Iso/iec 27002:2022: Février 2022

ISO/IEC 27002:2022
FÉVRIER 2022
Ce document est à usage exclusif et non collectif des clients AFNOR.

Toute mise en réseau, reproduction et rediffusion, sous quelque forme que ce soit,
même partielle, sont strictement interdites.
This document is intended for the exclusive and non collective use of AFNOR customers.
All network exploitation, reproduction and re-dissemination,
even partial, whatever the form (hardcopy or other media), is strictly prohibited.
AFNOR
Pour : CLOAREC PATRICK
Email: eip@uptimebeforefailure.fr
Identité: CLOAREC PATRICK
Client : 80154779
Le : 16/03/2023 à 20:36
AFNOR ISO/IEC 27002:20222022-02
CLOAREC PATRICK (eip@uptimebeforefailure.fr) Pour : CLOAREC PATRICK
NORME ISO/IEC
INTERNATIONALE 27002
Troisième édition
2022-02
Sécurité de l'information,
cybersécurité et protection de la
vie privée — Mesures de sécurité de
l'information
Information security, cybersecurity and privacy protection —
Information security controls
Numéro de référence
ISO/IEC 27002:2022(F)
© ISO/IEC 2022
AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO/IEC 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2022 – Tous droits réservés

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Sommaire Page
Avant-propos............................................................................................................................................................................................................................. vi
Introduction..............................................................................................................................................................................................................................vii
1 Domaine d'application.................................................................................................................................................................................... 1
2 Références normatives................................................................................................................................................................................... 1
3 Termes, définitions et abréviations................................................................................................................................................. 1
3.1 Termes et définitions......................................................................................................................................................................... 1
3.2 Abréviations.............................................................................................................................................................................................. 6
4 Structure du présent document........................................................................................................................................................... 8
4.1 Articles........................................................................................................................................................................................................... 8
4.2 Thèmes et attributs............................................................................................................................................................................. 8
4.3 Structure des mesures de sécurité........................................................................................................................................ 9
5 Mesures de sécurité organisationnelles................................................................................................................................... 10
5.1 Politiques de sécurité de l'information........................................................................................................................... 10
5.2 Fonctions et responsabilités liées à la sécurité de l'information............................................................ 12
5.3 Séparation des tâches..................................................................................................................................................................... 13
5.4 Responsabilités de la direction.............................................................................................................................................. 14
5.5 Contacts avec les autorités........................................................................................................................................................ 15
5.6 Contacts avec des groupes d’intérêt spécifiques................................................................................................... 16
5.7 Renseignements sur les menaces......................................................................................................................................... 17
5.8 Sécurité de l'information dans la gestion de projet............................................................................................. 18
5.9 Inventaire des informations et autres actifs associés....................................................................................... 20
5.10 Utilisation correcte des informations et autres actifs associés................................................................ 22
5.11 Restitution des actifs...................................................................................................................................................................... 23
5.12 Classification des informations............................................................................................................................................. 24
5.13 Marquage des informations...................................................................................................................................................... 25
5.14 Transfert des informations........................................................................................................................................................ 27
5.15 Contrôle d'accès................................................................................................................................................................................... 29
5.16 Gestion des identités....................................................................................................................................................................... 31
5.17 Informations d'authentification............................................................................................................................................ 33
5.18 Droits d'accès......................................................................................................................................................................................... 35
5.19 Sécurité de l'information dans les relations avec les fournisseurs....................................................... 36
5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs............................... 39
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC................... 41
5.22 Surveillance, révision et gestion des changements des services fournisseurs........................... 43
5.23 Sécurité de l'information dans l'utilisation de services en nuage.......................................................... 44
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information......... 47
5.25 Évaluation des événements de sécurité de l'information et prise de décision............................ 49
5.26 Réponse aux incidents de sécurité de l'information........................................................................................... 49
5.27 Tirer des enseignements des incidents de sécurité de l'information.................................................. 50
5.28 Collecte des preuves........................................................................................................................................................................ 51
5.29 Sécurité de l'information pendant une perturbation......................................................................................... 52
5.30 Préparation des TIC pour la continuité d'activité................................................................................................. 53
5.31 Exigences légales, statutaires, réglementaires et contractuelles........................................................... 54
5.32 Droits de propriété intellectuelle........................................................................................................................................ 56
5.33 Protection des enregistrements........................................................................................................................................... 57
5.34 Protection de la vie privée et des DCP............................................................................................................................. 59
5.35 Révision indépendante de la sécurité de l'information.................................................................................... 60
5.36 Conformité aux politiques, règles et normes de sécurité de l'information.................................... 61
5.37 Procédures d'exploitation documentées....................................................................................................................... 62
6 Mesures de sécurité applicables aux personnes..............................................................................................................63
6.1 Sélection des candidats................................................................................................................................................................. 63
6.2 Termes et conditions du contrat de travail................................................................................................................. 64
© ISO/IEC 2022 – Tous droits réservés iii

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
6.3 Sensibilisation, enseignement et formation en sécurité de l'information....................................... 66

6.4 Processus disciplinaire................................................................................................................................................................. 67
6.5 Responsabilités après la fin ou le changement d’un emploi......................................................................... 68
6.6 Accords de confidentialité ou de non-divulgation................................................................................................ 69
6.7 Travail à distance............................................................................................................................................................................... 70
6.8 Déclaration des événements de sécurité de l'information............................................................................ 72
7 Mesures de sécurité physique............................................................................................................................................................. 73
7.1 Périmètres de sécurité physique.......................................................................................................................................... 73
7.2 Les entrées physiques.....................................................................................................................................................................74
7.3 Sécurisation des bureaux, des salles et des installations.............................................................................. 76
7.4 Surveillance de la sécurité physique................................................................................................................................. 77
7.5 Protection contre les menaces physiques et environnementales........................................................... 78
7.6 Travail dans les zones sécurisées........................................................................................................................................ 79
7.7 Bureau vide et écran vide........................................................................................................................................................... 80
7.8 Emplacement et protection du matériel........................................................................................................................ 81
7.9 Sécurité des actifs hors des locaux..................................................................................................................................... 82
7.10 Supports de stockage...................................................................................................................................................................... 83
7.11 Services supports............................................................................................................................................................................... 85
7.12 Sécurité du câblage........................................................................................................................................................................... 86
7.13 Maintenance du matériel............................................................................................................................................................. 87
7.14 Élimination ou recyclage sécurisé(e) du matériel................................................................................................. 88
8 Mesures de sécurité technologiques............................................................................................................................................89
8.1 Terminaux finaux des utilisateurs...................................................................................................................................... 89
8.2 Droits d'accès privilégiés............................................................................................................................................................. 91
8.3 Restrictions d'accès aux informations............................................................................................................................ 93
8.4 Accès aux codes source................................................................................................................................................................. 95
8.5 Authentification sécurisée......................................................................................................................................................... 96
8.6 Dimensionnement.............................................................................................................................................................................. 97
8.7 Protection contre les programmes malveillants (malware)........................................................................ 99
8.8 Gestion des vulnérabilités techniques......................................................................................................................... 101
8.9 Gestion des configurations..................................................................................................................................................... 104
8.10 Suppression des informations............................................................................................................................................. 106
8.11 Masquage des données............................................................................................................................................................... 108
8.12 Prévention de la fuite de données.................................................................................................................................... 110
8.13 Sauvegarde des informations............................................................................................................................................... 111
8.14 Redondance des moyens de traitement de l'information............................................................................ 113
8.15 Journalisation..................................................................................................................................................................................... 114
8.16 Activités de surveillance.......................................................................................................................................................... 117
8.17 Synchronisation des horloges.............................................................................................................................................. 119
8.18 Utilisation de programmes utilitaires à privilèges........................................................................................... 120
8.19 Installation de logiciels sur des systèmes opérationnels............................................................................ 121
8.20 Sécurité des réseaux..................................................................................................................................................................... 122
8.21 Sécurité des services réseau................................................................................................................................................. 123
8.22 Cloisonnement des réseaux.................................................................................................................................................... 125
8.23 Filtrage web......................................................................................................................................................................................... 126
8.24 Utilisation de la cryptographie........................................................................................................................................... 127
8.25 Cycle de vie de développement sécurisé..................................................................................................................... 129
8.26 Exigences de sécurité des applications........................................................................................................................ 130
8.27 Principes d'ingénierie et d'architecture des système sécurisés........................................................... 132
8.28 Codage sécurisé................................................................................................................................................................................ 134
8.29 Tests de sécurité dans le développement et l'acceptation.......................................................................... 137
8.30 Développement externalisé................................................................................................................................................... 138
8.31 Séparation des environnements de développement, de test et opérationnels......................... 139
8.32 Gestion des changements......................................................................................................................................................... 141
8.33 Informations de test..................................................................................................................................................................... 142
8.34 Protection des systèmes d'information pendant les tests d'audit....................................................... 143
Annexe A (informative) Utilisation des attributs.............................................................................................................................145
iv © ISO/IEC 2022 – Tous droits réservés

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Annexe B (informative) Correspondance de l’ISO/IEC 27002:2022 (le présent document)

avec l'ISO/IEC 27002:2013................................................................................................................................................................... 156
Bibliographie........................................................................................................................................................................................................................ 164
© ISO/IEC 2022 – Tous droits réservés v

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir https://patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de
l'adhésion de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les
obstacles techniques au commerce (OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir
www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cette troisième édition annule et remplace la deuxième édition (ISO/IEC 27002:2013), qui
a fait l’objet d’une révision technique. Elle incorpore également les Rectificatifs techniques
ISO/IEC 27002:2013/Cor. 1:2014 et ISO/IEC 27002:2013/Cor. 2:2015.
Les principales modifications sont les suivantes:
— le titre a été modifié;
— la structure du document a été modifiée, présentant les mesures de sécurité avec une taxonomie
simple et des attributs associés;
— certaines mesures de sécurité ont été fusionnées, d'autres ont été supprimées, et plusieurs nouvelles
mesures de sécurité ont été ajoutées. La correspondance complète se trouve à l'Annexe B.
La présente version française de l'ISO/IEC 27002:2022 correspond à la version anglaise publiée le 2022-
02 et corrigé le 2022-03.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
vi © ISO/IEC 2022 – Tous droits réservés

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Introduction
0.1 Historique et contexte
Le présent document a été conçu à l'intention des organisations de tous types et de toutes dimensions.
Il est à utiliser comme document de référence pour déterminer et mettre en œuvre des mesures de
sécurité pour le traitement des risques de sécurité de l'information dans un système de management
de la sécurité de l'information (SMSI) basé sur l'ISO/IEC 27001. Il peut également être utilisé comme
guide de bonnes pratiques pour les organisations qui déterminent et mettent en œuvre les mesures
de sécurité de l'information communément admises. De plus, le présent document a pour objet d'être
utilisé lors de l’élaboration des lignes directrices de gestion de la sécurité de l'information spécifiques
aux organisations et aux industries, en tenant compte de leur(s) environnement(s) spécifique(s) de
risques de sécurité de l'information. Des mesures de sécurité organisationnelles ou spécifiques à
l'environnement autres que celles qui figurent dans le présent document peuvent, si nécessaire, être
déterminées par le biais de l’appréciation du risque.
Des organisations de tous types et de toutes dimensions (y compris du secteur public et du secteur
privé, à but lucratif ou non lucratif) créent, collectent, traitent, stockent, transmettent et éliminent
l'information sous de nombreuses formes, notamment électronique, physique et verbale (par exemple,
les conversations et les présentations).
La valeur de l'information va au-delà des mots, chiffres et images écrits: la connaissance, les concepts,
les idées et les marques sont des exemples de formes intangibles d'information. Dans un monde
interconnecté, les informations et autres actifs associés méritent ou exigent une protection contre
différentes sources de risques, aussi bien naturelles, qu'accidentelles ou délibérées.
La sécurité de l'information est réalisée par la mise en œuvre d’un ensemble de mesures de sécurité
appropriées, notamment des politiques, des règles, des processus, des procédures, des structures
organisationnelles, et des fonctions matérielles et logicielles. Pour atteindre ses objectifs métier et
de sécurité, il convient que l'organisation définisse, mette en œuvre, surveille, révise et améliore ces
mesures de sécurité au besoin. Un système de management de la sécurité de l'information (SMSI) tel que
celui spécifié dans l'ISO/IEC 27001 appréhende les risques de sécurité de l'information de l'organisation
dans une vision globale et coordonnée, afin de déterminer et mettre en œuvre un ensemble complet de
mesures de sécurité de l'information dans le cadre global d'un système de management cohérent.
De nombreux systèmes d'information, y compris leur management et leurs opérations, n'ont pas été
conçus sécurisés au sens d'un système de management de la sécurité de l'information tel que spécifié
dans l'ISO/IEC 27001 et le présent document. Le niveau de sécurité qui peut être atteint seulement par
des mesures techniques est limité, et il convient de le renforcer par des processus organisationnels
et des activités de management appropriés. L'identification des mesures de sécurité qu'il convient de
mettre en place nécessite une planification minutieuse et une attention aux détails lors de la réalisation
du traitement du risque.
Un système de management de la sécurité de l'information réussi requiert l'adhésion de tout le
personnel de l'organisation. Il peut également nécessiter la participation d'autres parties intéressées,
telles que des actionnaires ou des fournisseurs. Des conseils d'experts en la matière peuvent aussi
s'avérer nécessaires.
Un système de management de la sécurité de l'information approprié, adéquat et efficace procure la
garantie aux dirigeants de l'organisation et autres parties intéressées que leurs informations et autres
actifs associés sont suffisamment sécurisés et protégés contre les menaces et dommages, ce qui permet
à l'organisation d'atteindre les objectifs métier visés.
0.2 Exigences de sécurité de l'information
Il est essentiel qu'une organisation détermine ses exigences de sécurité de l'information. Il existe trois
principales sources des exigences de sécurité de l'information:
a) l'appréciation du risque de l'organisation, prenant en compte l'ensemble de sa stratégie et objectifs
métier. Cela peut être facilité ou appuyé par une appréciation du risque de sécurité de l'information.
© ISO/IEC 2022 – Tous droits réservés vii

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient que cela aboutisse à la détermination des mesures de sécurité nécessaires assurant que
les risques résiduels pour l'organisation correspondent à ses critères d'acceptation des risques;
b) les exigences légales, statutaires, réglementaires et contractuelles auxquelles l'organisation et ses
parties intéressées (partenaires commerciaux, fournisseurs de services, etc.) doivent se conformer
ainsi que leur environnement socioculturel;
c) l'ensemble des principes, d'objectifs et d'exigences métier pour toutes les étapes du cycle de vie de
l'information que l'organisation a élaboré pour appuyer son fonctionnement.
0.3 Mesures de sécurité
Un mesure de sécurité est définie comme une mesure qui modifie ou maintient un risque. Certaines
des mesures de sécurité dans le présent document sont des moyens qui modifient les risques, tandis
que d'autres maintiennent les risques. Une politique de sécurité de l'information, par exemple, permet
seulement de maintenir les risques, tandis que la conformité à la politique de sécurité de l'information
peut modifier les risques. De plus, certaines mesures de sécurité décrivent la même mesure générique
dans différents contextes de risques. Le présent document propose une combinaison générique
de mesures de sécurité de l'information organisationnelles, liées aux personnes, physiques et
technologiques, issues des bonnes pratiques reconnues au niveau international.
0.4 Détermination des mesures de sécurité
La détermination des mesures de sécurité dépend des décisions de l'organisation suite à une
appréciation du risque, avec un périmètre clairement défini. Il convient de baser les décisions
relatives aux risques identifiés sur les critères d'acceptation des risques, les options de traitement des
risques et l'approche de gestion des risques appliqués par l'organisation. Il convient également que
la détermination des mesures de sécurité tienne compte de toutes les législations et réglementations
nationales et internationales pertinentes. La détermination des mesures de sécurité dépend aussi de la
manière dont les mesures de sécurité interagissent les unes avec les autres pour assurer une défense en
profondeur.
L'organisation peut concevoir des mesures de sécurité au besoin, ou bien les identifier à partir
de n'importe quelle source. Lors de la spécification de ces mesures de sécurité, il convient que
l'organisation tienne compte des ressources et investissements nécessaires pour mettre en œuvre et
opérer un mesure de sécurité par rapport à la valeur métier réalisée. Voir l'ISO/IEC TR 27016 pour les
recommandations sur les décisions concernant les investissements dans un SMSI et les conséquences
économiques de ces décisions dans le contexte d'exigences concurrentes en matière de ressources.
Il convient qu’il y ait un équilibre entre les ressources déployées pour mettre en œuvre les mesures
de sécurité et l'impact métier possible résultant des incidents de sécurité en l'absence de ces mesures
de sécurité. Il convient que les résultats de l'appréciation du risque aident à guider et à déterminer
les actions de gestion appropriées, les priorités pour gérer les risques de sécurité de l'information, et
pour mettre en œuvre les mesures de sécurité identifiées comme nécessaires pour protéger contre ces
risques.
Certaines mesures de sécurité dans le présent document peuvent être considérées comme des
principes de base pour la gestion de la sécurité de l'information et elles sont applicables à la plupart des
organisations. Plus d’informations sur la détermination des mesures de sécurité et autres options de
traitement du risque peuvent être trouvées dans l'ISO/IEC 27005.
0.5 Élaboration de lignes directrices spécifiques à une organisation
Le présent document peut être considéré comme point de départ pour l’élaboration de lignes directrices
spécifiques à une organisation. Toutes les mesures de sécurité et lignes directrices du présent document
peuvent ne pas être applicables à toutes les organisations. D'autres mesures de sécurité et lignes
directrices ne figurant pas dans le présent document peuvent être nécessaires pour traiter les besoins
spécifiques de l'organisation et les risques identifiés. Lors de la rédaction de documents contenant des
lignes directrices ou des mesures de sécurité supplémentaires, il peut être utile d'ajouter des références
croisées aux articles du présent document en vue d’une consultation ultérieure.
viii © ISO/IEC 2022 – Tous droits réservés

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
0.6 Considérations relatives au cycle de vie

L'information a un cycle de vie, depuis sa création jusqu'à son élimination. La valeur de l'information
et les risques associés peuvent varier au cours de ce cycle de vie (par exemple, une divulgation non
autorisée ou le vol des comptes financiers d'une entreprise n'a pas d'impact significatif après la
publication de ces informations, mais l'intégrité demeure critique). Par conséquent, l'importance de la
sécurité de l'information subsiste à tous les stades.
Les systèmes d'information et autres actifs pertinents pour la sécurité de l'information ont des cycles
de vie durant lesquels ils sont pensés, spécifiés, conçus, développés, testés, mis en œuvre, utilisés,
maintenus et finalement retirés du service et mis au rebut. Il convient que la sécurité de l'information
soit considérée à chaque étape. Les projets de développement de nouveaux systèmes et les changements
apportés aux systèmes existants donnent l'occasion d'améliorer les mesures de sécurité tout en prenant
en compte les risques de l'organisation et les leçons tirées des incidents.
0.7 Normes internationales associées
Alors que le présent document propose des recommandations portant sur un vaste éventail de
mesures de sécurité qui sont communément utilisées dans plusieurs organisations différentes, d'autres
documents de la famille ISO/IEC 27000 proposent des conseils complémentaires ou des exigences
relatifs à d'autres aspects du processus global de gestion de la sécurité de l'information.
Se reporter à l'ISO/IEC 27000 pour une introduction générale à la fois aux SMSI et à la famille de
documents. L'ISO/IEC 27000 fournit un glossaire, définissant la plupart des termes utilisés dans la
famille des documents ISO/IEC 27000, et décrit le périmètre et les objectifs de chaque membre de la
famille.
Il existe des normes sectorielles qui comportent des mesures de sécurité supplémentaires destinées
à traiter des domaines spécifiques (par exemple, l'ISO/IEC 27017 pour les services en nuage,
l'ISO/IEC 27701 pour la protection de la vie privée, l'ISO/IEC 27019 pour l'énergie, l'ISO/IEC 27011
pour les organisations de télécommunications et l'ISO 27799 pour la santé). Ces normes figurent
dans la Bibliographie et certaines d'entre elles sont référencées dans les recommandations et autres
informations des Articles 5 à 8.
© ISO/IEC 2022 – Tous droits réservés ix

AFNOR ISO/IEC 27002:20222022-02
AFNOR ISO/IEC 27002:20222022-02
NORME INTERNATIONALE ISO/IEC 27002:2022(F)
Sécurité de l'information, cybersécurité et protection de la

vie privée — Mesures de sécurité de l'information
1 Domaine d'application
Le présent document fournit un ensemble de référence de mesures de sécurité de l'information
génériques, y compris des recommandations de mise en œuvre. Le présent document est conçu pour
être utilisé par les organisations:
a) dans le contexte d'un système de gestion de la sécurité de l'information (SMSI) selon l'ISO/IEC 27001;
b) pour la mise en œuvre de mesures de sécurité de l'information basées sur les bonnes pratiques
reconnues au niveau international;
c) pour l'élaboration des recommandations de gestion de la sécurité de l'information spécifiques à
une organisation.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes, définitions et abréviations
3.1 Termes et définitions

Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https://w ww.iso.org/obp
— IEC Electropedia: disponible à l’adresse https://w ww.electropedia.org/
3.1.1
contrôle d'accès
moyens pour assurer que l'accès physique et logique aux actifs (3.1.2) est autorisé et limité selon les
exigences de sécurité de l'information et métiers
3.1.2
actif
tout ce qui a de la valeur pour l'organisation
Note 1 à l'article: Dans le contexte de la sécurité de l'information, on peut distinguer deux types d'actifs:
— les actifs essentiels:
— informations;
— processus (3.1.27) et activités métier;
— les actifs support (sur lesquels reposent les actifs essentiels) de tous types, par exemple:
— matériel;
— logiciel;
© ISO/IEC 2022 – Tous droits réservés 1

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
— réseau;
— personnel (3.1.20);
— site;
— structure de l'organisation.
3.1.3
attaque
tentative non autorisée, réussie ou non, de détruire, d’altérer, de désactiver, d'accéder à un actif (3.1.2)
ou toute tentative d’exposer, de voler ou de faire un usage non autorisé d'un actif (3.1.2)
3.1.4
authentification
provision d'assurance qu'une caractéristique revendiquée d'une entité (3.1.11) est correcte
3.1.5
authenticité
propriété selon laquelle une entité (3.1.11) est ce qu'elle revendique être
3.1.6
chaîne de traçabilité
possession démontrable, déplacement, manipulation et emplacement de matériel d'un moment donné à
un autre
Note 1 à l'article: La notion de matériel englobe les informations et les autres actifs (3.1.2) associés dans le
contexte de l'ISO/IEC 27002.
[SOURCE: ISO/IEC 27050‑1:2019, 3.1, modifié — Ajout d'une Note 1 à l'article]

