Dans le cadre du plan de traitement des risques, cela vous permet de vous assurer que toutes les mesures mises en place fonctionnent comme prévu.
  • Dans le cadre de l'amélioration continue des processus pour garantir le bon fonctionnement des mesures et l'identification et la correction des nouvelles menaces et vulnérabilités émergentes.

Discuter avec un expert

Notre équipe de consultants en sécurité est à votre disposition pour discuter de vos problèmes de tests d'intrusion.