3.1.7
informations confidentielles
informations qui ne sont pas destinées à être rendues disponibles ou divulguées à des personnes, des
entités (3.1.11) ou des processus (3.1.27) non autorisés
3.1.8
mesure de sécurité
action qui maintient et/ou modifie un risque
Note 1 à l'article: Un mesure de sécurité du risque inclut, sans toutefois s’y limiter, n’importe quels processus
(3.1.27), politique (3.1.24), dispositif, pratique ou autres conditions et/ou actions qui maintiennent et/ou
modifient un risque.
Note 2 à l'article: Un mesure de sécurité du risque n’aboutit pas toujours nécessairement à la modification voulue
ou supposée.
[SOURCE: ISO 31000:2018, 3.8, modifié]

3.1.9
perturbation
incident, anticipé ou non, qui entraîne un écart négatif non planifié par rapport à la livraison de produits
et à la fourniture de services prévues selon les objectifs d'une organisation
[SOURCE: ISO 22301:2019, 3.10]
3.1.10
terminal final
terminal matériel de technologies de l'information et de la communication (TIC) connecté au réseau
Note 1 à l'article: Un terminal final peut faire référence à des ordinateurs de bureau, des ordinateurs portables,
des smartphones, des tablettes, des clients légers, des imprimantes ou autres matériels spécialisés y compris les
compteurs intelligents ou les terminaux Internet des Objets (IoT).
2 © ISO/IEC 2022 – Tous droits réservés

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
3.1.11
entité
élément pertinent aux fins de fonctionnement d'un domaine et qui possède une existence manifestement
distincte
Note 1 à l'article: Une entité peut avoir une matérialisation physique ou logique.
EXEMPLE Une personne, une organisation, un dispositif, un groupe d'éléments de cette nature, un abonné
humain à un service de télécommunications, une carte SIM, un passeport, une carte d'interface réseau, une
application logicielle, un service ou un site web.
[SOURCE: ISO/IEC 24760‑1:2019, 3.1.1]

3.1.12
moyen de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou le local les abritant
[SOURCE: ISO/IEC 27000:2018, 3.27, modifié — «moyens» a été remplacé par «moyen».]
3.1.13
violation de sécurité de l'information
compromission de la sécurité de l'information qui entraîne la destruction non souhaitée, la perte,
l'altération, la divulgation ou l'accès à des informations protégées transmises, stockées ou soumises à
un autre traitement
3.1.14
événement de sécurité de l'information
occurrence indiquant une possible violation de sécurité de l'information (3.1.13) ou une violation des
mesures de sécurité (3.1.8)
[SOURCE: ISO/IEC 27035‑1:2016, 3.3, modifié — «violation de la sécurité de l'information» a été
remplacé par «violation de sécurité de l'information».]
3.1.15
incident de sécurité de l'information
un ou plusieurs événements de sécurité de l'information (3.1.14), pouvant porter préjudice aux actifs
(3.1.2) d'une organisation ou compromettre son fonctionnement
[SOURCE: ISO/IEC 27035‑1:2016, 3.4, modifié]
3.1.16
gestion des incidents de sécurité de l'information
exercice d'une approche cohérente et efficace de la prise en charge des incidents de sécurité de
l'information (3.1.15)
[SOURCE: ISO/IEC 27035‑1:2016, 3.5, modifié]
3.1.17
système d'information
ensemble d'applications, services, actifs (3.1.2) informationnels ou autres composants permettant de
gérer l'information
[SOURCE: ISO/IEC 27000:2018, 3.35]
3.1.18
partie intéressée
partie prenante
personne ou organisation susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une
décision ou une activité
[SOURCE: ISO/IEC 27000:2018, 3.37]

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
3.1.19
non-répudiation
capacité à prouver l'occurrence d'un événement ou d'une action revendiqué(e) et des entités (3.1.11) qui
en sont à l'origine
3.1.20
personnel
personnes effectuant un travail sous le contrôle de l'organisation
Note 1 à l'article: Le concept de personnel inclut les membres de l'organisation, tels que l'organe de gouvernance,
la direction, les employés, le personnel temporaire, les sous-traitants et les bénévoles.
3.1.21
données à caractère personnel
DCP
toute information qui (a) peut être utilisée pour établir un lien entre les informations et la personne
physique à laquelle ces informations se rapportent, ou qui (b) est ou peut être associée directement ou
indirectement à une personne physique
Note 1 à l'article: La «personne physique» référencée dans la définition est la personne concernée (3.1.22). Pour
déterminer si une personne concernée est identifiable, il convient de tenir compte de tous les moyens pouvant
être raisonnablement utilisés par la partie prenante en matière de protection de la vie privée qui détient les
données, ou par toute autre partie, afin d'établir le lien entre l'ensemble de DCP et la personne physique.
[SOURCE: ISO/IEC 29100:2011/Amd.1:2018, 2.9]

3.1.22
personne concernée
personne physique à qui se rapportent les données à caractère personnel (DCP) (3.1.21)
Note 1 à l'article: Selon la juridiction et la loi applicable en matière de protection des données et de la vie privée, le
terme «sujet des données» peut également être employé en lieu et place de «personne concernée».
[SOURCE: ISO/IEC 29100:2011, 2.11]

3.1.23
sous-traitant de DCP
partie prenante en matière de protection de la vie privée qui traite des données à caractère personnel
(DCP) (3.1.21) pour le compte d'un responsable de traitement de DCP et conformément à ses instructions
[SOURCE: ISO/IEC 29100:2011, 2.12]
3.1.24
politique
intentions et orientations d'une organisation telles que formalisées par sa direction
[SOURCE: ISO/IEC 27000:2018, 3.53]
3.1.25
étude d'impact sur la vie privée
PIA
processus (3.1.27) global visant à identifier, analyser, évaluer, consulter, communiquer et planifier le
traitement des impacts potentiels sur la vie privée au regard du traitement des données à caractère
personnel (DCP) (3.1.21), dans le cadre plus large du système de management des risques d'une
organisation
[SOURCE: ISO/IEC 29134:2017, 3.7, modifié — « évaluation » remplacé par « étude ». Suppression de la
note 1 à l'article]

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
3.1.26
procédure
manière spécifiée d'effectuer une activité ou un processus (3.1.27)
[SOURCE: ISO 30000:2009, 3.12]
3.1.27
processus
ensemble d'activités corrélées ou en interaction qui utilise des éléments d'entrée pour produire un
résultat
[SOURCE: ISO 9000:2015, 3.4.1, modifié — Suppression des notes à l'article]
3.1.28
enregistrement
informations créées, reçues et préservées comme preuve et actif (3.1.2) par une personne physique ou
morale dans l'exercice de ses obligations légales ou la conduite des opérations liées à son activité
Note 1 à l'article: Dans ce contexte, les obligations légales comprennent toutes les exigences légales, statutaires,
réglementaires et contractuelles.
[SOURCE: ISO 15489‑1:2016, 3.14, modifié — Ajout d'une note 1 à l'article]

3.1.29
objectif de point de reprise
OPR
moment auquel les données doivent être rétablies suite à une perturbation (3.1.9)
[SOURCE: ISO/IEC 27031:2011, 3.12]
3.1.30
délai de reprise
DR
période au cours de laquelle les niveaux minimum de service et/ou produits, ainsi que les systèmes,
applications ou fonctions de soutien, doivent être rétablis suite une perturbation (3.1.9)
[SOURCE: ISO/IEC 27031:2011, 3.13]
3.1.31
fiabilité
propriété relative à la cohérence du comportement et des résultats visés
3.1.32
règle
principe admis ou instruction formulant les attentes de l'organisation sur ce qui est nécessaire de faire,
ce qui est autorisé ou ce qui ne l'est pas
Note 1 à l'article: Les règles peuvent être exprimées de façon formelle dans des politiques spécifiques à une
thématique (3.1.35) ainsi que dans d'autres types de documents.
3.1.33
information sensible
information qui nécessite d’être protégée contre l'indisponibilité, l'accès non autorisé, la modification
ou la divulgation publique en raison des effets négatifs possibles sur une personne, une organisation, la
sécurité nationale ou la sécurité publique
3.1.34
menace
cause potentielle d'un incident indésirable, qui peut nuire à un système ou à une organisation
[SOURCE: ISO/IEC 27000:2018, 3.74]

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
3.1.35
politique spécifique à une thématique
intentions et orientation sur un sujet ou une thématique spécifique, telles qu'elles sont formellement
exprimées par le niveau approprié de la direction
Note 1 à l'article: Les politiques spécifiques à une thématique peuvent exprimer de façon formelle des règles
(3.1.32) ou des référentiels de l'organisation.
Note 2 à l'article: Certaines organisations utilisent d'autres termes pour désigner les politiques spécifiques à une
thématique.
Note 3 à l'article: Les politiques spécifiques à une thématique auxquelles il est fait référence dans le présent
document sont relatives à la sécurité de l'information.
EXEMPLE Politique spécifique à la thématique du contrôle d'accès (3.1.1), politique spécifique à la thématique
du bureau propre et de l'écran vide.
3.1.36
utilisateur
partie intéressée (3.1.18) ayant accès aux systèmes d'information (3.1.17) de l'organisation
EXEMPLE Personnel (3.1.20), clients, fournisseurs.
3.1.37
terminal final de l’utilisateur
terminal final (3.1.10) utilisé par les utilisateurs pour accéder aux services de traitement de l'information
Note 1 à l'article: Un terminal final de l’utilisateur peut faire référence à un ordinateur de bureau, un ordinateur
portable, un smartphone, une tablette, un client léger, etc.
3.1.38
vulnérabilité
faille dans un actif (3.1.2) ou dans une mesure de sécurité (3.1.8) qui peut être exploitée par une ou
plusieurs menaces (3.1.34)
[SOURCE: ISO/IEC 27000:2018, 3.77]
3.2 Abréviations
ABAC contrôle d'accès basé sur les attributs [attribute-based access control]
AIA analyse d'impact sur l'activité
BYOD apportez votre équipement personnel de communication (AVEC) [bring your own device]
CAPTCHA test public de Turing complètement automatique ayant pour but de différencier les
humains des ordinateurs [completely automated public Turing test to tell computers and
humans Apart]
CPU unité centrale de traitement [central processing unit]
DAC contrôle d'accès discrétionnaire [discretionary access control]
DNS système de nom de domaine [domain name system]
DR délai de reprise
GPS système mondial de localisation [global positioning system]
IAM gestion des identités et des accès [identity and access management]

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
ID identifiant
IDE environnement de développement intégré [integrated development environment]
IDS système de détection des intrusions [intrusion detection system]
IoT Internet des Objets [internet of things]
IP protocole Internet [Internet Protocol]
IPS système de prévention d'intrusion [intrusion prevention system]
IT technologies de l'information [information technology]
LCA liste de contrôle d'accès
MAC contrôle d'accès obligatoire [mandatory access control]
NTP protocole de synchronisation réseau [network time protocol]
OPR objectif de point de reprise
PIA étude d'impact sur la vie privée [privacy impact assessment]
PII information personnelle identifiable [personally identifiable information]
PIN numéro d'identification personnel [personal identification number]
PKI infrastructure de clé publique [public key infrastructure]
PTP protocole de synchronisation de précision [precision time protocol]
RBAC contrôle d'accès basé sur les rôles [role-based access control]
SAST essais statiques de sécurité d'application [static application security testing]
SD numérique sécurisé [secure digital]
SDN réseaux définis par logiciels [software-defined networking]
SD-WAN réseau étendu à définition logicielle [software-defined wide area network]
SIEM gestion de l'information et des événements de sécurité [security information and event
management]
SMS service de messagerie courte [short message service]
SMSI système de management de la sécurité de l'information [information security management

system]
SQL langage de requêtes structuré [structured query language]
SSO signature unique [single sign-on]
SWID identification logicielle [software identification]
TIC Technologies de l'Information et de la Communication
UEBA analyse comportementale des utilisateurs et des entités [user and entity behaviour analy-
tics]

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
UPS alimentation sans interruption [uninterruptible power supply]
URL localisateur uniforme de ressource [uniform resource locator]
USB bus série universel [universal serial bus]
VM machine virtuelle [virtual machine]
VPN réseau privé virtuel [virtual private network]
Wi-Fi accès sans fil à Internet [Wireless Fidelity]
4 Structure du présent document
4.1 Articles
Le présent document est structuré comme suit:
a) mesures de sécurité organisationnelles (Article 5);
b) mesures de sécurité applicables aux personnes (Article 6);
c) mesures de sécurité physique (Article 7);
d) mesures de sécurité technologiques (Article 8).
Il contient 2 annexes informatives:
— Annexe A — Utilisation des attributs;
— Annexe B — Correspondance avec l'ISO/IEC 27002:2013.
L'Annexe A explique comment une organisation peut utiliser les attributs (voir 4.2) pour créer ses
propres vues en fonction des attributs des mesures de sécurité définis dans le présent document ou
créés par ses soins.
L'Annexe B montre la correspondance entre les mesures de sécurité figurant dans la présente édition
de l'ISO/IEC 27002 et la précédente édition de 2013.
4.2 Thèmes et attributs

Les catégories de mesures de sécurité proposées dans les Articles 5 à 8 sont appelées thèmes.
Les mesures de sécurité sont catégorisées comme suit:
a) applicables aux personnes, si elles concernent des individus;
b) physiques, si elles concernent des objets physiques;
c) technologiques, si elles concernent la technologie;
d) organisationnelles pour le reste des mesures de sécurité.
L'organisation peut utiliser des attributs pour créer différentes vues représentant différentes
catégorisations des mesures de sécurité, proposant un point de vue différent des thèmes. Les attributs
peuvent être utilisés pour filtrer, trier ou présenter les mesures de sécurité dans différentes vues
destinées à différents publics. L'Annexe A explique comment les attributs peuvent être utilisés et fournit
un exemple de vue.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
À titre d'exemple, chaque mesure de sécurité dans le présent document a été associée à cinq attributs
avec les valeurs d'attributs correspondantes (précédées par le signe «#» pour en faciliter la recherche),
comme suit:
a) Le type de mesure de sécurité
Le type de mesure de sécurité est un attribut qui permet de considérer les mesures de sécurité
sous l’angle de quand et comment cette mesure de sécurité modifie le risque en cas d’occurrence
d'un incident de sécurité de l'information. Les valeurs de cet attribut sont: Préventive (la mesure de
sécurité a pour objet de prévenir l’occurrence d'un incident de sécurité de l'information), Détective
(la mesure de sécurité agit lorsqu'un incident de sécurité de l'information survient) et Corrective
(la mesure de sécurité agit après l’occurrence d'un incident de sécurité de l'information).
b) Les propriétés de sécurité de l'information
Les propriétés de sécurité de l'information sont un attribut qui permet de considérer les mesures de
sécurité du point de vue des caractéristiques de l'information que la mesure de sécurité contribuera
à préserver. Les valeurs de cet attribut sont: Confidentialité, Intégrité et Disponibilité.
c) Les concepts de cybersécurité
Les concepts de cybersécurité sont un attribut qui permet de considérer les mesures de sécurité
du point de vue de leur association aux concepts de cybersécurité tels que définis dans le cadre de
cybersécurité décrit dans l'ISO/IEC TS 27110. Les valeurs de cet attribut sont: Identifier, Protéger,
Détecter, Répondre et Rétablir.
d) Les capacités opérationnelles
Les capacités opérationnelles sont un attribut qui permet de considérer les mesures de sécurité du
point de vue de praticiens par rapport aux compétences de sécurité de l'information. Les valeurs
de cet attribut sont: Gouvernance, Gestion_des_actifs, Protection_des_informations, Sécurité_des_
ressources_humaines, Sécurité_physique, Sécurité_système_et_réseau, Sécurité_des_applications,
Configuration_sécurisée, Gestion_des_identités_et_des_accès, Gestion_des_menaces_et_des_
vulnérabilités, Continuité, Sécurité_des_relations_fournisseurs, Réglementation_et_conformité,
Gestion_des_événements_de_sécurité_de_l'information et Assurance_de_sécurité_de_l'information.
e) Les domaines de sécurité
Les domaines de sécurité sont un attribut qui permet de considérer les mesures de sécurité du
point de vue des quatre domaines de sécurité de l’information: «Gouvernance & Écosystème»
inclut la «Gouvernance de la Sécurité des Systèmes d'Information et la Gestion des Risques»
et la «gestion de la Cybersécurité de l'Écosystème» (y compris les parties prenantes internes et
externes); «Protection» inclut l’«Architecture de la Sécurité IT», l’«Administration de la Sécurité
IT», la «Gestion des accès et des Identités», la «Maintenance de la Sécurité IT» et la «Sécurité
environnementale et physique»; «Défense» inclut la «Détection» et la «Gestion des Incidents de
Sécurité informatique» ; «Résilience» inclut la «Continuité des Opérations» et la «Gestion de crises».
Les valeurs de cet attribut sont: Gouvernance_et_Écosystème, Protection, Défense et Résilience.
Les attributs proposés dans le présent document sont sélectionnés parce qu'ils sont considérés comme
suffisamment génériques pour être utilisés par différents types d'organisations. Les organisations
peuvent choisir d’ignorer un ou plusieurs des attributs du présent document. Elles peuvent également
créer leurs propres attributs (avec les valeurs d'attributs correspondantes) pour créer leurs propres
vues organisationnelles. L'Article A.2 comprend des exemples de tels attributs.
4.3 Structure des mesures de sécurité

La structure de chaque mesure de sécurité contient ce qui suit:
— Titre de la mesure de sécurité: nom court de la mesure de sécurité;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
— Tableau des attributs: tableau indiquant la ou les valeurs de chaque attribut pour une mesure de
sécurité donnée;
— Mesure de sécurité: description de la mesure de sécurité;
— Objectif: les raisons pour lesquelles il convient de mettre en œuvre la mesure de sécurité;
— Recommandations: la manière dont il convient de mettre en œuvre la mesure de sécurité;
— Autres informations: texte explicatif ou références à d’autres documents connexes.
Des sous-titres sont utilisés dans le texte des recommandations de certaines mesures de sécurité par
souci de lisibilité lorsque le texte des recommandations est long et porte sur plusieurs sujets. Ces titres
ne sont pas nécessairement utilisés dans le texte de toutes les recommandations. Les sous-titres sont
soulignés.
5 Mesures de sécurité organisationnelles
5.1 Politiques de sécurité de l'information
Type de mesure de Propriétés de Concepts de Capacités Domaines de sécurité

sécurité sécurité cybersécurité opérationnelles
de l'information
#Préventive #Confidentialité #Identifier #Gouvernance #Gouvernance_et_Écosys-
#Intégrité tème #Résilience
#Disponibilité
Mesure de sécurité
Il convient de définir une politique de sécurité de l'information et des politiques spécifiques à une
thématique, de les faire approuver par la direction, de les publier, de les communiquer et d'en demander
confirmation au personnel et aux parties intéressées concernés, ainsi que de les réviser à intervalles
planifiés et si des changements significatifs ont lieu.
Objectif
Assurer de manière continue la pertinence, l'adéquation, l'efficacité des orientations de la direction et de
son soutien à la sécurité de l'information selon les exigences métier, légales, statutaires, réglementaires
et contractuelles.
Recommandations
Il convient que l'organisation définisse, à son plus haut niveau, une «politique de sécurité de
l'information», qui soit approuvée par la direction et qui présente l'approche de l'organisation pour
gérer la sécurité de ses informations.
Il convient que la politique de sécurité de l'information tienne compte des exigences dérivées des
éléments suivants:
a) stratégie et exigences métier;
b) réglementations, législation et contrats;
c) risques et menaces de sécurité de l'information actuels et prévisibles.
Il convient que cette politique de sécurité de l'information comporte des informations concernant:
a) la définition de la sécurité de l'information;
b) les objectifs de la sécurité de l'information ou le cadre pour l'établissement de ces objectifs;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) les principes permettant de guider toutes les activités liées à la sécurité de l'information;
d) l'engagement pour satisfaire aux exigences applicables relatives à la sécurité de l'information;
e) l'engagement pour assurer l'amélioration continue du système de management de la sécurité de
l'information;
f) l'attribution de responsabilités pour la gestion de la sécurité de l'information à des fonctions
définies;
g) des procédures de gestion des dérogations et des exceptions.
Il convient que la direction approuve tout changement apporté à la politique de sécurité de l'information.
Il convient qu'à un niveau inférieur, la politique de sécurité de l'information soit renforcée par des
politiques spécifiques à une thématique pour imposer en plus la mise en œuvre de mesures de sécurité
de l'information. Les politiques spécifiques à une thématique sont de manière générale structurées
pour répondre aux besoins de certains groupes cibles d'une organisation ou pour couvrir certains
domaines de la sécurité. Il convient que les politiques spécifiques à une thématique soient alignées et
complémentaires à la politique de sécurité de l'information de l'organisation.
Des exemples de ces thématiques sont:
a) le contrôle d'accès;
b) la sécurité physique et environnementale;
c) la gestion des actifs;
d) le transfert des informations;
e) la configuration sécurisée et la gestion des terminaux finaux des utilisateurs;
f) la sécurité des réseaux;
g) la gestion des incidents de sécurité de l'information;
h) la sauvegarde;
i) la cryptographie et la gestion des clés;
j) la classification et la gestion de l'information;
k) la gestion des vulnérabilités techniques;
l) le développement sécurisé.
Il convient d'attribuer la responsabilité du développement, de la révision et de l'approbation des
politiques spécifiques à une thématique au personnel approprié en fonction de son niveau d'autorité
et de sa compétence technique. Il convient que la révision inclue l’appréciation des possibilités
d'amélioration de la politique de sécurité de l'information et des politiques spécifiques à une thématique
de l'organisation, ainsi que la gestion de la sécurité de l'information pour répondre aux changements
dans:
a) la stratégie métier de l'organisation;
b) l'environnement technique de l'organisation;
c) les réglementations, les statuts, la législation et les contrats;
d) les risques de sécurité de l'information;
e) l'environnement actuel et prévisible des menaces de sécurité de l'information;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
f) les enseignements tirés des événements et incidents de sécurité de l'information.

Il convient que la révision de la politique de sécurité de l'information et des politiques spécifiques à
une thématique tienne compte des résultats des révisions et audits du management. Il convient que la
révision et la mise à jour d'autres politiques apparentées soient prises en compte lorsqu'une politique
est modifiée pour assurer la cohérence.
Il convient que la politique de sécurité de l'information et les politiques spécifiques à une thématique
soient communiquées au personnel et aux parties intéressées concernés sous une forme pertinente,
accessible et compréhensible par leurs destinataires. Il convient d'exiger des destinataires des politiques
qu’ils confirment leur compréhension de ces politiques et acceptent de s'y conformer lorsqu'elles sont
applicables. L'organisation peut déterminer les formats et les noms de ces documents de politiques en
fonction de ses besoins. Dans certaines organisations, la politique de sécurité de l'information et les
politiques spécifiques à une thématique peuvent figurer dans un seul et même document. L'organisation
peut désigner ces politiques spécifiques à une thématique comme des normes, des directives, des
politiques ou autres.
Si la politique de sécurité de l'information ou toute politique spécifique à une thématique est diffusée
hors de l'organisation, il convient de veiller à ne pas divulguer inconsidérément d'informations
confidentielles.
Le Tableau 1 illustre les différences entre une politique de sécurité de l'information et une politique
spécifique à une thématique.
Tableau 1 — Différences entre politique de sécurité de l'information et politique spécifique à

une thématique
Politique de sécurité de l'information Politique spécifique à une
thématique
Niveau de détail Générale ou haut niveau Spécifique et détaillée
Documentée et formelle-
La direction générale Le niveau de direction approprié
ment approuvée par
Informations supplémentaires
Les politiques spécifiques à une thématique peuvent différer d'une organisation à l'autre.
5.2 Fonctions et responsabilités liées à la sécurité de l'information
Type de mesure Propriétés de Concepts de Capacités Domaines de sécurité

de sécurité sécurité cybersécurité opérationnelles
de l'information
#Préventive #Confidentialité #Identifier #Gouvernance #Gouvernance_et_Écosystème
#Intégrité #Protection #Résilience
#Disponibilité
Il convient de définir et d'attribuer les fonctions et responsabilités liées à la sécurité de l'information
selon les besoins de l'organisation.
Objectif
Établir une structure définie, approuvée et comprise pour la mise en œuvre, le fonctionnement et la
gestion de la sécurité de l'information au sein de l'organisation.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient d'attribuer les fonctions et responsabilités en matière de sécurité de l'information
conformément à la politique de sécurité de l'information et aux politiques spécifiques à une thématique
(voir 5.1). Il convient que l'organisation définisse et gère les responsabilités pour:
a) la protection des informations et autres actifs associés;
b) l’application des processus liés à la sécurité de l'information spécifiques;
c) les activités de gestion des risques de sécurité de l'information et, en particulier, l'acceptation des
risques résiduels (par exemple, à l'égard des propriétaires des risques);
d) tout le personnel utilisant les informations et autres actifs associés de l'organisation.
Il convient de compléter ces responsabilités, si besoin, de recommandations supplémentaires détaillées
pour certains sites et moyens de traitement de l'information. Les personnes ayant des responsabilités
en matière de sécurité de l'information peuvent affecter des tâches de sécurité à d’autres personnes.
Cependant, elles demeurent responsables et il convient qu'elles s'assurent de la bonne exécution de
toute tâche déléguée.
Il convient de définir, documenter et communiquer chaque domaine de sécurité dont des personnes
sont responsables. Il convient de définir et de documenter les différents niveaux d'autorisation. Il
convient que les personnes qui occupent une fonction liée à la sécurité de l'information possèdent les
connaissances et compétences requises pour la fonction et il convient que ces personnes reçoivent le
soutien nécessaire pour se tenir au courant des évolutions relatives à la fonction et qui sont nécessaires
pour remplir les responsabilités de cette fonction.
Plusieurs organisations désignent un responsable de la sécurité de l'information pour assumer toute
la responsabilité de l'élaboration et de la mise en œuvre de la sécurité de l'information et pour appuyer
l'identification des risques et des mesures d'atténuation.
Cependant, la responsabilité de l’allocation des ressources et de la mise en œuvre des mesures de
sécurité reste bien souvent attribuée à d'autres managers. Une pratique courante consiste à désigner un
propriétaire pour chaque actif qui devient alors responsable de la protection quotidienne de cet actif.
Selon la taille de l'organisation et les ressources dont elle dispose, la sécurité de l'information peut
être assurée par des fonctions dédiées ou par l’attribution de tâches à réaliser en plus de fonctions
existantes.
5.3 Séparation des tâches

de l'information
#Préventive #Confidentialité #Protéger #Gouvernance #Gouvernance_et_Écosystème
#Intégrité #Gestion_des_iden-
#Disponibilité tités_et_des_accès
Il convient de séparer les tâches et domaines de responsabilité incompatibles.
Objectif
Réduire le risque de fraude, d'erreur et de contournement des mesures de sécurité de l'information.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
La séparation des tâches et des domaines de responsabilité vise à séparer les tâches incompatibles entre
plusieurs personnes afin d’éviter qu'une personne ne puisse réaliser seule des tâches potentiellement
incompatibles.
Il convient que l'organisation détermine les tâches et domaines de responsabilité qui nécessitent d’être
séparés. Ces exemples d’activités suivantes peuvent nécessiter une séparation:
a) lancement, approbation et exécution d'un changement;
b) demande, approbation et mise en œuvre de droits d'accès;
c) conception, mise en œuvre et révision de code;
d) développement de logiciel et administration des systèmes de production;
e) utilisation et administration des applications;
f) utilisation d'applications et administration de bases de données;
g) conception, audit et mise en œuvre des mesures de sécurité de l'information.
Il convient d'envisager la possibilité de collusion lors de la conception des moyens de séparation. Les
organisations de petite taille peuvent avoir des difficultés à réaliser une séparation des tâches, mais
il convient d'appliquer ce principe dans la mesure du possible. Lorsqu'il est difficile de procéder à la
séparation des tâches, il convient d'envisager d'autres mesures de sécurité comme la surveillance des
activités, les journaux d'audit et la supervision de la direction.
Il convient de veiller à ne pas attribuer de fonctions incompatibles aux personnes lors de l'utilisation de
systèmes de contrôle d'accès basés sur les rôles. En présence d'un nombre élevé de fonctions, il convient
que l'organisation envisage l’utilisation d'outils automatisés pour identifier les conflits et faciliter leur
élimination. Il convient de définir et d'attribuer les rôles avec attention pour réduire au minimum les
problèmes d'accès si une fonction est supprimée ou réattribuée.
Pas d’informations supplémentaires.
5.4 Responsabilités de la direction

de l'information
#Préventive #Confidentialité #Identifier #Gouvernance #Gouvernance_et_Écosys-
#Intégrité tème
#Disponibilité
Il convient que la direction demande à tout le personnel d’appliquer les mesures de sécurité de
l'information conformément à la politique de sécurité de l'information, aux politiques spécifiques à une
thématique et aux procédures établies de l'organisation.
Objectif
S’assurer que la direction comprend son rôle en matière de sécurité de l'information et qu'elle
entreprend des actions visant à garantir que tout le personnel est conscient de ses responsabilités liées
à la sécurité de l'information et qu'il les mène à bien.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient que la direction manifeste son soutien à la politique de sécurité de l'information, aux
politiques spécifiques à une thématique, aux procédures et aux mesures de sécurité de l'information.
Il convient que les responsabilités de la direction incluent de s'assurer que le personnel:
a) est correctement informé sur ses fonctions et ses responsabilités en matière de sécurité de
l'information avant de se voir accorder l'accès aux informations et autres actifs associés de
l'organisation;
b) a reçu les lignes directrices spécifiant les attentes en matière de sécurité de l'information liées à
ses fonctions au sein de l'organisation;
c) est mandaté pour appliquer la politique de sécurité de l'information et les politiques spécifiques à
une thématique de l'organisation;
d) atteint un niveau de sensibilisation à la sécurité de l'information en adéquation avec ses fonctions
et responsabilités au sein de l'organisation (voir 6.3);
e) respecte les termes et conditions de son embauche, de son contrat de travail ou de son accord,
y compris la politique de sécurité de l'information de l'organisation et les méthodes de travail
appropriées;
f) continue à avoir les compétences et qualifications appropriées de sécurité de l'information grâce à
une formation professionnelle continue;
g) lorsque cela est possible, est doté d’un canal confidentiel pour signaler les violations de la politique
de sécurité de l'information, des politiques spécifiques à une thématique ou des procédures de
sécurité de l'information («dénonciation»). Cela peut permettre d'effectuer des signalements
anonymes ou de prendre des dispositions pour s'assurer que l'identité de la personne qui signale la
violation est uniquement connue des personnes qui ont à gérer ces types de signalements;
h) dispose des ressources adéquates et du temps de planification de projet nécessaire pour la mise en
œuvre des processus et des mesures de sécurité de l'organisation.
5.5 Contacts avec les autorités
Type de mesure Propriétés de sécurité Concepts de Capacités Domaines de sécurité

de sécurité de l'information cybersécurité opérationnelles
#Préventive #Confidentialité #Identifier #Gouvernance #Défense
#Corrective #Intégrité #Protéger #Résilience
#Disponibilité #Répondre
#Rétablir
Il convient que l'organisation établisse et maintienne le contact avec les autorités appropriées.
Objectif
Assurer la circulation adéquate de l'information en matière de sécurité de l’information, entre
l'organisation et les autorités légales, réglementaires et de surveillance pertinentes.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient que l'organisation spécifie quand et quelle autorité (par exemple, les forces de l’ordre, les
organismes de réglementation, les autorités de surveillance) contacter et comment il convient de
déclarer les incidents de sécurité de l'information dans les meilleurs délais.
Il convient que les contacts avec les autorités soient aussi utilisés pour faciliter la compréhension
des attentes actuelles et futures de ces autorités (par exemple les réglementations de sécurité de
l'information applicables).
Les organisations subissant une attaque peuvent demander aux autorités d’engager des actions à
l'encontre de la source de l'attaque.
Maintenir ces contacts peut être une exigence pour appuyer la gestion des incidents de sécurité de
l'information (voir 5.24 à 5.28) ou la planification d’urgence et les processus de continuité d’activité
(voir 5.29 et 5.30). Les contacts avec les autorités réglementaires sont également utiles pour anticiper et
préparer les changements à venir des lois ou réglementations pertinentes qui impactent l'organisation.
Les contacts avec d’autres autorités incluent les services publics, les services d'urgence, les fournisseurs
d'électricité, la santé et la sûreté [par exemple, les pompiers (en lien avec la continuité d'activité), les
opérateurs de télécommunication (en lien avec le routage et la disponibilité) et les fournisseurs d'eau
(en lien avec le refroidissement du matériel)].
5.6 Contacts avec des groupes d’intérêt spécifiques
Type de mesure Propriétés de Concepts de Capacités Domaines de

de sécurité sécurité cybersécurité opérationnelles sécurité
de l'information
#Préventive #Confidentialité #Protéger #Gouvernance #Défense
#Corrective #Intégrité #Répondre
#Disponibilité #Rétablir
Il convient que l'organisation établisse et maintienne des contacts avec des groupes d’intérêt spécifiques
ou autres forums spécialisés sur la sécurité et associations professionnelles.
Objectif
Assurer la circulation adéquate de l'information en matière de sécurité de l’information.
Recommandations
Il convient de considérer l’adhésion à des groupes d’intérêt spécifiques ou à des forums spécialisés
comme moyen de:
a) améliorer la connaissance des bonnes pratiques et se tenir à jour des informations de sécurité
importantes;
b) s'assurer que la compréhension de l'environnement de la sécurité de l'information est à jour;
c) recevoir des alertes précoces, des avertissements et des correctifs portant sur les attaques et les
vulnérabilités;
d) avoir accès à des conseils de spécialistes en sécurité de l'information;
e) partager et échanger des informations sur les nouvelles technologies, les produits, les services, les
menaces ou les vulnérabilités;
f) avoir des points de contact pertinents en cas de gestion des incidents de sécurité de l'information
(voir 5.24 à 5.28).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
5.7 Renseignements sur les menaces
Type de mesure de Propriétés de Concepts de Capacités Domaines de

sécurité sécurité cybersécurité opérationnelles sécurité
de l'information
#Préventive #Confidentialité #Identification #Gestion_des_me- #Défense
#Détective #Intégrité #Détecter naces_et_des_vulnéra- #Résilience
#Corrective #Disponibilité #Répondre bilités
Il convient de collecter et d’analyser les informations relatives aux menaces de sécurité de l'information
pour produire les renseignements sur les menaces.
Objectif
Apporter une connaissance de l'environnement des menaces de l'organisation afin que les mesures
d'atténuation appropriées puissent être prises.
Recommandations
Les informations sur les menaces existantes et émergentes sont collectées et analysées afin de:
a) favoriser des actions avisées pour éviter que les menaces ne portent préjudice à l'organisation;
b) réduire l'impact de ces menaces.
Les renseignements sur les menaces peuvent être divisés en trois couches, qu'il convient de toutes
prendre en considération:
a) renseignements sur les menaces stratégiques: échange d'informations de haut niveau sur l'évolution
du paysage des menaces (par exemple, types d'attaquants ou types d'attaques);
b) renseignements sur les menaces tactiques: informations sur les méthodologies des attaquants, les
outils et les technologies impliqués;
c) renseignements sur les menaces opérationnelles: détails sur des attaques spécifiques, y compris les
indicateurs techniques.
Il convient que les renseignements sur les menaces soient:
a) pertinents (c'est-à-dire liés à la protection de l'organisation);
b) pointus (c'est-à-dire qu’ils apportent à l'organisation une compréhension correcte et détaillée du
paysage des menaces);
c) contextuels, pour assurer une connaissance de la situation (c'est-à-dire en ajoutant un contexte aux
informations en fonction de l'heure des événements, du lieu où ils surviennent, des précédentes
expériences et de la prévalence dans des organisations similaires);
d) exploitables (c'est-à-dire, l'organisation peut agir rapidement et efficacement sur l'information).
Il convient que les activités associées aux renseignements sur les menaces incluent:
a) établissement des objectifs sur la production de renseignements sur les menaces;
b) identification, vérification et sélection des sources d'information internes et externes qui
sont nécessaires et appropriées pour fournir les informations requises pour la production de
renseignements sur les menaces;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) collecte d'informations auprès des sources sélectionnées, qui peuvent être internes et externes;
d) traitement des informations collectées pour les préparer à des fins d'analyse (par exemple, en
traduisant, en mettant en forme ou en corroborant les informations);
e) analyse des informations pour comprendre leur lien et leur importance vis-à-vis de l'organisation;
f) communication et partage des informations aux personnes appropriées sous une forme
compréhensible.
Il convient que les renseignements sur les menaces soient analysés puis utilisés:
a) en mettant en œuvre des processus pour intégrer les informations collectées auprès des sources
de renseignements sur les menaces dans les processus de gestion des risques de sécurité de
l'information de l'organisation;
b) en tant que donnée d'entrée supplémentaire pour les mesures de sécurité préventives et détectives
techniques telles que les pare-feu, le système de détection des intrusions ou les solutions de
protection contre les programmes malveillants (solutions anti-malware);
c) en tant que donnée d'entrée pour les techniques et processus de test de la sécurité de l'information.
Il convient que l'organisation partage mutuellement les renseignements sur les menaces avec d'autres
organisations de manière mutuelle afin d’améliorer globalement les renseignements sur les menaces.
Les organisations peuvent utiliser les renseignements sur les menaces pour prévenir, détecter ou
répondre aux menaces. Les organisations peuvent produire des renseignements sur les menaces, mais
généralement, elles reçoivent et utilisent les renseignements sur les menaces produits par d'autres
sources.
Les renseignements sur les menaces sont souvent proposés par des fournisseurs ou des conseillers
indépendants, des agences gouvernementales ou des groupes de renseignements sur les menaces
collaboratifs.
L'efficacité de mesures de sécurité telles que 5.25, 8.7, 8.16 ou 8.23 dépend de la qualité des
renseignements sur les menaces disponibles.
5.8 Sécurité de l'information dans la gestion de projet

de l'information
#Préventive #Confidentialité #Identifier #Gouvernance #Gouvernance_et_Écosystème
#Intégrité #Protéger #Protection
#Disponibilité
Il convient d'intégrer la sécurité de l'information dans la gestion de projet.
Objectif
Assurer que les risques de sécurité de l'information relatifs aux projets et aux livrables sont traités
efficacement dans la gestion de projet, tout au long du cycle de vie du projet.
Recommandations
Il convient d'intégrer la sécurité de l'information dans la gestion de projet pour assurer que les risques
de sécurité de l'information sont traités dans le cadre de la gestion de projet. Cette recommandation
peut s'appliquer à tout type de projet, indépendamment de sa complexité, dimension, durée, discipline

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
ou de son domaine d'application (par exemple, un projet sur un processus métier de base, sur les
technologies de l'information (TIC), sur la gestion des installations ou sur d'autres processus support).
Il convient que la gestion de projet en vigueur exige que:
a) les risques de sécurité de l'information soient évalués et traités dès le début puis périodiquement
en tant que risques du projet, tout au long du cycle de vie du projet;
b) les exigences de sécurité de l'information [par exemple, les exigences de sécurité des applications
(8.26), les exigences de conformité aux droits de propriété intellectuelle (5.32), etc.] soient traitées
dès le début des projets;
c) les risques de sécurité de l'information associés à l'exécution des projets, tels que la sécurité
d’aspects relatifs à la communication interne et externe, soient pris en compte et traités tout au
long du cycle de vie du projet;
d) l'avancement du traitement des risques de sécurité de l'information soit contrôlé et l'efficacité du
traitement soit évaluée et testée.
Il convient que l'adéquation des considérations et activités liées à la sécurité de l'information soit suivie,
à des stades prédéfinis, par des personnes ou des instances de gouvernance appropriées, telles que le
comité de pilotage du projet.
Il convient que les responsabilités et autorités en matière de sécurité de l'information appropriées au
projet soient définies et attribuées à des fonctions précises.
Il convient de déterminer les exigences de sécurité de l'information pour les produits ou services qui
doivent être livrés par le projet en utilisant différentes méthodes, notamment en déterminant les
exigences de conformité à partir de la politique de sécurité de l'information, des politiques spécifiques
à une thématique et des réglementations. Des exigences de sécurité de l'information supplémentaires
peuvent être dérivées à partir d'activités telles que la modélisation des menaces, l’analyse des incidents,
l’utilisation de seuils de vulnérabilité ou la planification d’urgence, assurant ainsi que l'architecture et la
conception des systèmes d'information sont protégées contre les menaces connues de l'environnement
opérationnel.
Il convient de déterminer les exigences de sécurité de l'information pour tous les types de projets, et
pas seulement les projets de développement de TIC. Il convient également de prendre en considération
ce qui suit lors de la détermination de ces exigences:
a) quelle information est concernée (détermination de l'information), quels sont les besoins de
sécurité de l'information associés (classification; voir 5.12) et le potentiel impact métier négatif
pouvant résulter du manque d’une sécurité adéquate;
b) les besoins de protection requis des informations et autres actifs associés concernés, en particulier
en termes de confidentialité, d'intégrité et de disponibilité;
c) le niveau de confiance ou d'assurance requis envers l'identité déclarée des entités, afin d'en dériver
les exigences d'authentification;
d) les processus d'autorisation et d'attribution d'accès pour les clients et les potentiels autres
utilisateurs professionnels ainsi que pour les utilisateurs techniques ou dotés de privilèges, tels
que les membres pertinents de l'équipe de projet, le personnel d'exploitation éventuel ou les
fournisseurs externes;
e) l'information des utilisateurs sur leurs devoirs et responsabilités;
f) les exigences dérivant des processus métier, tels que la journalisation et la surveillance des
transactions, les exigences de non-répudiation;
g) les exigences imposées par d’autres mesures de sécurité de l'information (par exemple, les
interfaces pour la journalisation et la surveillance ou les systèmes de détection de fuite de données);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
h) la conformité à l'environnement légal, statutaire, réglementaire et contractuel dans lequel

l'organisation opère;
i) le niveau de confiance ou d'assurance requis pour les tierces parties afin de respecter la politique
de sécurité de l'information et les politiques spécifiques à une thématique de l'organisation, y
compris les clauses appropriées sur la sécurité dans tout accord ou contrat.
Il convient que l'approche de développement du projet, telle que le cycle de vie en cascade ou le cycle
de vie agile, favorise la sécurité de l'information d'une manière structurée qui puisse être adaptée
pour s’aligner au niveau de la gravité évaluée des risques de sécurité de l'information, en fonction du
caractère du projet. La prise en considération dès le début des exigences de sécurité de l'information
pour le produit ou le service (par exemple, dès les phases de planification et de conception) peut
mener vers des solutions plus efficaces et plus rentables du point de vue de la qualité et de la sécurité
de l'information. L'ISO 21500 et l'ISO 21502 fournissent des recommandations sur les concepts et les
processus de gestion de projet qui sont importants pour la performance des projets.
L'ISO/IEC 27005 fournit des recommandations sur l'utilisation des processus de gestion des risques afin
d'identifier les mesures de sécurité permettant de satisfaire aux exigences de sécurité de l'information.
5.9 Inventaire des informations et autres actifs associés
Type de mesure Propriétés de sécurité Concepts de Capacités Domaines de

de sécurité de l'information cybersécurité opérationnelles sécurité
#Préventive #Confidentialité #Identifier #Gestion_des_actifs #Gouvernance_
#Intégrité et_Écosystème
#Disponibilité #Protection
Il convient d'élaborer et de tenir à jour un inventaire des informations et autres actifs associés, y
compris leurs propriétaires.
Objectif
Identifier les informations et autres actifs associés de l'organisation afin de préserver leur sécurité et
d'en attribuer la propriété de manière appropriée.
Recommandations
Inventaire
Il convient que l'organisation identifie ses informations et autres actifs associés et qu'elle détermine
leur importance en termes de sécurité de l'information. Il convient que la documentation soit tenue à
jour dans des inventaires dédiés ou déjà en place selon le cas.
Il convient que l'inventaire des informations et autres actifs associés soit correct, à jour, cohérent
et aligné avec les autres inventaires. Les possibilités pour assurer l'exactitude d'un inventaire des
informations et autres actifs associés incluent de:
a) mener des vérifications régulières des informations et autres actifs associés identifiés par rapport
à l'inventaire des actifs;
b) appliquer automatiquement une mise à jour de l'inventaire lors de l'installation, du changement ou
retrait d'un actif.
Il convient que l'emplacement de chaque actif soit indiqué dans l'inventaire au besoin.
Il n'est pas nécessaire que l'inventaire corresponde à une seule liste des informations et autres actifs
associés. Compte tenu du fait qu'il convient que l'inventaire soit maintenu par les fonctions appropriées,

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
il peut être considéré comme un ensemble d'inventaires dynamiques, tels que les inventaires d’actifs
informationnels, de matériels, de logiciels, de machines virtuelles (VM), d‘installations, de personnel,
de compétences, de capacités et d’enregistrements.
Il convient de classifier chaque actif conformément à la classification de l'information (voir 5.12) qui lui
est associée.
Il convient que la granularité de l'inventaire des informations et autres actifs associés soit à un niveau
approprié par rapport aux besoins de l'organisation. Parfois, il n'est pas possible de documenter des
instances spécifiques d'actifs dans le cycle de vie de l'information à cause de la nature de l'actif. Un
exemple d'actif éphémère est une instance de VM dont le cycle de vie peut être de courte durée.
Propriété
Pour les informations et autres actifs associés identifiés, il convient d'attribuer la propriété de l'actif
à une personne ou à un groupe, et il convient d'identifier la classification (voir 5.12, 5.13). Il convient
de mettre en œuvre un processus permettant d'assurer l'attribution rapide d'un propriétaire à
l'actif. Il convient d'attribuer un propriétaire aux actifs à leur création ou lorsqu'ils sont transférés à
l'organisation. Il convient de réattribuer la propriété de l'actif au besoin lorsque son propriétaire actuel
quitte l'organisation ou change de fonction.
Obligations du propriétaire
Il convient que le propriétaire de l'actif soit responsable de la bonne gestion de cet actif tout au long de
son cycle de vie, en assurant que:
a) les informations et autres actifs associés sont inventoriés;
b) les informations et autres actifs associés sont classifiés et protégés de manière appropriée;
c) la classification est révisée périodiquement;
d) les composants qui constituent les actifs technologiques sont listés et leurs relations établies, tels
que les composants et sous-composants logiciels, de base de données et de stockage;
e) les exigences relatives à l'utilisation correcte des informations et autres actifs associés (voir 5.10)
sont définies;
f) les restrictions d'accès correspondent à la classification, qu'elles sont efficaces et qu'elles sont
révisées périodiquement;
g) les informations et autres actifs associés qui sont supprimés ou mis au rebut soient traités de
manière sécurisée et retirés de l'inventaire;
h) il participe à l'identification et à la gestion des risques associés à son ou ses actifs;
i) il soutient le personnel qui a les fonctions et les responsabilités de gestion de ses informations.
Les inventaires des informations et autres actifs associés sont souvent nécessaires pour assurer une
protection efficace de l'information et peuvent également être nécessaires à d'autres fins, telles que
la santé et la sûreté, des motifs d'assurance ou financiers. En outre, les inventaires des informations
et autres actifs associés appuient aussi la gestion des risques, les activités d'audit, la gestion des
vulnérabilités, la réponse aux incidents et le plan de reprise.
Les tâches et les responsabilités peuvent être déléguées (par exemple, à une personne qui surveille les
actifs au quotidien), mais la personne ou le groupe qui les a déléguées reste responsable.
Il peut être utile de désigner des groupes d'informations et autres actifs associés qui agissent ensemble
pour fournir un service particulier. Dans ce cas, le propriétaire de ce service est responsable de la
livraison du service, y compris du fonctionnement de ses actifs.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Voir l'ISO/IEC 19770-1 pour des informations supplémentaires sur la gestion des actifs informatiques.
Voir l'ISO 55001 pour des informations supplémentaires sur la gestion des actifs.
5.10 Utilisation correcte des informations et autres actifs associés
Type de Propriétés de Concepts de Capacités Domaines de

mesure de sécurité cybersécurité opérationnelles sécurité
sécurité de l'information
#Préventive #Confidentialité #Protéger #Gestion_des_actifs #Gouvernance_
#Intégrité #Protection_des_informations et_Écosystème
Il convient d'identifier, de documenter et de mettre en œuvre les règles d'utilisation correcte et les
procédures de traitement des informations et autres actifs associés.
Objectif
Assurer que les informations et autres actifs associés sont protégés, utilisés et traités de manière
appropriée.
Recommandations
Il convient que le personnel et les utilisateurs externes qui utilisent ou ont accès aux informations et
autres actifs associés de l'organisation soient informés des exigences de sécurité de l'information pour
la protection et le traitement des informations et autres actifs associés de l'organisation. Il convient
qu'ils soient responsables de l'utilisation qu'ils font de tout moyen de traitement de l'information.
Il convient que l'organisation établisse une politique spécifique à la thématique de l'utilisation correcte
des informations et autres actifs associés et qu'elle la communique à toute personne qui utilise ou
traite les informations et autres actifs associés. Il convient que la politique spécifique à la thématique
de l'utilisation correcte indique clairement la façon dont les personnes sont censées utiliser les
informations et autres actifs associés. Il convient que la politique spécifique à cette thématique indique:
a) les comportements attendus et inacceptables des personnes du point de vue de la sécurité de
l'information;
b) l'utilisation autorisée et interdite des informations et autres actifs associés;
c) les activités de surveillance réalisées par l'organisation.
Il convient d'établir les procédures d'utilisation correcte pour le cycle de vie complet des informations,
en fonction de leur classification (voir 5.12) et des risques déterminés. Il convient de prendre en
considération les éléments suivants:
a) les restrictions d’accès appuyant les exigences de protection à chaque niveau de la classification;
b) la tenue à jour d’un enregistrement des utilisateurs autorisés des informations et autres actifs
associés;
c) la protection des copies temporaires ou permanentes des informations à un niveau en adéquation
avec le niveau de protection des informations d’origine;
d) le stockage des actifs associés aux informations conformément aux spécifications du fabricant
(voir 7.8);
e) le marquage clair de toutes les copies des supports de stockage (électroniques ou physiques) à
l’attention des utilisateurs autorisés (voir 7.10);
f) l’ autorisation de mise au rebut des informations et autres actifs associés et de la ou des méthodes
de suppression utilisées (voir 8.10).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il peut arriver que les actifs concernés n'appartiennent pas directement à l'organisation, tels que les
services en nuage publics. Il convient d'identifier comme applicable et contrôlée l'utilisation de tels
actifs de tierces parties et des actifs de l'organisation associés à ces actifs externes (par exemple,
informations, logiciels), par exemple par le biais d'accords avec les fournisseurs de services en nuage. Il
convient également de faire attention lorsqu'un environnement de travail collaboratif est utilisé.
5.11 Restitution des actifs

de l'information
#Préventive #Confidentialité #Protéger #Gestion_des_actifs #Protection
#Intégrité
#Disponibilité
Il convient que le personnel et les autres parties intéressées, selon le cas, restituent tous les actifs de
l'organisation qui sont en leur possession au moment du changement ou de la fin de leur emploi, contrat
ou accord.
Objectif
Protéger les actifs de l'organisation dans le cadre du processus du changement ou de la fin de leur
emploi, contrat ou accord.
Recommandations
Il convient de formaliser le processus de changement ou de fin d’emploi pour y inclure la restitution
de tous les actifs physiques et électroniques précédemment fournis, et qui appartiennent ou ont été
confiés à l'organisation.
Dans le cas où le personnel et d'autres parties intéressées achètent du matériel à l'organisation ou
utilisent leur propre matériel, il convient de suivre les procédures pour s'assurer que toutes les
informations importantes sont tracées et transférées à l'organisation, et supprimées de manière
sécurisée du matériel (voir 7.14).
Dans les cas où le personnel et d'autres parties intéressées détiennent des connaissances importantes
pour les activités en cours, il convient que ces informations soient documentées et transmises à
l'organisation.
Lors de la période de préavis et ultérieurement, il convient que l'organisation prévienne la copie non
autorisée d'informations importantes (par exemple, soumises à une propriété intellectuelle) par le
personnel notifié du préavis.
Il convient que l'organisation identifie clairement et documente toutes les informations et autres actifs
associés à restituer, qui peuvent inclure:
a) les terminaux finaux des utilisateurs;
b) les supports de stockage portables;
c) les équipements spécialisés;
d) le matériel d'authentification (par exemple, les clés mécaniques, les jetons physiques et les cartes à
puce) pour les systèmes d'information, sites et archives physiques;
e) les copies physiques d'informations.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il peut être difficile de restituer des informations détenues dans des actifs n'appartenant pas à
l'organisation. Dans de tels cas, il est nécessaire de restreindre l'utilisation des informations à
l'aide d'autres mesures de sécurité de l'information telles que la gestion des droits d'accès (5.18) ou
l'utilisation de la cryptographie (8.24).
5.12 Classification des informations

de l'information
#Préventive #Confidentialité #Identifier #Protection_des_infor- #Protection
#Intégrité mations #Défense
#Disponibilité
Il convient de classifier les informations conformément aux besoins de sécurité de l'information de
l'organisation, sur la base des exigences de confidentialité, d'intégrité, de disponibilité et des exigences
importantes des parties intéressées.
Objectif
Assurer l'identification et la compréhension des besoins de protection de l'information en fonction de
son importance pour l'organisation.
Recommandations
Il convient que l'organisation établisse une politique spécifique à la thématique de la classification des
informations et qu'elle la communique aux parties intéressées appropriées.
Il convient que l'organisation tienne compte des exigences de confidentialité, d'intégrité et de
disponibilité dans le schéma de classification.
Il convient que la classification des informations et les moyens de protection associés tiennent compte
des besoins métier pour le partage ou la restriction de l'information, pour la protection de l'intégrité
de l'information et pour assurer la disponibilité, ainsi que des exigences légales concernant la
confidentialité, l'intégrité ou la disponibilité des informations. Les actifs autres que les informations
peuvent également être classifiés conformément à la classification des informations qu'ils stockent,
traitent ou manipulent de quelque autre façon ou qu'ils protègent.
Il convient que les propriétaires des informations soient responsables de leur classification.
Il convient que le schéma de classification comporte des conventions pour la classification et des critères
pour la révision de cette classification dans le temps. Il convient que les résultats de la classification
soient mis à jour en fonction des changements de la valeur, de la sensibilité et du niveau de criticité des
informations tout au long de leur cycle de vie.
Il convient que le schéma soit aligné avec la politique spécifique à la thématique du contrôle d'accès
(voir 5.1) et qu'il permette de répondre aux besoins métier spécifiques de l'organisation.
La classification peut être déterminée en fonction du niveau d’impact qu'aurait la compromission des
informations pour l'organisation. Il convient d'attribuer à chaque niveau défini dans le schéma un nom
ayant un sens dans le contexte de l'application du schéma de classification.
Il convient que le schéma soit cohérent pour toute l'organisation et qu'il soit inclus dans ses procédures,
afin que tout le monde classifie les informations et autres actifs associés de la même façon. De cette
manière, toutes les personnes ont la même compréhension des exigences de protection et appliquent
une protection appropriée.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Le schéma de classification utilisé dans l'organisation peut différer des schémas utilisés par d'autres
organisations, même si les noms affectés aux niveaux sont similaires. De plus, les informations circulant
entre les organisations peuvent avoir une classification qui varie en fonction de leur contexte dans chaque
organisation, même si leurs schémas de classification sont identiques. Ainsi, il convient que les accords
avec d'autres organisations comportant un partage d'informations incluent des procédures permettant
d'identifier la classification de cette information et d'interpréter les niveaux de classification des autres
organisations. La correspondance entre différents schémas peut être déterminée en recherchant une
équivalence dans les méthodes de protection et de traitement associées.
La classification donne aux personnes qui gèrent les informations une indication concise sur la façon
de les manipuler et de les protéger. Créer des groupes d'informations ayant des besoins de protection
similaires et spécifier les procédures de sécurité de l'information qui s'appliquent à toutes les
informations dans chaque groupe permet de faciliter la classification. Cette approche réduit le besoin
de procéder à une appréciation du risque au cas par cas et de personnaliser les mesures de sécurité.
L'information peut cesser d'être sensible ou critique après une certaine période. Par exemple, une fois
qu'elle a été rendue publique, l'information ne dispose plus d'exigences de confidentialité, mais elle peut
encore nécessiter la protection de son intégrité et de sa disponibilité. Il convient de tenir compte de ces
aspects, car une surclassification peut entraîner la mise en œuvre de mesures de sécurité inutiles se
traduisant par des dépenses supplémentaires, ou à l'inverse, une sous-classification peut aboutir à des
mesures de sécurité insuffisantes pour protéger les informations de toute compromission.
À titre d'exemple, un schéma de classification de la confidentialité des informations peut être basé sur
quatre niveaux, à savoir:
a) la divulgation ne cause aucun préjudice;
b) la divulgation entraîne une atteinte mineure à la réputation ou un impact mineur sur le
fonctionnement;
c) la divulgation a un impact significatif à court terme sur les activités ou les objectifs métier;
d) la divulgation a un impact grave sur les objectifs métier à long terme ou compromet la survie de
l'organisation.
5.13 Marquage des informations

de l'information
#Préventive #Confidentialité #Protéger #Protection_des_infor- #Défense
#Intégrité mations #Protection
#Disponibilité
Il convient d'élaborer et de mettre en œuvre un ensemble approprié de procédures pour le marquage
des informations, conformément au schéma de classification des informations adopté par l'organisation.
Objectif
Faciliter la communication de la classification de l'information et appuyer l'automatisation de la gestion
et du traitement de l'information.
Recommandations
Il convient que les procédures de marquage des informations incluent les informations et autres actifs
associés de tous les formats. Il convient que le marquage reflète le schéma de classification défini
en 5.12. Il convient que les marques soient facilement reconnaissables. Il convient que les procédures

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
donnent des recommandations concernant l'endroit et la façon dont les marques sont rattachées,
compte tenu de la manière d’accéder à l'information ou de la façon de manipuler les actifs, en fonction
des types de support de stockage. Les procédures peuvent définir:
a) les cas pour lesquels le marquage n'est pas indispensable (par exemple, le marquage des
informations non confidentielles pour réduire la charge de travail);
b) la façon de marquer les informations envoyées par ou stockées sur des moyens physiques ou
électroniques, ou tout autre format;
c) la façon de traiter les cas dans lesquels le marquage n’est pas possible (par exemple, en raison de
limitations techniques).
Ci-dessous des exemples de techniques de marquage:
a) marques matérielles;
b) en-têtes et pieds de page;
c) métadonnées;
d) filigrane;
e) tampons en caoutchouc.
Il convient que l'information numérique utilise des métadonnées afin d’identifier, de gérer et
contrôler les informations, en particulier en termes de confidentialité. Il convient également que les
métadonnées permettent d'effectuer la recherche efficace et correcte des informations. Il convient que
les métadonnées permettent aux systèmes d'interagir et de prendre des décisions selon les marques de
classification associées.
Il convient que les procédures décrivent comment rattacher les métadonnées aux informations, quelles
marques utiliser et comment il convient de traiter les données conformément au modèle d'information
de l'organisation et à son architecture TIC.
Il convient que des métadonnées supplémentaires appropriées soient ajoutées par les systèmes
lorsqu’ils traitent des informations, selon leurs propriétés de sécurité de l'information.
Il convient que le personnel et les autres parties intéressées soient informés des procédures de
marquage. Il convient que tout le personnel reçoive la formation adéquate pour s’assurer que les
informations sont correctement marquées et qu'elles sont traitées en conséquence.
Il convient que les données de sortie des systèmes contenant des informations classifiées comme
sensibles ou critiques portent les marques de classification appropriées.
Le marquage des informations classifiées est une exigence clé pour le partage d'informations.
D'autres métadonnées utiles qui peuvent être rattachées aux informations sont l’indication du processus
organisationnel qui a créé l'information et la date/heure correspondante.
Le marquage des informations et autres actifs associés peut parfois avoir des effets négatifs. Les actifs
classifiés peuvent être plus facilement identifiés par des personnes malveillantes pour un mauvais
usage éventuel.
Certains systèmes ne marquent pas les fichiers ou enregistrements de base de données individuels
avec leur classification, mais protègent toutes les informations selon le niveau de classification le plus
élevé de toutes les informations qu'ils contiennent ou peuvent contenir. Il est courant dans ces types de
systèmes de déterminer puis de marquer les informations lorsqu'elles sont exportées.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
5.14 Transfert des informations
Type de mesure de Propriétés de Concepts de Capacités Domaines

sécurité sécurité cybersécurité opérationnelles de sécurité
de l'information
#Intégrité #Protection_des_informations
#Disponibilité
Il convient de mettre en place des règles, procédures ou accords sur le transfert des informations pour
tous les types de moyens de transfert au sein de l'organisation, et entre l'organisation et des tierces
parties.
Objectif
Maintenir la sécurité de l'information transférée au sein de l'organisation et vers toute partie intéressée
externe.
Recommandations
Généralités
Il convient que l'organisation établisse une politique spécifique à la thématique du transfert des
informations et la communique à toutes les parties intéressées. Il convient que les règles, procédures
et accords visant à protéger les informations en transit tiennent compte de la classification des
informations impliquées. Lorsque les informations sont transférées entre l'organisation et des tierces
parties, il convient de définir et de maintenir des accords de transfert (y compris l’authentification du
destinataire) afin de protéger les informations sous toutes les formes pendant le transfert (voir 5.10).
Le transfert des informations peut se faire par le biais du transfert électronique, du transfert sur
support de stockage physique et du transfert verbal.
Pour tous les types de transferts d'informations, il convient que les règles, procédures et accords incluent:
a) des mesures de sécurité conçues pour protéger l'information transférée contre l'interception,
l'accès non autorisé, la copie, la modification, les erreurs d'acheminement, la destruction et le
déni de service, y compris des niveaux de contrôle d'accès correspondant à la classification des
informations impliquées et toute mesure de sécurité particulière nécessaire pour protéger les
informations sensibles, telle que l'utilisation de techniques de cryptographie (voir 8.24);
b) des mesures de sécurité pour assurer la traçabilité et la non-répudiation, notamment le maintien
d'une chaîne de traçabilité pour l'information en transit;
c) l'identification des contacts appropriés en lien avec le transfert, y compris les propriétaires des
informations, les propriétaires des risques, les responsables de sécurité et les personnes qui
surveillent l'information, si applicable;
d) les obligations et les responsabilités en cas d'incident de sécurité de l'information, comme la perte
de supports de stockage physiques ou de données;
e) l'utilisation d'un système de marquage convenu pour les informations sensibles ou critiques, pour
assurer que la signification des marques est comprise immédiatement et que les informations sont
protégées de manière appropriée (voir 5.13);
f) la fiabilité et la disponibilité du service de transfert;
g) la politique spécifique à la thématique de l'utilisation correcte des fonctions de transfert des
informations ou les lignes directrices sur ce sujet (voir 5.10);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
h) les lignes directrices sur la conservation et la mise au rebut de tous les enregistrements
professionnels, dont les messages;
NOTE Des lois et des réglementations locales peuvent exister sur la conservation et la mise au rebut
d’enregistrements professionnels.
i) la prise en compte de toute autre exigence légale, statutaire, réglementaire et contractuelle

importante (voir 5.31, 5.32, 5.33, 5.34) en lien avec le transfert des informations (par exemple, les
exigences sur les signatures électroniques).
Transfert électronique
Il convient que les règles, procédures et accords prennent également en compte les éléments suivants
dans le cadre de l'utilisation de moyens de communication électronique pour le transfert des
informations:
a) détection et protection contre les programmes malveillants qui peuvent être transmis via
l'utilisation des communications électroniques (voir 8.7);
b) protection des informations électroniques sensibles communiquées sous forme de pièces jointes;
c) prévention contre l'envoi de documents et de messages dans des communications vers une adresse
ou un numéro erroné;
d) obtention d'une approbation avant d'utiliser des services publics externes tels que les messageries
instantanées, les réseaux sociaux, le partage de fichiers ou le stockage en nuage;
e) niveaux d'authentification renforcés lors du transfert des informations via des réseaux accessibles
au public;
f) restrictions associées aux moyens de communication électronique (par exemple, la prévention
contre le renvoi automatique de courriers électroniques vers des adresses électroniques externes);
g) recommandation au personnel et aux autres parties intéressées de ne pas utiliser de services de
messagerie courte (SMS) ni de messages instantanés contenant des informations critiques dans
la mesure où celles-ci peuvent être lues dans les lieux publics (et donc par des personnes non
autorisées) ou stockées dans des dispositifs sans protection adéquate;
h) information du personnel et des autres parties intéressées sur les problèmes liés à l'utilisation de
télécopieurs ou de services de télécopie, à savoir:
1) l'accès non autorisé aux mémoires de messages intégrées pour récupérer des messages;
2) la programmation délibérée ou accidentelle de machines pour qu'elles envoient des messages à
des numéros précis.
Transfert de supports de stockage physiques
Lors du transfert de supports de stockage physiques (dont le papier), il convient que les règles,
procédures et accords incluent aussi:
a) les responsabilités concernant le contrôle et la notification de la transmission, l'envoi et la réception;
b) l’assurance de l'adressage et du transport corrects du message;
c) des emballages qui protègent les contenus de tout dommage physique susceptible de survenir lors
du transport et conformément aux spécifications du fabricant, par exemple protection contre tout
facteur environnemental qui peut réduire l’efficacité de la restauration du support de stockage, tel
que l'exposition à la chaleur, à l'humidité ou aux champs électromagnétiques; utilisation des normes
techniques minimales pour l'emballage et la transmission (par exemple, l'utilisation d'enveloppes
opaques);
d) une liste des transporteurs fiables autorisés, approuvée par la direction;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
e) les normes d'identification des transporteurs;

f) selon le niveau de classification des informations contenues sur le support de stockage à transporter,
le recours à des moyens inviolables ou anti-effraction (par exemple, des sacs, des contenants);
g) les procédures de vérification de l'identité des transporteurs;
h) une liste approuvée des tierces parties fournissant des services de transport ou de coursiers selon
la classification des informations;
i) la conservation des journaux pour l’identification du contenu des supports de stockage, la
protection appliquée, ainsi que l’enregistrement de la liste des destinataires autorisés, les dates et
heures de remise aux responsables du transport et de réception par le destinataire.
Transfert verbal
Pour protéger le transfert verbal de l'information, il convient de rappeler au personnel et aux autres
parties intéressées qu'il est recommandé de:
a) ne pas tenir de conversations confidentielles dans des lieux publics ou via des canaux de
communication non sécurisés dans la mesure où celles-ci peuvent être écoutées par des personnes
non autorisées;
b) ne pas laisser de messages comportant des informations confidentielles sur des répondeurs ou
sous forme de messages vocaux dans la mesure où ces derniers peuvent être réécoutés par des
personnes non autorisées, stockés sur des systèmes à usage collectif ou incorrectement mémorisés
à la suite d'une erreur de numérotation;
c) être sélectionné au niveau approprié pour écouter la conversation;
d) s’assurer que les mesures de sécurité appropriées sont mises en œuvre dans la salle (par exemple,
insonorisation, porte fermée);
e) commencer toute conversation sensible par un avertissement, de sorte que les personnes présentes
connaissent le niveau de classification et les exigences de traitement des informations qu'ils
s’apprêtent à entendre.
5.15 Contrôle d'accès

de l'information
#Préventive #Confidentialité #Protéger #Gestion_des_identi- #Protection
#Intégrité tés_et_des_accès
#Disponibilité
Il convient de définir et de mettre en œuvre des règles visant à contrôler l'accès physique et logique aux
informations et autres actifs associés en fonction des exigences métier et de sécurité de l'information.
Objectif
Assurer l'accès autorisé et empêcher l'accès non autorisé aux informations et autres actifs associés.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient que les propriétaires des informations et autres actifs associés déterminent les exigences
métier et de sécurité de l'information relatives au contrôle d'accès. Il convient de définir une politique
spécifique à la thématique du contrôle d'accès qui tienne compte de ces exigences et qu'elle soit
communiquée à toutes les parties intéressées appropriées.
Il convient que ces exigences et la politique spécifique à cette thématique prennent en considération les
points suivants:
a) détermination des entités qui nécessitent un type d'accès défini aux informations et autres actifs
associés;
b) sécurité des applications (voir 8.26);
c) accès physique qui doit être pris en charge par des moyens d'accès physique adéquats (voir 7.2, 7.3,
7.4);
d) diffusion de l'information et autorisations (par exemple, principe du besoin d'en connaître), niveaux
de sécurité de l'information et classification de l'information (voir 5.10, 5.12, 5.13);
e) restrictions aux accès privilégiés (voir 8.2);
f) séparation des tâches (voir 5.3);
g) législation, réglementations et obligations contractuelles importantes en matière de limitation de
l'accès aux données ou aux services (voir 5.31, 5.32, 5.33, 5.34, 8.3);
h) séparation des fonctions de contrôle d'accès (par exemple, la demande d'accès, l'autorisation d'accès
et l'administration des accès);
i) autorisation formelle des demandes d'accès (voir 5.16 et 5.18);
j) gestion des droits d'accès (voir 5.18);
k) journalisation (voir 8.15).
Il convient de mettre en œuvre des règles de contrôle d'accès en définissant et en affectant les droits
d'accès et les restrictions appropriées aux entités concernées (voir 5.16). Une entité peut correspondre
à un utilisateur humain aussi bien qu'à un élément technique ou logique (par exemple, une machine, un
terminal ou un service). Pour simplifier la gestion du contrôle d'accès, des fonctions spécifiques peuvent
être attribuées à des groupes d'entités.
Il convient de prendre en compte les points suivants lors de la définition et de la mise en œuvre des
règles de contrôle d'accès:
a) cohérence entre les droits d'accès et la classification des informations;
b) cohérence entre les droits d'accès et les besoins et exigences de sécurité du périmètre physique;
c) prise en compte de tous les types de connexions disponibles dans les environnements distribués,
ainsi les entités se voient accorder l'accès uniquement aux informations et autres actifs associés,
dont les réseaux et services réseau, qu'elles ont l'autorisation d'utiliser;
d) considération de la manière dont les éléments ou facteurs pertinents pour le contrôle d'accès
dynamique peuvent être pris en compte.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il existe souvent des principes fondamentaux utilisés dans le contexte du contrôle d'accès. Deux
exemples de principes les plus couramment utilisés sont les suivants:
a) le besoin d'en connaître: une entité se voit attribuer un accès seulement aux informations dont
elle a besoin pour réaliser ses tâches (différentes tâches ou fonctions impliquent des besoins d'en
connaître différents et donc des profils d'accès différents);
b) le besoin d'utiliser: une entité se voit attribuer un accès aux infrastructures de technologie de
l’information seulement lorsqu’il y a un besoin existant.
Il convient de faire preuve de prudence lors de la spécification des règles de contrôle d'accès à prendre
en considération:
a) définition des règles sur la base du principe du moindre privilège, «Tout est généralement interdit
sauf si explicitement autorisé», plutôt que sur la règle plus faible, «Tout est généralement autorisé
sauf si explicitement interdit»;
b) modifications du marquage des informations qui sont opérées automatiquement (voir 5.13) par les
moyens de traitement de l'information, et celles qui sont opérées par l'utilisateur;
c) modifications des autorisations de l'utilisateur qui sont opérées automatiquement par le système
d'information, et celles qui sont opérées par un administrateur;
d) quand définir et réviser régulièrement l'approbation.
Il convient que les règles de contrôle d'accès soient appuyées par des procédures documentées (voir 5.16,
5.17, 5.18, 8.2, 8.3, 8.4, 8.5, 8.18) et par des responsabilités définies (voir 5.2, 5.17).
Il existe plusieurs façons de mettre en œuvre le contrôle d'accès, telles que MAC (Mandatory Access
Control), DAC (Discretionary Access), RBAC (Role-Based Access Control) et ABAC (Attribute-Based
Access Control).
Les règles de contrôle d'accès peuvent également contenir des éléments dynamiques (par exemple, une
fonction qui évalue les accès antérieurs ou des valeurs spécifiques de l'environnement). Les règles de
contrôle d'accès peuvent être mises en œuvre avec différentes granularités, allant de la couverture de
l’ensemble des réseaux ou systèmes jusqu'à des champs de données spécifiques, et peuvent également
prendre en considération des propriétés telles que la localisation de l'utilisateur ou le type de connexion
réseau qui est utilisé pour l'accès. Ces principes et le niveau de granularité de définition du contrôle
d'accès peuvent avoir un impact significatif sur les coûts. Des règles plus fortes et une granularité
plus élevée impliquent généralement des coûts plus élevés. Il convient que les exigences métiers et des
considérations relatives aux risques soient utilisées pour définir quelles règles de contrôle d'accès à
appliquer et quel niveau de granularité est nécessaire.
5.16 Gestion des identités

de l'information
#Disponibilité
Il convient de gérer le cycle de vie complet des identités.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
Permettre l'identification unique des personnes et des systèmes qui accèdent aux informations et
autres actifs associés de l'organisation, et pour permettre l’attribution appropriée des droits d'accès.
Recommandations
Il convient que les processus utilisés dans le contexte de la gestion des identités assurent que:
a) pour les identités attribuées aux personnes, une identité donnée est seulement liée à une personne,
ce qui permet de tenir la personne responsable des actes effectués sous cette identité spécifique;
b) les identités attribuées à plusieurs personnes (par exemple, les identités partagées) sont
uniquement autorisées lorsqu'elles sont nécessaires pour des raisons métier ou opérationnelles et
elles sont soumises à une approbation et une documentation dédiées;
c) les identités attribuées à des entités non humaines sont soumises à une approbation séparée
appropriée et une surveillance indépendante continue;
d) les identités sont rapidement désactivées ou supprimées si elles ne sont plus nécessaires (par
exemple, si les entités associées sont supprimées ou ne sont plus utilisées, ou si la personne liée à
une identité a quitté l'organisation ou a changé de fonction);
e) dans un domaine spécifique, une identité donnée est associée à une seule et unique entité [c'est-à-
dire que l’association de plusieurs identités à la même entité dans un même contexte (identités en
double) est évitée];
f) les enregistrements de tous les événements significatifs concernant l'utilisation et la gestion des
identités des utilisateurs et des informations d'authentification sont conservés.
Il convient que l’organisation mette en place un processus support pour gérer les changements
apportés aux informations relatives aux identités des utilisateurs. Ces processus peuvent inclure la re-
vérification des documents de confiance liés à une personne.
Lors de l'utilisation d'identités fournies ou créées par des tierces personnes (par exemple, identifiants
de réseaux sociaux), il convient que l'organisation s'assure que les identités des tierces parties
fournissent le niveau de confiance requis et que tout risque associé est identifié et suffisamment traité.
Cela peut inclure des mesures de sécurité relatives aux tierces parties (voir 5.19) ainsi que des mesures
de sécurité relatives aux informations d'authentification associées (voir 5.17).
Accorder ou supprimer l'accès aux informations et autres actifs associés constitue en général une
procédure à plusieurs étapes:
a) confirmer les exigences métier pour une identité à mettre en place;
b) vérifier l'identité d'une entité avant de lui attribuer une identité logique;
c) établir une identité;
d) configurer et activer l'identité. Cela inclut également la configuration et le paramétrage initial des
services d'authentification associés;
e) accorder ou révoquer des droits d'accès spécifiques à l'identité, en s'appuyant sur les décisions
d'autorisation ou d'habilitation appropriées (voir 5.18).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
5.17 Informations d'authentification

#Disponibilité
Il convient que l'attribution et la gestion des informations d'authentification soient contrôlées par un
processus de gestion, incluant des recommandations au personnel sur l’utilisation appropriée des
informations d'authentification.
Objectif
Assurer l'authentification correcte de l'entité et éviter les défaillances des processus d'authentification.
Recommandations
Attribution des informations d'authentification
Il convient que le processus de gestion et d'attribution assure que:
a) les mots de passe personnels ou les numéros d’identification personnels (codes PIN) générés
automatiquement pendant les processus d'inscription en tant qu'informations d'authentification
secrètes temporaires sont impossibles à deviner et uniques pour chaque personne, et que les
utilisateurs doivent les modifier après la première utilisation;
b) des procédures sont mises en place pour vérifier l'identité d'un utilisateur avant d'attribuer des
informations d'authentification nouvelles, de remplacement ou temporaires;
c) les informations d'authentification, y compris temporaires, sont transmises aux utilisateurs de
manière sécurisée (par exemple, via un canal authentifié et protégé), et que l'utilisation de courriers
électroniques non protégés (en texte clair) dans ce but est évitée;
d) les utilisateurs accusent réception des informations d'authentification;
e) les informations d'authentification par défaut telles que prédéfinies ou fournies par les fournisseurs
sont changées immédiatement après installation des systèmes ou logiciels;
f) les enregistrements des événements significatifs concernant l'attribution et la gestion des
informations d'authentification sont conservés et leur confidentialité assurée, et que la méthode
de conservation des enregistrements est approuvée (par exemple, en utilisant un outil approuvé de
coffre-fort pour mots de passe).
Responsabilités des utilisateurs
Il convient que toute personne ayant accès ou utilisant des informations d'authentification soit avisée
pour assurer que:
a) les informations d'authentification secrètes, telles que les mots de passe, sont gardées
confidentielles. Les informations d'authentification secrètes personnelles ne doivent être partagées
avec personne. Les informations d'authentification secrètes utilisées dans le contexte des identités
associées à plusieurs utilisateurs ou associées à des entités non humaines sont uniquement
partagées avec les personnes autorisées;
b) les informations d'authentification impactées ou compromises sont immédiatement changées suite
à la notification, ou à toute autre indication, d'une compromission;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) lorsque les mots de passe sont utilisés comme informations d'authentification, des mots de passe
forts sont choisis selon les recommandations des bonnes pratiques, par exemple:
1) les mots de passe ne sont pas basés sur des informations que quelqu'un peut facilement deviner
ou obtenir en utilisant des informations relatives à la personne (par exemple, noms, numéros
de téléphone et dates de naissance);
2) les mots de passe ne sont pas basés sur des mots du dictionnaire ni sur des combinaisons de
ces derniers;
3) l’utilisation de phrases secrètes faciles à retenir en essayant d'y inclure des caractères
alphanumériques et spéciaux;
4) les mots de passe ont une longueur minimale;
d) les mêmes mots de passe ne sont pas utilisés dans des services et systèmes distincts;
e) l'obligation de suivre ces règles est également incluse dans les termes et conditions d'embauche
(voir 6.2).
Système de gestion des mots de passe
Lorsque les mots de passe sont utilisés comme informations d'authentification, il convient que le
système de gestion des mots de passe:
a) autorise les utilisateurs à choisir et à changer leurs mots de passe, et inclut une procédure de
confirmation pour traiter les erreurs de saisie;
b) impose des mots de passe forts conformément aux recommandations des bonnes pratiques [voir c)
sous «Responsabilité des utilisateurs»];
c) oblige les utilisateurs à changer leur mot de passe à la première connexion;
d) impose des changements de mots de passe autant que nécessaire, par exemple après un incident de
sécurité, ou lors de la fin ou du changement d’un emploi, lorsqu'un utilisateur connaît des mots de
passe pour des identités qui demeurent actives (par exemple, les identités partagées);
e) empêche la réutilisation d’anciens mots de passe;
f) empêche l'utilisation des mots de passe couramment utilisés et d’identifiants compromis, les
combinaisons de mots de passe issus de systèmes piratés;
g) n'affiche pas les mots de passe à l'écran lors de leur saisie;
h) stocke et transmette les mots de passe sous une forme protégée.
Il convient que le chiffrement et le hachage des mots de passe soient effectués conformément aux
techniques cryptographiques approuvées pour les mots de passe (voir 8.24).
Les mots de passe ou les phrases secrètes sont un type d'informations d'authentification communément
utilisé et sont un moyen courant de vérifier l'identité d'un utilisateur. D'autres types d'informations
d'authentification sont les clés cryptographiques, les données stockées sur des jetons physiques (par
exemple, des cartes à puce) qui produisent des codes d'authentification et les données biométriques
telles que les scans d'iris ou les empreintes digitales. Des informations supplémentaires sont disponibles
dans la série ISO/IEC 24760.
Exiger le changement fréquent des mots de passe peut s'avérer problématique, car les utilisateurs
peuvent être ennuyés par les changements fréquents, peuvent oublier les nouveaux mots de passe, les
noter à des endroits peu sûrs ou choisir des mots de passe non sécurisés. La mise à disposition du Single
Sign On (SSO, l'authentification unique) ou d'autres outils de gestion de l'authentification (par exemple,
coffre-fort pour mots de passe) limite la quantité d'informations d'authentification que les utilisateurs

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
doivent protéger et peut ainsi améliorer l'efficacité de cette mesure de sécurité. Cependant, ces outils
peuvent également augmenter l'impact de la divulgation des informations d'authentification.
Certaines applications nécessitent que les mots de passe des utilisateurs soient attribués par une
autorité indépendante. Dans ces cas, les points a), c) et d) de «Système de gestion des mots de passe» ne
s'appliquent pas.
5.18 Droits d'accès

#Disponibilité
Il convient que les droits d'accès aux informations et autres actifs associés soient pourvus, révisés,
modifiés et supprimés conformément à la politique spécifique à la thématique du contrôle d'accès et aux
règles de contrôle d'accès de l'organisation.
Objectif
Assurer que l'accès aux informations et autres actifs associés est défini et autorisé conformément aux
exigences métier.
Recommandations
Provision et révocation des droits d'accès
Il convient que le processus de provision ou de révocation des droits d'accès physiques et logiques
accordés à l’identité authentifiée d’une entité inclue:
a) l'obtention de l'autorisation de la part du propriétaire des informations et autres actifs associés
pour l’utilisation de ces informations et autres actifs associés (voir 5.9). Une approbation distincte
des droits d'accès par la direction peut également être appropriée;
b) la prise en compte des exigences métier ainsi que de la politique spécifique à la thématique du
contrôle d'accès et des règles sur le contrôle d'accès de l'organisation;
c) la prise en compte de la séparation des tâches, notamment la séparation des fonctions d'approbation
et de mise en œuvre des droits d'accès et la séparation des fonctions incompatibles;
d) l'assurance que les droits d'accès sont supprimés lorsqu'une personne n'a pas besoin d'accéder
aux informations et autres actifs associés, en particulier l'assurance que les droits d'accès des
utilisateurs qui ont quitté l'organisation sont supprimés rapidement;
e) la prise en compte de l'octroi de droits d'accès temporaires pour une période limitée et de leur
révocation à la date d'expiration, en particulier pour le personnel temporaire ou pour les accès
temporaires nécessaires au personnel;
f) la vérification que le niveau d'accès accordé est aligné sur les politiques spécifiques à la thématique
du contrôle d'accès (voir 5.15) et qu'il est cohérent avec d’autres exigences de sécurité de
l'information telles que la séparation des tâches (voir 5.3);
g) l'assurance que les droits d'accès ne sont activés (par exemple, par les fournisseurs de services)
qu'une fois les procédures d'autorisation sont terminées avec succès;
h) la tenue à jour d'un enregistrement centralisé de tous les droits d'accès accordés à un identifiant
utilisateur (ID, logique ou physique) pour accéder aux informations et autres actifs associés;
i) la modification des droits d'accès des utilisateurs qui ont changé de rôle ou de poste;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
j) la suppression ou l'ajustement des droits d'accès physiques et logiques, qui peuvent être réalisés
par la suppression, la révocation ou le remplacement des clés, des informations d'authentification,
des cartes d'identification ou des souscriptions;
k) la tenue à jour d’un enregistrement des changements apportés aux droits d'accès physiques et
logiques des utilisateurs.
Révision des droits d'accès
Il convient que les révisions régulières des droits d'accès physiques et logiques prennent en
considération ce qui suit:
a) les droits d'accès des utilisateurs suite à tout changement au sein de la même organisation (par
exemple, changement de poste, promotion, rétrogradation) ou à la fin de l’emploi (voir 6.1 à 6.5);
b) autorisations pour les droits d'accès à privilèges.
Points à prendre en considération avant le changement ou la fin d’un emploi
Il convient que les droits d'accès d’un utilisateur aux informations et autres actifs associés soient révisés
et ajustés ou supprimés avant tout changement ou fin de l’emploi sur la base de l'évaluation des facteurs
de risque tels que:
a) si la rupture ou le changement d’emploi est intervenu à l'initiative de l'utilisateur ou de la direction,
et le motif de rupture;
b) les responsabilités actuelles de l'utilisateur;
c) la valeur des actifs actuellement accessibles.
Il convient d’envisager d’établir la mise en place des rôles d'accès utilisateur basés sur les exigences
métier, qui regroupent un ensemble de droits d'accès dans des profils d'accès utilisateur types. Les
demandes d'accès et les révisions des droits d'accès sont plus faciles à gérer au niveau de ces rôles qu'au
niveau de droits d'accès individuels.
Il convient d’envisager d'inclure des clauses dans les contrats du personnel et les contrats de services
qui stipulent les sanctions encourues en cas de tentative d'accès non autorisé par le personnel (voir 5.20,
6.2, 6.4, 6.6).
Lorsque la direction est à l'origine de la rupture du contrat de travail, le personnel ou les utilisateurs
des parties externes mécontents peuvent délibérément altérer l'information ou saboter les moyens
de traitement de l'information. Dans les cas où des personnes démissionnent ou sont licenciées, elles
peuvent être tentées de collecter des informations en vue d'une utilisation ultérieure.
Le clonage constitue un moyen efficace pour les organisations d'attribuer l'accès aux utilisateurs.
Néanmoins, il convient de l'effectuer avec attention en se basant sur les différentes fonctions identifiées
par l'organisation plutôt que de se contenter de cloner une identité avec tous les droits d'accès associés.
Le clonage comporte le risque inhérent d'engendrer des droits d'accès excessifs aux informations et
autres actifs associés.
5.19 Sécurité de l'information dans les relations avec les fournisseurs

#Préventive #Confidentialité #Identifier #Sécurité_des_rela- #Gouvernance_
#Intégrité tions_fournisseurs et_Écosystème

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient de définir et de mettre en œuvre des processus et procédures pour gérer les risques de
sécurité de l'information qui sont associés à l'utilisation des produits ou services du fournisseur.
Objectif
Maintenir le niveau de sécurité de l'information convenu dans les relations avec les fournisseurs.
Recommandations
Il convient que l'organisation établisse et communique à toutes les parties intéressées une politique
spécifique à la thématique des relations avec les fournisseurs.
Il convient que l'organisation identifie et mette en œuvre des processus et procédures pour traiter
les risques de sécurité associés à l'utilisation des produits et services des fournisseurs. Il convient
également d'appliquer cette recommandation à l'utilisation par l'organisation des ressources des
fournisseurs de services en nuage. Il convient que ces processus et procédures incluent ceux à
implémenter par l'organisation, ainsi que ceux que l'organisation exige du fournisseur qu’il mette en
œuvre au début ou à la fin de l’utilisation des produits ou des services du fournisseur, dont:
a) l'identification et la documentation des types de fournisseurs (par exemple, services TIC, services
logistiques, services supports, services financiers, composants de l'infrastructure TIC) qui peuvent
affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation;
b) l'établissement de la manière d'évaluer et de sélectionner les fournisseurs selon la sensibilité
des informations, des produits et des services (par exemple, à l'aide d'une analyse de marché, de
références clients, de l’examen de documents, d'évaluations sur site, de certifications);
c) l'évaluation et la sélection des produits ou des services des fournisseurs qui implémentent les
mesures de sécurité de l'information adéquates et leur examen; en particulier, la précision et la
complétude des mesures de sécurité mises en œuvre par le fournisseur pour assurer l'intégrité des
informations du fournisseur et du traitement des informations, et par conséquent la sécurité de
l'information de l'organisation;
d) la définition des informations, des services TIC et de l'infrastructure physique de l'organisation
auxquels les fournisseurs peuvent accéder et qu'ils peuvent superviser, contrôler ou utiliser;
e) la définition des types de composants et de services de l'infrastructure TIC des fournisseurs, qui
peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation;
f) l'appréciation et la gestion des risques de sécurité de l'information associés:
1) à l’utilisation par les fournisseurs des informations et autres actifs associés de l'organisation, y
compris les risques provenant du personnel du fournisseur potentiellement malveillant;
2) au dysfonctionnement ou aux vulnérabilités des produits (y compris les composants et sous-
composants logiciels utilisés dans ces produits) ou des services des fournisseurs;
g) la surveillance de la conformité aux exigences de sécurité de l'information établies pour chaque
type de fournisseur et chaque type d'accès, y compris l’examen et la validation des produits par une
tierce partie;
h) l'atténuation de la non-conformité d'un fournisseur, qu'elle ait été détectée par le biais de la
surveillance ou d'autres moyens;
i) le traitement des incidents et des contingences associés aux produits et services des fournisseurs, y
compris les responsabilités de l'organisation et celles des fournisseurs;
j) les mesures de résilience et, si nécessaire, de rétablissement et de contingence pour assurer la
disponibilité des informations du fournisseur et du traitement des informations opéré par le
fournisseur et par conséquent la disponibilité des informations de l'organisation;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
k) la sensibilisation et la formation du personnel de l'organisation en interaction avec le personnel du

fournisseur, sur les règles d'engagement appropriées, les politiques spécifiques à une thématique,
les processus et procédures, et le comportement en fonction du type de fournisseur et du niveau
d'accès du fournisseur aux systèmes et aux informations de l'organisation;
l) la gestion du transfert nécessaire d’informations et autres actifs associés et de tout ce qui nécessite
d’être modifié, et l'assurance que la sécurité de l'information est préservée pendant la durée du
transfert;
m) les exigences pour assurer une rupture sécurisée de la relation avec le fournisseur, notamment:
1) la suppression des droits d'accès attribués;
2) la manipulation des informations;
3) la détermination du détenteur de la propriété intellectuelle créée au cours du contrat;
4) la portabilité des informations en cas de changement de fournisseur ou d'internalisation;
6) la gestion des enregistrements;
7) la restitution des actifs;
8) l'élimination sécurisée des informations et autres actifs associés;
9) les exigences de confidentialité en cours;
n) le niveau de sécurité du personnel et de sécurité physique prévu pour le personnel et les
installations du fournisseur.
Il convient de prendre en compte les procédures pour la continuité du traitement des informations dans
le cas où le fournisseur ne serait plus en mesure de fournir ses produits ou ses services (par exemple, en
raison d'un incident, de la cessation d'activité du fournisseur ou de l'arrêt de la production de certains
composants suite à des avancées technologiques) afin d'éviter tout retard dans la mise en place des
produits ou des services de remplacement (par exemple, identifier un autre fournisseur à l’avance ou
toujours recourir à des fournisseurs de substitution).
Dans les cas où une organisation n'aurait pas la possibilité d'imposer des exigences à un fournisseur, il
convient que l'organisation:
a) tienne compte des recommandations données dans cette mesure de sécurité lors de la prise de
décisions relatives au choix d'un fournisseur et de son produit ou service;
b) mette en œuvre des moyens compensatoires, autant que nécessaire, en se basant sur une
appréciation du risque.
Les information peuvent être exposées à des risques par les fournisseurs en cas de gestion de sécurité
de l’information inadéquate. Il convient de déterminer et d'appliquer des mesures de sécurité pour gérer
l'accès des fournisseurs aux informations et autres actifs associés. Par exemple, s'il existe un besoin
particulier de confidentialité des informations, des accords de non-divulgation ou des techniques
cryptographiques peuvent être utilisés. Un autre exemple concerne les risques liés à la protection des
données à caractère personnel lorsque l'accord conclu avec le fournisseur inclut le transfert ou l’accès
à des informations au-delà des frontières. Il est nécessaire que l'organisation soit consciente que la
responsabilité légale ou contractuelle de protection des informations lui incombe.
Les risques peuvent également être causés par des mesures de sécurité inappropriées des services
et composants de l'infrastructure TIC des fournisseurs. Les services ou composants défaillants ou
vulnérables peuvent causer des violations de sécurité de l'information dans l'organisation ou dans une
autre entité (par exemple, ils peuvent causer une infection par programmes malveillants, des attaques
ou d'autres dommages sur des entités autres que l'organisation).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Voir l'ISO/IEC 27036-2 pour plus d’informations.
5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs

Il convient d’établir et de convenir des exigences de sécurité de l'information appropriées avec chaque
fournisseur, selon le type de relation avec le fournisseur.
Objectif
Recommandations
Il convient d’établir et de documenter les accords avec les fournisseurs pour s'assurer de la bonne
compréhension de l'organisation et du fournisseur de leurs obligations mutuelles à satisfaire aux
exigences de sécurité de l'information applicables.
Pour respecter les exigences de sécurité de l'information identifiées, il peut être envisagé d'inclure les
conditions suivantes dans les accords:
a) description des informations à fournir ou accessibles et des méthodes pour fournir ou accéder à ces
informations;
b) classification des informations conformément au schéma de classification de l'organisation
(voir 5.10, 5.12, 5.13);
c) mise en correspondance du schéma de classification propre à l'organisation et du schéma de
classification du fournisseur;
d) exigences légales, statutaires, réglementaires et contractuelles, y compris la protection des données,
le traitement des données à caractère personnel (DCP), les droits de propriété intellectuelle et les
droits d'auteur et la description de la manière d’assurer que ces exigences sont respectées;
e) obligation pour chaque partie contractante de mettre en œuvre un ensemble convenu de mesures
de sécurité, incluant le contrôle d'accès, l’analyse des performances, la surveillance, la génération de
rapports et l'audit, et les obligations pour le fournisseur de se conformer aux exigences de sécurité
de l'information de l'organisation;
f) règles d'utilisation acceptable des informations et autres actifs associés, y compris, si nécessaire, ce
qui relève de l'utilisation inacceptable;
g) procédures ou conditions relatives à l'octroi ou à la suppression des autorisations pour l'utilisation
des informations et autres actifs associés de l'organisation par le personnel du fournisseur (par
exemple, par le biais d'une liste explicite du personnel du fournisseur autorisé à utiliser les
informations et autres actifs associés de l'organisation);
h) exigences de sécurité de l'information relatives à l'infrastructure TIC du fournisseur; en particulier,
les exigences de sécurité de l'information minimales pour chaque type d'information et type d'accès
à utiliser comme base des accords avec chaque fournisseur, en se basant sur les besoins métier de
l'organisation et sur ses critères de risque;
i) indemnités et actions correctives en cas d’échec du contractant à respecter les exigences;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
j) procédures et exigences de gestion des incidents (en particulier la notification et la collaboration

lors de l'action corrective);
k) exigences de formation et de sensibilisation à des procédures et exigences de sécurité de
l'information spécifiques (par exemple, réponse aux incidents et procédures d'autorisation);
l) dispositions nécessaires pour la sous-traitance, y compris les mesures de sécurité qu'il est
nécessaire de mettre en œuvre, telles qu’un accord relatif au recours à des sous-traitants (par
exemple, qui exige que ceux-ci soient soumis aux mêmes obligations que le fournisseur, ce qui
nécessite d’avoir une liste des sous-traitants et une notification préalablement à tout changement);
m) contacts nécessaires, y compris un contact pour les problèmes liés à la sécurité de l'information;
n) toute exigence de sélection, lorsque la loi le permet, du personnel du fournisseur, y compris les
responsabilités liées à la réalisation de la sélection et les procédures de notification si la sélection
n'a pas abouti ou si les résultats sont source d'inquiétude ou de doute;
o) mécanismes de preuve et d'assurance des attestations de tierce partie concernant les exigences
de sécurité de l'information importantes relatives aux processus du fournisseur et un rapport
indépendant sur l'efficacité des mesures de sécurité;
p) droit d’auditer les processus et mesures de sécurité du fournisseur en rapport avec le contrat;
q) obligation pour le fournisseur de fournir périodiquement un rapport sur l'efficacité des mesures
de sécurité et son accord pour la correction rapide des problèmes importants indiqués dans le
rapport;
r) processus de correction des défauts et de résolution des conflits;
s) mise à disposition de sauvegardes en adéquation avec les besoins de l'organisation (en termes de
fréquence, et de type et d'emplacement de stockage);
t) assurance de la disponibilité d'une installation alternative (c’est-à-dire un site de récupération
après sinistre) qui ne soit pas soumise aux mêmes menaces que l'installation principale et
considération de moyens de repli (mesures de sécurité alternatives) en cas d'échec des mesures de
sécurité principales;
u) avoir une processus de gestion des changements qui assure la notification préalable à l'organisation
et la possibilité pour l’organisation de ne pas accepter les changements;
v) mesures de sécurité physique correspondant à la classification de l'information;
w) mesures de sécurité pour le transfert des informations destinées à protéger les informations
pendant leur transfert physique ou leur transmission logique;
x) clauses de résiliation lors de la conclusion du contrat, y compris la gestion des enregistrements,
la restitution des actifs, l'élimination sécurisée des informations et autres actifs associés, et toute
obligation de confidentialité en cours;
y) mise à disposition d'une méthode de destruction sécurisée des informations de l'organisation
stockées par le fournisseur dès qu'elles ne sont plus utiles;
z) à la fin du contrat, assurer une assistance pour la passation à un autre fournisseur ou à l'organisation
elle-même.
Il convient que l’organisation établisse et tienne à jour un enregistrement des accords conclus avec des
parties externes (par exemple, contrats, protocoles d'accord, accords de partage d'informations) pour
conserver une trace de la destination de leurs informations. Il convient également que l’organisation
procède régulièrement à la révision, la validation et la mise à jour de ses accords avec des parties
externes pour s'assurer que ces accords sont toujours nécessaires et sont adaptés aux clauses de
sécurité de l'information pertinentes.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Les accords peuvent différer considérablement d'une organisation à l'autre et selon les types de
fournisseurs. Il convient donc de veiller à inclure toutes les exigences importantes pour traiter les
risques de sécurité de l'information.
Pour plus de détails sur les accords avec les fournisseurs, voir la série ISO/IEC 27036. Pour les accords
relatifs aux services en nuage, voir la série ISO/IEC 19086.
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC

Il convient de définir et de mettre en œuvre des processus et procédures pour gérer les risques de
sécurité de l'information associés à la chaîne d'approvisionnement des produits et services TIC.
Objectif
Recommandations
Il convient de prendre en compte les points suivants pour traiter la sécurité de l'information dans le
cadre de la sécurité de la chaîne d'approvisionnement TIC, en plus des exigences générales de sécurité
de l'information concernant les relations avec les fournisseurs:
a) définir les exigences de sécurité de l’information à appliquer à l'acquisition de produits ou de
services TIC;
b) exiger que les fournisseurs de services TIC propagent l’application des exigences de sécurité de
l'organisation à travers toute la chaîne d'approvisionnement s’ils sous-traitent certaines parties du
service TIC fourni à l'organisation;
c) exiger que les fournisseurs de produits TIC propagent l’application des pratiques de sécurité
appropriées à travers toute la chaîne d'approvisionnement si ces produits contiennent des
composants achetés ou obtenus auprès d'autres fournisseurs ou d'autres entités (par exemple,
sous-traitants en développement de logiciels et fournisseurs de composants matériels);
d) exiger que les fournisseurs de produits TIC fournissent les informations décrivant les composants
logiciels utilisés dans les produits;
e) exiger que les fournisseurs de produits TIC fournissent les informations décrivant les fonctions
de sécurité mises en œuvre pour leur produit et la configuration requise pour qu’il fonctionne de
manière sécurisée;
f) mettre en œuvre un processus de surveillance et des méthodes acceptables pour valider la
conformité des produits et services TIC fournis avec les exigences de sécurité spécifiées. Des
exemples de ces méthodes de contrôle des fournisseurs peuvent inclure des tests de pénétration et
la preuve ou la validation des attestations de tierce partie portant sur les opérations de sécurité de
l'information des fournisseurs;
g) mettre en œuvre un processus pour l’'identification et la documentation des composants d'un
produit ou d'un service qui sont critiques pour le maintien du fonctionnement et qui nécessitent,
par conséquent, plus d'attention, de surveillance et un suivi supplémentaire requis lorsqu'ils sont

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
réalisés en dehors de l'organisation, en particulier si le fournisseur sous-traite certains aspects des

composants du produit ou du service à d'autres fournisseurs;
h) obtenir l'assurance que les composants critiques et leur origine peuvent être tracés tout au long de
la chaîne d'approvisionnement;
i) obtenir l'assurance que les produits TIC livrés fonctionnent comme prévu sans aucun aspect
inattendu ou indésirable;
j) mettre en œuvre des processus destinés à s'assurer que les composants en provenance des
fournisseurs sont authentiques et inchangés par rapport à leurs spécifications. Des exemples de
mesures sont les marquages inviolables, les vérifications d’empreintes cryptographiques ou de
signatures numériques. La surveillance des performances non conformes aux spécifications peut
fournir une indication d’altération ou de contrefaçon. Il convient que la prévention et la détection
d’altération soient mises en œuvre dans plusieurs étapes du cycle de vie de développement du
système, y compris la conception, le développement, l’intégration, l’exploitation et la maintenance;
k) obtenir l'assurance que les produits TIC atteignent les niveaux de sécurité requis, par exemple,
par le biais d'une certification formelle ou d'un schéma d'évaluation tel que l'Arrangement de
reconnaissance mutuelle selon les Critères communs;
l) définir les règles de partage des informations concernant la chaîne d'approvisionnement et tous les
problèmes et compromis possibles entre l'organisation et les fournisseurs;
m) mettre en œuvre des processus spécifiques pour la gestion du cycle de vie des composants TIC et
de leur disponibilité, ainsi que des risques de sécurité associés. Cela inclut la gestion des risques
que des composants ne soient plus disponibles à cause de la cessation d’activité des fournisseurs
ou de l’arrêt de production de ces composants en raison des avancées technologiques. Il convient
d'envisager l'identification d'un autre fournisseur et le processus de transfert du logiciel et des
compétences à l'autre fournisseur.
Les pratiques spécifiques de gestion des risques de la chaîne d'approvisionnement TIC reposent sur
les pratiques générales de sécurité de l'information, de qualité, de gestion de projet et d'ingénierie de
systèmes, mais ne les remplacent pas.
Il est conseillé aux organisations de travailler avec les fournisseurs pour comprendre la chaîne
d'approvisionnement TIC et tous les aspect qui ont un impact important sur les produits et les
services à fournir. L'organisation peut influer sur les pratiques de sécurité de l'information appliquées
dans la chaîne d'approvisionnement TIC, en stipulant clairement dans les accords conclus avec leurs
fournisseurs les points qu'il convient que les autres fournisseurs de la chaîne d'approvisionnement TIC
traitent.
Il convient que les produits TIC soient acquis auprès de sources réputées. La fiabilité des logiciels et
du matériel est une question de contrôle qualité. Bien qu'une organisation n'ait généralement pas
la possibilité d'inspecter les systèmes de contrôle qualité de ses fournisseurs, elle peut porter des
jugements fiables en s'appuyant sur la réputation du fournisseur.
La chaîne d'approvisionnement TIC telle qu'elle est traitée ici inclut des services en nuage.
Des exemples de chaînes d'approvisionnement TIC sont:
a) fourniture de services en nuage, où le fournisseur de services en nuage s'appuie sur des
développeurs de logiciels, des fournisseurs de services de télécommunication et des fournisseurs
de matériels;
b) Internet des Objets (IoT), où le service fait intervenir les fabricants de dispositifs, les fournisseurs
de services en nuage (par exemple, les opérateurs de la plateforme IoT), les développeurs
d'applications web et mobiles et le fournisseur de bibliothèques logicielles;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) services d'hébergement, où le fournisseur s'appuie sur des centres de services externes incluant les
supports de premier, deuxième et troisième niveau.
Voir l'ISO/IEC 27036-3 pour plus de détails et des recommandations sur l'appréciation du risque.
Les tags d'identification logicielle (SWID, Software Identification) peuvent également contribuer
à renforcer la sécurité de l'information dans la chaîne d'approvisionnement, en apportant des
informations sur la provenance des logiciels. Voir l'ISO/IEC 19770-2 pour plus de détails.
5.22 Surveillance, révision et gestion des changements des services fournisseurs
Type de Propriétés de Concepts de Capacités Domaines de sécurité

mesure de sécurité cybersécurité opérationnelles
#Préventive #Confidentialité #Identifier #Sécurité_des_rela- #Gouvernance_et_Écosys-
#Intégrité tions_fournisseurs tème #Protection
#Disponibilité #Défense
#Assurance_de_sécu-
rité_de_l'information
Il convient que l'organisation procède régulièrement à la surveillance, à la révision, à l'évaluation et à la
gestion des changements des pratiques de sécurité de l'information du fournisseur et de prestation de
services.
Objectif
Maintenir un niveau convenu de sécurité de l'information et de prestation de services, conformément
aux accords conclus avec les fournisseurs.
Recommandations
Il convient que la surveillance, la révision et la gestion des changements des services des fournisseurs
assurent que les modalités et conditions sur la sécurité de l'information décrites dans les accords sont
respectées, que les problèmes et les incidents de sécurité de l'information sont gérés correctement et
que les changements intervenus dans les services fournisseurs ou la situation de l'entreprise n’affectent
pas la fourniture des services.
Il convient d’inclure, à cet effet, un processus de gestion de la relation entre l'organisation et le
fournisseur afin de:
a) contrôler les niveaux de performance des services afin de vérifier la conformité avec les accords;
b) contrôler les changements apportés par les fournisseurs, dont:
1) les améliorations apportées aux services fournis existants;
2) le développement de nouvelles applications et de nouveaux systèmes;
3) les modifications ou les mises à jour des politiques et des procédures du fournisseur;
4) les mesures de sécurité nouvelles ou modifiées pour résoudre les incidents de sécurité de
l'information et pour améliorer la sécurité de l'information;
c) contrôler les changements dans les services des fournisseurs, dont:
1) les changements et les améliorations apportés aux réseaux;
2) l'utilisation de nouvelles technologies;
3) l'adoption de nouveaux produits ou de versions plus récentes;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
4) les nouveaux outils et environnements de développement;

5) les changements apportés à l'emplacement physique des installations des services;
6) les changements de sous-traitants;
7) la sous-traitance à un autre fournisseur;
d) examiner les rapports de service produits par le fournisseur et organiser des réunions d’avancement
régulières tel qu’exigé par les accords;
e) mener des audits des fournisseurs et des sous-traitants conjointement avec la révision des rapports
d’auditeurs indépendants, s'ils existent, et assurer le suivi des problèmes identifiés;
f) fournir les informations relatives aux incidents de sécurité de l'information et examiner ces
informations tel qu’exigé par les accords et par toutes les lignes directrices et procédures support;
g) examiner les journaux d’audit et les enregistrements du fournisseur concernant les événements de
sécurité de l'information, les problèmes opérationnels, la traçabilité des dysfonctionnements et des
interruptions relatifs au service fourni;
h) gérer et répondre à tous les événements ou incidents de sécurité de l'information identifiés;
i) identifier les vulnérabilités de sécurité de l'information et les gérer;
j) examiner les aspects liés à la sécurité de l'information dans les relations du fournisseur avec ses
propres fournisseurs;
k) s'assurer que le fournisseur maintient une capacité de service suffisante ainsi que des plans
applicables conçus pour assurer que les niveaux de continuité de service convenus sont maintenus
suite à une défaillance majeure du service ou à un sinistre (voir 5.29, 5.30, 5.35, 5.36, 8.14);
l) s'assurer que les fournisseurs désignent des personnes responsables du contrôle de la conformité
et de l'application des exigences stipulées dans les accords;
m) évaluer régulièrement le maintien par les fournisseurs des niveaux adéquats de sécurité de
l'information.
Il convient d'attribuer la responsabilité de la gestion des relations avec les fournisseurs à une personne
ou à une équipe désignée. Il convient de mettre à disposition les ressources et compétences techniques
suffisantes pour contrôler que les exigences du contrat, en particulier les exigences de sécurité de
l'information, sont respectées. Il convient de prendre les mesures appropriées lorsque des insuffisances
dans la fourniture du service sont observées.
Voir l'ISO/IEC 27036-3 pour plus de détails.
5.23 Sécurité de l'information dans l'utilisation de services en nuage

#Préventive #Confidentialité #Protéger #Sécurité_des_rela- #Gouvernance_
Il convient que les processus d'acquisition, d'utilisation, de gestion et de cessation des services en nuage
soient établis conformément aux exigences de sécurité de l'information de l'organisation.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
Spécifier et gérer la sécurité de l'information lors de l'utilisation de services en nuage.
Recommandations
Il convient que l'organisation établisse et communique à toutes les parties intéressées importantes une
politique spécifique à la thématique de l'utilisation de services en nuage.
Il convient que l'organisation définisse et communique la façon dont elle envisage de gérer les risques
de sécurité de l'information associés à l'utilisation de services en nuage. Cela peut être une extension
ou une partie de l'approche existante de la manière dont l'organisation gère les services fournis par les
parties externes (voir 5.21 et 5.22).
L'utilisation de services en nuage peut inclure une responsabilité partagée pour la sécurité de
l'information et un effort de collaboration entre le fournisseur de services en nuage et l'organisation
qui a le rôle de client du service en nuage. Il est essentiel que les responsabilités qui incombent au
fournisseur de services en nuage et à l'organisation, en sa qualité de client des services en nuage, soient
définies et mises en œuvre de manière appropriée.
Il convient que l'organisation définisse:
a) toutes les exigences de sécurité de l'information importantes associées à l'utilisation des services
en nuage;
b) les critères de sélection des services en nuage et le périmètre d'utilisation des services en nuage;
c) les fonctions et responsabilités relatives à l'utilisation et à la gestion des services en nuage;
d) les mesures de sécurité de l'information qui sont gérées par le fournisseur de services en nuage et
celles qui sont gérées par l'organisation en tant que client du service en nuage;
e) la façon d'obtenir et d’utiliser les moyens de sécurité de l'information mis à disposition par le
fournisseur de services en nuage;
f) la façon d'obtenir une garantie sur les mesures de sécurité de l'information mises en œuvre par le
fournisseur de services en nuage;
g) la façon de gérer les mesures de sécurité de l’information, les interfaces et les changements dans les
services lorsqu'une organisation utilise plusieurs services en nuage, en particulier s'ils sont fournis
par différents fournisseurs de services en nuage;
h) les procédures de gestion des incidents de sécurité de l'information qui se produisent en lien avec
l'utilisation des services en nuage;
i) son approche de la surveillance, de la révision et de l'évaluation des services en nuage en cours
d’utilisation pour gérer les risques de sécurité de l'information;
j) la façon de changer ou d’arrêter l’utilisation des services en nuage, y compris les stratégies de sortie
des services en nuage.
Les accords des services en nuage sont souvent prédéfinis et ne sont pas ouverts à la négociation. Pour
tous les services en nuage, il convient que l'organisation examiner les accords des services en nuage
avec le ou les fournisseurs de services en nuage. Il convient qu'un contrat de service en nuage traite des
exigences de l'organisation en termes de confidentialité, d'intégrité, de disponibilité et de gestion des
informations, avec des objectifs du niveau de service en nuage appropriés et des objectifs qualitatifs
appropriés du service en nuage. Il convient que l'organisation procède à des appréciations du risque
appropriées afin d'identifier les risques associés à l'utilisation du service en nuage. Il convient que tous
les risques résiduels associés à l'utilisation du service en nuage soient clairement identifiés et acceptés
par le niveau de direction approprié de l'organisation.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient qu'un contrat conclu entre le fournisseur de services en nuage et l'organisation, ayant
le rôle de client du service en nuage, inclue les dispositions suivantes pour protéger les données de
l'organisation et assurer la disponibilité des services:
a) fournir des solutions basées sur les normes acceptées de l'industrie concernant l'architecture et
l'infrastructure;
b) gérer les contrôles d'accès du service en nuage pour respecter les exigences de l'organisation;
c) mettre en œuvre des solutions de surveillance et de protection contre les programmes malveillants;
d) traiter et stocker les informations sensibles de l'organisation dans des lieux approuvés (par
exemple, un pays ou une région donnés) ou soumis à/relevant d'une juridiction spécifique;
e) mettre à disposition un support dédié en cas d'incident de sécurité de l'information dans
l'environnement du service en nuage;
f) assurer que les exigences de sécurité de l'information de l'organisation sont respectées dans le cas
où les services en nuage sont eux-mêmes sous-traités à un fournisseur externe (ou interdiction de
sous-traiter les services en nuage);
g) apporter un support à l'organisation dans le rassemblement de preuves numériques, en tenant
compte des lois et réglementations sur les preuves numériques dans différentes juridictions;
h) mettre à disposition le support et la disponibilité appropriés des services pendant la période
appropriée lorsque l'organisation souhaite arrêter l’utilisation des services en nuage;
i) fournir les sauvegardes des données et les informations de configuration nécessaires et gérer de
manière sécurisée les sauvegardes selon le cas, sur la base des moyens du fournisseur de services
en nuage utilisés par l'organisation ayant le rôle de client du service en nuage;
j) fournir et restituer les informations, telles que les fichiers de configuration, les codes source et les
données qui appartiennent à l'organisation, en sa qualité de client du service en nuage, sur demande
au cours de la fourniture du service ou lors de la cessation du service.
Il convient que l'organisation, en sa qualité de client du service en nuage, estime s'il convient que
l'accord exige des fournisseurs de services en nuage qu'ils envoient une notification préalable avant
tout changement ayant un impact significatif pour le client, changement qui soit en lien avec la manière
dont le service est fourni à l'organisation, notamment:
a) changements apportés à l'infrastructure technique (par exemple, délocalisation, reconfiguration
ou changements apportés aux matériels ou aux logiciels) qui affectent ou modifient l'offre de
service en nuage;
b) traitement ou stockage des informations sous une nouvelle juridiction géographique ou légale;
c) recours à d'autres fournisseurs de services en nuage ou à d'autres sous-traitants (y compris le
changement des fournisseurs et sous-traitants existants ou le recours à de nouveaux fournisseurs
et sous-traitants existants).
Il convient que l'organisation qui utilise les services en nuage maintienne un contact étroit avec ses
fournisseurs de services en nuage. Ces contacts permettent un échange mutuel d'informations sur la
sécurité de l'information relatives à l'utilisation des services en nuage, avec un mécanisme à disposition
du fournisseur de services en nuage et de l'organisation ayant le rôle de client du service en nuage, leur
permettant de surveiller chaque caractéristique du service et de déclarer toute défaillance par rapport
aux engagements contenus dans les accords.
Cette mesure de sécurité aborde la sécurité dans le nuage du point de vue du client des services en
nuage.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Des informations complémentaires sur les services en nuage sont disponibles dans l'ISO/IEC 17788,
l'ISO/IEC 17789 et l'ISO/IEC 22123-1. Les spécificités liées à la portabilité de l'informatique en nuage en
appui des stratégies de sortie sont disponibles dans l'ISO/IEC 19941. Les spécificités liées à la sécurité
de l'information et aux services en nuage publics sont décrites dans l'ISO/IEC 27017. Les spécificités
liées à la protection des DCP dans l'informatique en nuage public agissant comme sous-traitant de DCP
sont décrites dans l'ISO/IEC 27018. Les relations avec les fournisseurs dans le cadre des services en
nuage sont traitées dans l'ISO/IEC 27036-4 et les accords relatifs aux services en nuage et à leur contenu
sont traités dans la série ISO/IEC 19086, la sécurité et la protection de la vie privée étant traitées de
façon spécifique dans l'ISO/IEC 19086-4.
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information

de l'information
#Corrective #Confidentialité #Répondre #Gouvernance #Défense
#Intégrité #Rétablir #Gestion_des_événements_
#Disponibilité de_sécurité_de_l'information
Il convient que l'organisation planifie et prépare la gestion des incidents de sécurité de l'information
en procédant à la définition, à l'établissement et à la communication des processus, fonctions et
responsabilités liés à la gestion des incidents de sécurité de l'information.
Objectif
Assurer une réponse rapide, efficace, cohérente et ordonnée aux incidents de sécurité de l'information,
notamment la communication sur les événements de sécurité de l'information.
Recommandations
Fonctions et responsabilités
Il convient que l'organisation établisse des processus appropriés de gestion des incidents de sécurité
de l'information. Il convient que les fonctions et responsabilités pour la réalisation des procédures de
gestion des incidents soient déterminés et communiqués de manière efficace aux parties intéressées
internes et externes pertinentes.
Il convient de prendre en considération les éléments suivants:
a) établir une méthode commune pour la déclaration des événements de sécurité de l'information,
notamment un point de contact (voir 6.8);
b) établir un processus de gestion des incidents pour donner à l'organisation la faculté de gérer les
incidents de sécurité de l'information, notamment l'administration, la documentation, la détection,
le tri, la priorisation, l'analyse, la communication et la coordination des parties intéressées;
c) établir un processus de réponse aux incidents pour donner à l'organisation la capacité d’évaluer les
incidents de sécurité de l'information, d'y répondre et d'en tirer des enseignements;
d) autoriser uniquement le personnel compétent à traiter les problèmes relatifs aux incidents de
sécurité de l'information au sein de l’organisation. Il convient que ce personnel dispose de la
documentation des procédures et qu'il bénéficie d'une formation régulière;
e) établir un processus pour identifier les formations, certifications et le développement professionnel
continu requis pour le personnel chargé de la réponse aux incidents.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Procédures de gestion des incidents

Il convient que les objectifs de la gestion des incidents de sécurité de l'information soient convenus avec
la direction et il convient de s'assurer que les personnes responsables de la gestion des incidents de
sécurité de l'information comprennent les priorités de l'organisation pour le traitement des incidents de
sécurité de l’information, y compris les délais de résolution en fonction des conséquences potentielles
et de la gravité. Il convient de mettre en œuvre des procédures de gestion des incidents pour respecter
ces objectifs et priorités.
Il convient que la direction s'assure qu'un plan de gestion des incidents de sécurité de l'information soit
créé en prenant en considérations différents scénarios et que des procédures soient élaborées et mises
en œuvre pour les activités suivantes:
a) évaluation des événements de sécurité de l'information selon les critères qui déterminent ce qui
constitue un incident de sécurité de l'information;
b) surveillance (voir 8.15 et 8.16), détection (voir 8.16), classification (voir 5.25), analyse et déclaration
(voir 6.8) des événements et incidents de sécurité de l'information (par des moyens humains ou
automatiques);
c) gestion des incidents de sécurité de l'information jusqu'à leur terme, y compris la réponse et
remontée (voir 5.26), en fonction du type et de la catégorie de l'incident, l’activation éventuelle
d'une gestion de crise et de plans de continuité d’activité, le rétablissement contrôlé de l'incident et
la communication aux parties intéressées internes et externes;
d) coordination avec les parties intéressées internes et externes, telles que les autorités, les groupes
d'intérêt externes et les forums, les fournisseurs et les clients (voir 5.5 et 5.6);
e) journalisation des activités de gestion des incidents;
f) gestion des preuves (voir 5.28);
g) procédures d'analyse des causes d’origine ou d'analyse après incident;
h) identification des enseignements tirés et de toutes les améliorations à apporter aux procédures de
gestion des incidents ou plus généralement aux mesures de sécurité de l'information requises.
Procédures de déclaration
Il convient que les procédures de déclaration incluent:
a) les actions à engager en cas d’événement de sécurité de l'information (par exemple, noter
immédiatement tous les détails pertinents, tels que les dysfonctionnements qui se produisent et
les messages qui apparaissent à l'écran, en informer immédiatement le point de contact et exécuter
seulement des actions coordonnées);
b) l'utilisation de formulaires d'incidents pour aider le personnel à effectuer toutes les actions
nécessaires lors de la déclaration d'incidents de sécurité de l'information;
c) des processus de retour d'information adéquats pour s’assurer que les personnes ayant déclaré des
événements de sécurité de l’information sont notifiées, dans la mesure du possible, des résultats
après que le problème a été traité et clôturé;
d) la création de rapports d'incidents.
Il convient de prendre en compte toutes les exigences externes sur la déclaration des incidents aux
parties intéressées pertinentes dans le délai défini (par exemple, exigences de déclaration des violations
aux régulateurs) lors de la mise en œuvre des procédures de gestion des incidents.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Les incidents de sécurité de l'information peuvent transcender les frontières de l'organisation et
du pays. Pour répondre à de tels incidents, il est utile de coordonner la réponse et de partager les
informations sur ces incidents avec des organisations externes si nécessaire.
Des recommandations détaillées sur la gestion des incidents de sécurité de l'information sont fournies
dans la série ISO/IEC 27035.
5.25 Évaluation des événements de sécurité de l'information et prise de décision

#Détective #Confidentialité #Détecter #Ré- #Gestion_des_événements_ #Défense
#Intégrité pondre de_sécurité_de_l'information
#Disponibilité
Il convient que l'organisation évalue les événements de sécurité de l'information et décide s'ils doivent
être catégorisés comme des incidents de sécurité de l'information.
Objectif
Assurer une catégorisation et une priorisation efficaces des événements de sécurité de l'information.
Recommandations
Il convient qu’un schéma de catégorisation et de priorisation des incidents de sécurité de l'information
soit convenu pour l'identification des conséquences et de la priorité d’un incident. Il convient que
le schéma inclue les critères pour catégoriser les événements en tant qu’incidents de sécurité de
l'information. Il convient que le point de contact évalue chaque événement de sécurité de l'information
en utilisant le schéma convenu.
Il convient que le personnel responsable de la coordination et de la réponse aux incidents de sécurité
de l'information procède à l’évaluation et prenne une décision sur les événements de sécurité de
l'information.
Il convient que les résultats de l’évaluation et la décision soient enregistrés de manière détaillée pour
les besoins de vérification ou de références ultérieurs.
La série ISO/IEC 27035 fournit des recommandations supplémentaires sur la gestion des incidents.
5.26 Réponse aux incidents de sécurité de l'information

#Corrective #Confidentialité #Répondre #Réta- #Gestion_des_événements_ #Défense
#Intégrité blir de_sécurité_de_l'information
#Disponibilité
Il convient de répondre aux incidents de sécurité de l'information conformément aux procédures
documentées.
Objectif
Assurer une réponse efficace et effective aux incidents de sécurité de l'information.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient que l'organisation établisse des procédures de réponse aux incidents de sécurité de
l'information et qu'elle les communique à toutes les parties intéressées appropriées.
Il convient que la réponse aux incidents de sécurité de l'information soit assurée par une équipe
désignée dotée des compétences requises (voir 5.24).
Il convient que la réponse inclue:
a) l’isolement, si les conséquences de l'incident peuvent se propager, des systèmes affectés par
l'incident;
b) la collecte de preuves (voir 5.28) aussitôt que possible après l'occurrence de l’incident;
c) une remontée, si nécessaire, comprenant les activités de gestion de crise et éventuellement le
recours aux plans de continuité d'activité (voir 5.29 et 5.30);
d) l'assurance que toutes les activités de réponse engagées sont correctement journalisées en vue
d'une analyse ultérieure;
e) la communication de l'existence d'un incident de sécurité de l'information ou de tout détail
pertinent qui s'y rapporte à toutes les parties intéressées internes et externes pertinentes en
suivant le principe du besoin d'en connaître;
f) la coordination avec les parties internes et externes, telles que les autorités, les groupes d'intérêt
externes et les forums, les fournisseurs et les clients, pour améliorer l'efficacité des réponses et
contribuer à minimiser les conséquences pour les autres organisations;
g) une fois que l'incident a été traité avec succès, l’enregistrement de l’incident et sa clôture de manière
formelle;
h) une analyse scientifique de la sécurité de l'information, si besoin (voir 5.28);
i) une analyse post-incident pour identifier la cause d’origine. S’assurer qu'elle est documentée et
communiquée selon les procédures définies (voir 5.27);
j) l'identification et la gestion des vulnérabilités et faiblesses de sécurité de l'information, y compris
celles en lien avec les mesures de sécurité qui ont causé, contribué ou échoué à prévenir l’incident.
La série ISO/IEC 27035 fournit des recommandations supplémentaires sur la gestion des incidents.
5.27 Tirer des enseignements des incidents de sécurité de l'information

de l'information
#Préventive #Confidentialité #Identifier #Proté- #Gestion_des_événements_ #Défense
#Intégrité ger de_sécurité_de_l'information
#Disponibilité
Il convient que les connaissances acquises à partir des incidents de sécurité de l'information soient
utilisées pour renforcer et améliorer les mesures de sécurité de l'information.
Objectif
Réduire la probabilité ou les conséquences des incidents futurs.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient que l'organisation établisse des procédures pour quantifier et surveiller les types, le volume
et le coût des incidents de sécurité de l'information.
Il convient que les informations collectées lors de l'évaluation des incidents de sécurité de l'information
soient utilisées pour:
a) améliorer le plan de gestion des incidents, y compris les scénarios d’incidents et les procédures
(voir 5.24);
b) identifier les incidents récurrents ou graves et leurs causes pour mettre à jour l'appréciation du
risque de sécurité de l'information de l'organisation et pour déterminer et mettre en œuvre
les mesures de sécurité supplémentaires nécessaires afin de réduire la probabilité ou les
conséquences des futurs incidents similaires. Des mécanismes permettant cela incluent la collecte,
la quantification et la surveillance des informations sur les types, volumes et coûts des incidents;
c) améliorer la formation et la sensibilisation et la formation des utilisateurs (voir 6.3) en fournissant
des exemples de ce qui peut se produire, comment répondre à de tels incidents et comment les
empêcher dans le futur.
La série ISO/IEC 27035 fournit des recommandations supplémentaires.
5.28 Collecte des preuves

#Corrective #Confidentialité #Détecter #Ré- #Gestion_des_événements_ #Défense
#Intégrité pondre de_sécurité_de_l'information
#Disponibilité
Il convient que l'organisation établisse et mette en œuvre des procédures pour l’identification, la collecte,
l'acquisition et la préservation des preuves relatives aux événements de sécurité de l'information.
Objectif
Assurer une gestion cohérente et efficace des preuves relatives aux incidents de sécurité de l'information
pour les besoins d'actions judiciaires ou de disciplinaires.
Recommandations
Il convient de définir et de suivre des procédures internes pour traiter les preuves relatives aux
événements de sécurité de l'information en vue d'actions judiciaires ou disciplinaires. Il convient de
tenir compte des exigences des diverses juridictions afin de maximiser les chances de reconnaissance à
travers les juridictions concernées.
En général, il convient que ces procédures de gestion des preuves fournissent des instructions pour
l'identification, la collecte, l'acquisition et la préservation des preuves selon différents types de supports
de stockage, de terminaux et d'états des terminaux (c'est-à-dire allumés ou éteints). Les preuves
nécessitent généralement d’être collectées d'une manière recevable par les tribunaux nationaux
appropriés ou une autre instance disciplinaire. Il convient de pouvoir montrer que:
a) les enregistrements sont complets et n'ont en aucune façon été altérés;
b) les copies des preuves numériques sont probablement identiques aux originaux;
c) tout système d'information à partir duquel la preuve a été collectée fonctionnait correctement au
moment de l’enregistrement de la preuve.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient de recourir aux certifications et autres moyens de la qualification du personnel et des outils,
lorsque ces moyens sont disponibles, afin de renforcer la valeur des preuves préservées.
Les preuves numériques peuvent dépasser les frontières juridictionnelles ou celles de l'organisation.
Dans ces cas, il convient de s'assurer que l'organisation est en droit de collecter les informations
requises en tant que preuves numériques.
Lorsqu’un événement de sécurité de l'information est détecté pour la première fois, il n'est pas toujours
évident de prévoir si l'événement fera l'objet d'une action en justice. Par conséquent, il existe un risque
que les preuves nécessaires risquent soient détruites, de manière intentionnelle ou accidentelle, avant
que la gravité de l'incident ne soit avérée. Il est conseillé de solliciter un conseiller juridique ou la police
si une action en justice est envisagée, et de demander conseil sur les preuves requises.
L'ISO/IEC 27037 fournit des définitions et des lignes directrices sur l'identification, la collecte,
l'acquisition et la préservation des preuves numériques.
La série ISO/IEC 27050 traite de la découverte électronique, qui inclut le traitement des informations
stockées électroniquement en tant que preuves.
5.29 Sécurité de l'information pendant une perturbation

#Préventive #Cor- #Confidentialité #Protéger #Ré- #Continuité #Protection
rective #Intégrité pondre #Résilience
#Disponibilité
Il convient que l'organisation planifie comment maintenir la sécurité de l'information au niveau
approprié pendant une perturbation.
Objectif
Protéger les informations et autres actifs associés pendant une perturbation.
Recommandations
Il convient que l'organisation détermine ses exigences pour adapter les mesures de sécurité de
l'information pendant une perturbation. Il convient d’inclure les exigences de sécurité de l'information
dans les processus de gestion de la continuité d'activité.
Il convient que des plans soient élaborés, mis en œuvre, testés, révisés et évalués afin de maintenir
ou de restaurer la sécurité de l'information des processus métier critiques suite à une interruption ou
une défaillance. Il convient de restaurer la sécurité de l'information au niveau requis et dans les délais
requis.
Il convient que l'organisation mette en œuvre et maintienne:
a) les mesures de sécurité de l'information, et les systèmes et outils supports dans les plans de
continuité d'activité et de continuité TIC;
b) les processus qui maintiennent le fonctionnement des mesures de sécurité de l'information
existantes pendant une perturbation;
c) des mesures de sécurité compensatoires pour les mesures de sécurité de l'information qui ne
peuvent plus fonctionner pendant une perturbation.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Dans le contexte de la planification de la continuité d'activité et de la continuité TIC, il peut être
nécessaire d'adapter les exigences de sécurité de l'information en fonction du type de perturbation, par
rapport aux conditions de fonctionnement normales. Dans le cadre de l’analyse d'impact sur l'activité
et de l'appréciation du risque réalisés dans la gestion de la continuité d'activité, il convient que les
conséquences de la perte de confidentialité et d'intégrité des informations soient prises en compte et
priorisées, en plus du besoin de maintenir la disponibilité.
Des informations sur les systèmes de gestion de la continuité d'activité sont disponibles dans l'ISO 22301
et l’ISO 22313. Des recommandations supplémentaires relatives à l’analyse d'impact sur l'activité (AIA)
sont disponibles dans l'ISO/TS 22317.
5.30 Préparation des TIC pour la continuité d'activité

de l'information
#Corrective #Disponibilité #Répondre #Continuité #Résilience
Il convient que la préparation des TIC soit planifiée, mise en œuvre, maintenue et testée en se basant
sur les objectifs de continuité d'activité et des exigences de continuité des TIC.
Objectif
Assurer la disponibilité des informations et autres actifs associés de l'organisation pendant une
perturbation.
Recommandations
La préparation des TIC pour la continuité d'activité est une composante importante de la gestion de
la continuité d'activité et de la gestion de la sécurité de l'information permettant d’assurer que les
objectifs de l'organisation peuvent continuer à être réalisés pendant une perturbation.
Les exigences de continuité des TIC résultent de l’analyse d'impact sur l'activité (AIA). Il convient que
le processus d’AIA utilise les types et les critères d'impacts pour évaluer les impacts dans le temps
causés par la perturbation des activités qui fournissent des produits et des services. Il convient
d'utiliser l’ampleur et la durée des impacts causés pour identifier les activités à prioriser, auxquelles il
convient d'attribuer un délai de reprise (DR). Il convient ensuite que l’AIA détermine les ressources qui
sont nécessaires pour appuyer les activités priorisées. Il convient également de préciser un DR pour ces
ressources. Il convient qu'un sous-ensemble de ces ressources inclue les services TIC.
L’analyse d'impact sur l'activité impliquant les services TIC peut être étendue pour définir les exigences
de performances et de capacité des systèmes TIC, ainsi que les objectifs de point de reprise (OPR) des
informations nécessaires à la réalisation des activités pendant une perturbation.
En se basant sur les résultats de l’analyse d'impact sur l'activité et de l'appréciation du risque impliquant
les services TIC, il convient que l'organisation identifie et choisisse des stratégies de continuité des TIC
qui prennent en compte des options pour les périodes situées avant, pendant et après une perturbation.
Les stratégies de continuité d'activité peuvent comporter une ou plusieurs solutions. Sur la base des
stratégies, il convient d'élaborer, de mettre en œuvre et de tester des plans pour respecter le niveau de
disponibilité requis des services TIC dans les délais requis suite à l'interruption ou à la défaillance de
processus critiques.
Il convient que l'organisation s'assure que:
a) une structure organisationnelle adéquate est en place pour se préparer, atténuer et répondre
à une perturbation prise en charge par du personnel détenant la responsabilité, l'autorité et les
compétences nécessaires;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) les plans de continuité des TIC, y compris des procédures de réponse et de reprise détaillant la
façon dont l'organisation prévoit de gérer une perturbation des services TIC, sont:
1) régulièrement évalués par le biais d'exercices et de tests;
2) approuvés par la direction;
c) les plans de continuité des TIC incluent les informations de continuité des TIC suivantes:
1) les spécifications de performances et de capacité pour respecter les exigences et les objectifs
de continuité d'activité tels que spécifiés dans l’analyse d’impact sur l’activité (AIA);
2) le délai de reprise (DR) de chaque service TIC priorisé et les procédures de restauration de ces
composants;
3) les objectifs de point de reprise (OPR) des ressources TIC priorisées définies en tant
qu'informations et les procédures de restauration des informations.
La gestion de la continuité des TIC constitue une partie essentielle des exigences de continuité d'activité
sur la disponibilité, pour pouvoir:
a) assurer la réponse et la reprise après perturbation de services TIC, quelle qu'en soit la cause;
b) s'assurer que la continuité des activités priorisées est prise en charge par les services TIC
nécessaires;
c) répondre avant qu'une perturbation de services TIC ne se produise, au moment de la détection d’au
moins un incident pouvant causer une perturbation de services TIC.
Des recommandations supplémentaires sur la préparation des TIC pour la continuité d'activité sont
disponibles dans l'ISO/IEC 27031.
Des recommandations supplémentaires sur les systèmes de management de la continuité d'activité sont
disponibles dans l'ISO 22301 et l'ISO 22313.
Des recommandations supplémentaires sur l’analyse d'impact sur l'activité (AIA) sont disponibles dans
l'ISO/TS 22317.
5.31 Exigences légales, statutaires, réglementaires et contractuelles

#Préventive #Confidentialité #Identifier #Réglementation_et_ #Gouvernance_
#Intégrité conformité et_Écosystème
Il convient que les exigences légales, statutaires, réglementaires et contractuelles pertinentes pour la
sécurité de l’information, ainsi que l'approche de l'organisation pour respecter ces exigences, soient
identifiées, documentées et tenues à jour.
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives à la
sécurité de l'information.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Généralités
Il convient que les exigences externes, y compris les exigences légales, statutaires, réglementaires ou
contractuelles, soient prises en compte lors de:
a) l’élaboration des politiques et des procédures de sécurité de l'information;
b) la conception, la mise en œuvre ou le changement des mesures de sécurité de l'information;
c) la classification des informations et autres actifs associés dans le cadre du processus d’établissement
des exigences de sécurité de l'information pour les besoins internes ou pour les accords avec les
fournisseurs;
d) la réalisation d'appréciations des risques de sécurité de l'information et la détermination des
activités de traitement des risques de sécurité de l'information;
e) la détermination des processus et des fonctions et responsabilités relatives à la sécurité de
l'information associées;
f) la détermination des exigences contractuelles des fournisseurs pertinentes pour l'organisation et
du périmètre de fourniture des produits et des services.
Législation et réglementations
Il convient que l'organisation:
a) identifie toutes les législations et réglementations pertinentes pour la sécurité de l’information de
l’organisation afin de prendre connaissance des exigences concernant son type d'activité;
b) prenne en compte la conformité dans tous les pays concernés, si l’organisation:
— mène son activité dans d'autres pays;
— utilise des produits et des services provenant d'autres pays dans lesquels les lois et
réglementations peuvent impacter l'organisation;
— transfère des informations à travers des frontières juridictionnelles où les lois et réglementations
peuvent impacter l'organisation;
c) révise régulièrement les législations et les réglementations identifiées afin de se tenir informée des
changements et d’identifier les nouvelles législations;
d) définisse et documente les processus spécifiques et les responsabilités individuelles pour respecter
ces exigences.
Cryptographie
La cryptographie est un domaine qui comporte souvent des exigences légales spécifiques. Il convient
de prendre en compte la conformité aux accords, lois et réglementations applicables et relatifs aux
éléments suivants:
a) les restrictions sur l’importation ou l'exportation de matériels et de logiciels informatiques
permettant de réaliser des fonctions cryptographiques;
b) les restrictions sur l'importation ou l'exportation de matériels et de logiciels informatiques conçus
pour intégrer des fonctions cryptographiques;
c) les restrictions sur l'utilisation de la cryptographie;
d) les méthodes d’accès aux informations chiffrées, obligatoires ou facultatives, dont disposent les
autorités des pays;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
e) la validité des signatures, sceaux et certificats numériques.

Il est recommandé de demander un avis juridique lors de l’établissement de la conformité aux
législations et réglementations applicables, en particulier lorsque des informations chiffrées ou des
outils de cryptographie sont transférés à travers des frontières juridictionnelles.
Contrats
Il convient que les exigences contractuelles relatives à la sécurité de l'information incluent celles
indiquées dans:
a) les contrats avec les clients;
b) les contrats avec les fournisseurs (voir 5.20);
c) les contrats d'assurance.
5.32 Droits de propriété intellectuelle

de l'information
#Préventive #Confidentialité #Identifier #Réglementation_et_ #Gouvernance_
#Intégrité conformité et_Écosystème
#Disponibilité
Il convient que l'organisation mette en œuvre les procédures appropriées pour protéger les droits de
propriété intellectuelle.
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux
droits de propriété intellectuelle et à l'utilisation de produits propriétaires.
Recommandations
Il convient de prendre en considération les lignes directrices suivantes pour protéger tout matériel
pouvant être soumis à des droits de propriété intellectuelle:
a) définir et communiquer une politique spécifique à la thématique de la protection des droits de
propriété intellectuelle;
b) publier des procédures pour assurer la conformité aux droits de propriété intellectuelle qui
définissent l'utilisation conforme des logiciels et des produits d’information;
c) acquérir des logiciels uniquement à travers des sources connues et réputées pour s'assurer qu’il n’y
a pas eu atteinte aux droits d'auteur;
d) tenir à jour des registres appropriés des actifs et identifier tous les actifs soumis à des exigences de
protection des droits de propriété intellectuelle;
e) conserver les preuves et justifications de la propriété des licences, des manuels, etc.;
f) s'assurer que le nombre maximal d'utilisateurs ou de ressources (par exemple, des unités centrales
de traitement [CPU]) autorisé par la licence n'est pas dépassé;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
g) effectuer des contrôles pour s'assurer que seuls les logiciels autorisés et les produits sous licence
sont installés;
h) fournir des procédures pour maintenir des conditions de licence appropriées;
i) fournir des procédures pour la suppression des logiciels ou pour leur transfert à des tiers;
j) se conformer aux conditions générales des logiciels et des information obtenus à partir de réseaux
publics et de sources externes;
k) ne pas dupliquer, convertir dans un autre format ou extraire des enregistrements commerciaux
(vidéo, audio) en dehors de ce qui est permis par la législation sur les droits d'auteur ou les licences
applicables;
l) ne pas copier, intégralement ou en partie, des normes (par exemple, Normes internationales ISO/
IEC), livres, articles, rapports ou autres documents, en dehors de ce qui est permis par la législation
sur les droits d'auteur ou les licences applicables.
Les droits de propriété intellectuelle incluent les droits d'auteur des logiciels et des documents, les
droits de conception, les marques, les brevets et les licences de code source.
Les produits logiciels propriétaires sont généralement fournis sous contrat de licence spécifiant les
conditions générales de la licence, par exemple la limitation de l'utilisation des produits à des machines
spécifiques ou la limitation de la copie à la création de copies de sauvegarde seulement. Voir la
série ISO/IEC 19770 pour plus de détails sur la gestion des actifs IT.
Des données peuvent être obtenues auprès de sources externes. En règle générale, ce type de données
est obtenu selon les modalités d’un accord de partage de données ou d'un instrument juridique similaire.
Il convient que de tels accords de partage de données précise la nature du traitement autorisé pour les
données acquises. Il est également conseillé que la provenance des données soit clairement indiquée.
Voir l'ISO/IEC 23751 pour plus de détails sur les accords de partage de données.
Les exigences légales, statutaires, réglementaires et contractuelles peuvent inclure des restrictions sur
la copie de matériel propriétaire. En particulier, elles peuvent exiger que seul un matériel développé
par l'organisation, ou qui est sous licence, ou qui est fourni par un développeur à l'organisation, peut
être utilisé. La violation des droits d'auteur peut entraîner une action judiciaire pouvant impliquer des
amendes et des poursuites pénales.
Hormis le besoins pour l'organisation de se conformer à ses obligations envers les droits de propriété
intellectuelle des tierces parties, il convient que les risques associés au personnel ou aux tierces parties
qui ne respectent pas les droits de propriété intellectuelle propres à l’organisation soient gérés.
5.33 Protection des enregistrements

de l'information
#Préventive #Confidentialité #Identifier #Pro- #Réglementation_et_confor- #Défense
#Intégrité téger mité
#Disponibilité #Gestion_des_actifs
#Protection_des_informa-
tions
Il convient que les enregistrements soient protégés de la perte, de la destruction, de la falsification, des
accès non autorisés et des diffusions non autorisées.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles, ainsi
qu'aux attentes de la société ou de la communauté relatives à la protection et à la disponibilité des
enregistrements.
Recommandations
Il convient que l'organisation prenne les mesures suivantes pour protéger l'authenticité, la fiabilité,
l'intégrité et l'exploitabilité des enregistrements, sachant que leur contexte opérationnel et les exigences
de leur gestion changent dans le temps:
a) émettre des lignes directrices sur le stockage, la gestion de la chaîne de traçabilité et l'élimination
des enregistrements, qui incluent la prévention de la manipulation des enregistrements. Il convient
que ces lignes directrices soient en adéquation avec la politique spécifique à la thématique de la
gestion des enregistrements et les autres exigences relatives aux enregistrements de l'organisation;
b) établir un calendrier de conservation définissant les enregistrements et leur durée de conservation.
Il convient que le système de stockage et de gestion assure l'identification des enregistrements et de
leur durée de conservation en tenant compte de la législation ou des réglementations nationales ou
régionales, ainsi que des attentes de la société ou de la communauté, si nécessaire. Il convient que
ce système permette la destruction appropriée des enregistrements à l'issue de cette période si
l'organisation n'en a plus besoin.
Au moment de décider de la protection de enregistrements spécifiques de l'organisation, il convient de
tenir compte de leur classification en termes de sécurité de l'information, qui est basée sur le schéma
de classification de l'organisation. Il convient que les enregistrements soient catégorisés en types (par
exemple, documents comptables, enregistrements liés aux transactions commerciales, enregistrements
relatifs au personnel, enregistrements juridiques); avec pour chaque type de enregistrement des détails
sur les périodes de conservation et le type de support de stockage autorisé, qui peut être physique ou
électronique.
Il convient que les systèmes de stockage soient choisis de sorte qu'ils permettent la récupération des
enregistrements requis dans un délai et sous un format acceptables selon les exigences à respecter.
Lorsque des supports de stockage électroniques sont choisis, il convient que des procédures visant
à assurer la possibilité d'accès aux enregistrements (accès au support de stockage et lisibilité du
format) tout au long de la période de conservation soient établies afin de protéger contre toute perte
due aux changements des technologies futures. Il convient que toutes les clés cryptographiques et
les programmes associés aux archives chiffrées ou aux signatures électroniques, soient également
conservés afin de permettre le déchiffrement des enregistrements pendant leur durée de conservation
(voir 8.24).
Il convient de mettre en œuvre des procédures de stockage et d’utilisation conformément aux
recommandations fournies par les fabricants des supports de stockage. Il convient de tenir compte de
la possibilité de dégradation du support utilisé pour le stockage des enregistrements.
Les enregistrements documentent des événements ou des transactions particuliers, ou peuvent
constituer des agrégations conçues pour documenter des processus, des activités ou des fonctions
professionnels. Ils constituent à la fois des preuves de l'activité professionnelle et des actifs
informationnels. Tout ensemble d'informations, indépendamment de sa structure et de sa forme, peut
être géré comme un enregistrement. Cela inclut les informations sous la forme d’un document, d’une
collection de données ou d'autres types d'informations numériques ou analogiques qui sont créées,
capturées et gérées dans le cadre d'une activité professionnelle.
Dans la gestion des enregistrements, les métadonnées sont les données décrivant le contexte, le contenu
et la structure des enregistrements, ainsi que leur gestion dans le temps. Les métadonnées constituent
une composante essentielle de tout enregistrement.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il peut être nécessaire de conserver certains enregistrements de manière sécurisée afin de respecter
les exigences légales, statutaires, réglementaires ou contractuelles et pour appuyer les activités
professionnelles essentielles de l'organisation. La réglementation ou la loi nationale peut déterminer
la période et le contenu des données pour la conservation des informations, ainsi que son contenu. Des
informations supplémentaires sur la gestion des enregistrements sont disponibles dans l'ISO 15489.
5.34 Protection de la vie privée et des DCP

de l'information
#Préventive #Confidentialité #Identifier #Pro- #Protection_des_informa- #Protection
#Intégrité téger tions
#Disponibilité #Réglementation_et_confor-
mité
Il convient que l'organisation identifie et respecte les exigences relatives à la protection de la vie privée
et des DCP conformément aux lois, réglementations et exigences contractuelles applicables.
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles relatives aux
aspects de la sécurité de l'information portant sur la protection des DCP.
Recommandations
Il convient que l'organisation établisse et communique à toutes les parties intéressées pertinentes une
politique spécifique à la thématique de la protection de la vie privée et des DCP.
Il convient que l'organisation élabore et mette en œuvre des procédures pour la protection de la
vie privée et des DCP. Il convient de communiquer ces procédures à toutes les parties intéressées
pertinentes impliquées dans le traitement des données à caractère personnel.
La conformité à ces procédures et à toutes les législations et réglementations pertinentes en matière
de protection de la vie privée et des DCP exige des fonctions, des responsabilités et des mesures de
sécurité appropriées. Souvent, la meilleure façon de réaliser cela est de désigner un responsable,
tel qu’un délégué à la protection des données (DPO) et il convient que ce responsable fournisse des
recommandations au personnel, aux fournisseurs de services et à d’autres parties intéressées sur leurs
responsabilités individuelles et les procédures spécifiques qu'il convient de suivre.
Il convient que la responsabilité du traitement des DCP soit assurée en tenant compte de la législation et
des réglementations pertinentes.
Il convient de mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger
les DCP.
Certains pays ont introduit une législation imposant des mesures de sécurité pour la collecte, le
traitement, la transmission et la suppression des DCP. Selon la législation nationale concernée, ces
mesures de sécurité peuvent imposer des obligations à ceux qui collectent, traitent et diffusent des DCP
et peuvent également restreindre le droit de transférer ces DCP vers d'autres pays.
L'ISO/IEC 29100 fournit un cadre de haut niveau pour la protection des DCP dans les systèmes TIC. Des
informations supplémentaires sur les systèmes de management de la protection de la vie privée sont
disponibles dans l'ISO/IEC 27701. Des informations spécifiques sur la gestion de la protection de la vie
privée dans l'informatique en nuage public agissant comme sous-traitant de DCP sont disponibles dans
l'ISO/IEC 27018.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
L'ISO/IEC 29134 fournit des lignes directrices sur l’étude d'impact sur la vie privée (PIA) et donne un
exemple de structure et de contenu d'un rapport de PIA. Par rapport à l'ISO/IEC 27005, celle-ci est axée
sur le traitement des DCP et est pertinente pour les organisations qui traitent des DCP. Elle peut aider
à identifier les risques relatifs la vie privée et les atténuations possibles pour réduire ces risques à des
niveaux acceptables.
5.35 Révision indépendante de la sécurité de l'information

de l'information
#Préventive #Cor- #Confidentialité #Identifier #Proté- #Assurance_de_sécu- #Gouvernance_
rective #Intégrité ger rité_de_l'information et_Écosystème
#Disponibilité
Il convient que l’approche de l’organisation pour gérer la sécurité de l’information et sa mise en œuvre,
y compris les personnes, les processus et les technologies, soit révisée de manière indépendante à
intervalles planifiés, ou lorsque des changements significatifs se produisent.
Objectif
S’assurer que l’approche de l’organisation pour gérer la sécurité de l’information est continuellement
adaptée, adéquate et efficace.
Recommandations
Il convient que l'organisation dispose de processus permettant de mener des révisions indépendantes.
Il convient que la direction planifie et initie des révisions indépendantes périodiques. Il convient que les
révisions incluent l’évaluation des possibilités d'amélioration et le besoin de changements à apporter à
l'approche de sécurité de l'information, y compris la politique de sécurité de l’information, les politiques
spécifiques à une thématique et les autres mesures de sécurité.
Il convient que ces révisions soient réalisées par des personnes indépendantes du domaine faisant
l’objet de la révision (par exemple, par des intervenants de la fonction d'audit interne, par un manager
indépendant ou une organisation tierce externe spécialisée dans de telles révisions). Il convient que
les personnes réalisant ces révisions possèdent les compétences appropriées. Il convient que la
personne qui mène les révisions n'appartienne pas à la structure hiérarchique pour s’assurer qu’elle a
l'indépendance nécessaire pour effectuer une évaluation.
Il convient que les résultats des révisions indépendantes soient rapportés à la direction qui a initié les
révisions, si nécessaire, à la direction générale. Il convient de conserver ces enregistrements.
Si les révisions indépendantes identifient que l'approche de l'organisation et sa mise en œuvre de la
gestion de la sécurité de l'information sont inadéquates [par exemple, que les objectifs et les exigences
documentés ne sont pas respectés ou ne sont pas conformes aux orientations de sécurité de l’information
indiquées dans la politique de sécurité de l'information et les politiques spécifiques à une thématique
(voir 5.1)], il convient que la direction entreprenne des actions correctives.
En plus des révisions indépendantes périodiques, il convient que l'organisation envisage de mener des
révisions indépendantes lorsque:
a) les lois et réglementations qui la concernent changent;
b) des incidents significatifs se produisent;
c) l'organisation débute une nouvelle activité ou apporte des changements à une activité existante;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
d) l'organisation commence à utiliser un nouveau produit ou service, ou apporte des changements à

l'utilisation d'un produit ou service existant;
e) l'organisation apporte des changements significatifs aux mesures de sécurité et procédures de
sécurité de l'information.
L'ISO/IEC 27007 et l'ISO/IEC TS 27008 fournissent des recommandations sur la réalisation de révisions
indépendantes.
5.36 Conformité aux politiques, règles et normes de sécurité de l'information
Type de mesure Propriétés de Concepts de Capacités opération- Domaines de

de sécurité sécurité cybersécurité nelles sécurité
de l'information
#Préventive #Confidentialité #Identifier #Pro- #Réglementation_et_ #Gouvernance_
#Intégrité téger conformité et_Écosystème
#Disponibilité #Assurance_de_sécurité_
de_l'information
Il convient que la conformité à la politique de sécurité de l'information, aux politiques spécifiques à une
thématique, aux règles et aux normes de l'organisation soit régulièrement vérifiée.
Objectif
S’assurer que la sécurité de l'information est mise en œuvre et fonctionne conformément à la politique
de sécurité de l'information, aux politiques spécifiques à une thématique, aux règles et aux normes de
l'organisation.
Recommandations
Il convient que les managers et les propriétaires de produits, de services ou d'informations identifient
la manière de vérifier que les exigences de sécurité de l'information définies dans la politique de
sécurité de l'information, les politiques spécifiques à une thématique, les règles, les normes et autres
réglementations applicables, sont respectées. Il convient que des outils automatisés de mesure et de
génération de rapports soient envisagés pour réaliser des révisions régulières efficaces.
Si une non-conformité est détectée à l’issue de la révision, il convient que les responsables:
a) identifient les causes de la non-conformité;
b) évaluent le besoin d’actions correctives pour établir la conformité;
c) mettent en œuvre les actions correctives appropriées;
d) analysent les actions correctives choisies pour vérifier leur efficacité et identifier toutes les
défaillances ou faiblesses.
Il convient que les résultats des révisions et des actions correctives réalisées par les managers et les
propriétaires de produits, de services ou d'informations soient enregistrés et que ces enregistrements
soient tenus à jour. Il convient que les managers communiquent les résultats aux personnes réalisant
des révisions indépendantes (voir 5.35) lorsqu'une révision indépendante est menée dans leur domaine
de responsabilité.
Il convient que les actions correctives soient terminées le plus rapidement possible selon les risques.
Si elles ne sont pas achevées avant la prochaine révision planifiée, il convient au moins de traiter
l'avancement lors de cette révision.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
La surveillance opérationnelle de l’utilisation du système est traitée en 8.15, 8.16, 8.17.
5.37 Procédures d'exploitation documentées

de l'information
#Préventive #Confidentialité #Protéger #Gestion_des_actifs #Gouver-
#Corrective #Intégrité #Rétablir #Sécurité_physique nance_et_Éco-
#Disponibilité #Sécurité_système_et_réseau système
#Sécurité_des_applications #Protection
#Configuration_sécurisée #Défense
#Gestion_des_identités_et_des_accès
#Gestion_des_menaces_et_des_vulné-
rabilités
#Continuité
#Gestion_des_événements_de_sécu-
rité_de_l'information
Il convient que les procédures d'exploitation des moyens de traitement de l'information soient
documentées et mises à disposition du personnel qui en a besoin.
Objectif
S'assurer du fonctionnement correct et sécurisé des moyens de traitement de l'information.
Recommandations
Il convient que des procédures documentées soient élaborées pour les activités opérationnelles de
l'organisation associées à la sécurité de l'information, par exemple:
a) lorsque l'activité nécessite d’être effectuée de la même façon par plusieurs personnes;
b) lorsque l'activité est rarement effectuée, de sorte que la procédure risque d'avoir été oubliée lors de
l'exécution suivante;
c) lorsqu'il s'agit d'une nouvelle activité qui présente un risque si elle n'est pas effectuée correctement;
d) avant de transmettre l'activité à un nouveau personnel.
Il convient que les procédures d'exploitation spécifient:
a) les personnes responsables;
b) l'installation sécurisée et la configuration des systèmes;
c) le traitement et la manipulation des informations, qu'ils soient automatisés ou manuels;
d) la sauvegarde (voir 8.13) et la résilience;
e) les exigences de planification, y compris les interdépendances avec d'autres systèmes;
f) les instructions pour gérer les erreurs ou autres conditions exceptionnelles [par exemple, les
restrictions liées à l'utilisation des programmes utilitaires (voir 8.18)], susceptibles de survenir
lors de l'exécution de la tâche;
g) les relations avec le service d'assistance et la hiérarchie, y compris les relations avec le service
d'assistance externe, en cas de difficultés techniques ou opérationnelles inattendues;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
h) les instructions de manipulation des supports de stockage (voir 7.10 et 7.14);

i) les procédures de redémarrage et de récupération du système à appliquer en cas de défaillance du
système;
j) la gestion du système de traçabilité et des informations des journaux système (voir 8.15 et 8.17) et
des systèmes de surveillance vidéo (voir 7.4);
k) les procédures de surveillance, telles que la capacité, la performance et la sécurité (voir 8.6 et 8.16);
l) les instructions de maintenance.
Il convient que les procédures d'exploitation soient documentées et mises à jour, si besoin. Il convient
que les changements apportés aux procédures d'exploitation documentées soient autorisés. Lorsque
cela est techniquement réalisable, il convient que les systèmes d'information soient gérés de façon
cohérente en utilisant les mêmes procédures, outils et utilitaires.
6 Mesures de sécurité applicables aux personnes
6.1 Sélection des candidats

de l'information
#Préventive #Confidentialité #Protéger #Sécurité_des_res- #Gouvernance_
#Intégrité sources_humaines et_Écosystème
#Disponibilité
Il convient que des vérifications des références de tous les candidats à l'embauche soient réalisées avant
qu'ils n'intègrent l'organisation puis de façon continue en tenant compte des lois, des réglementations
et de l'éthique applicables, et il convient qu'elles soient proportionnelles aux exigences métier, à la
classification des informations auxquelles ils auront accès et aux risques identifiés.
Objectif
S'assurer que tous les membres du personnel sont éligibles et adéquats pour remplir les fonctions pour
lesquelles ils sont candidats, et qu'ils le restent tout au long de leur emploi.
Recommandations
Il convient qu’un processus de sélection soit réalisé pour tout le personnel, y compris le personnel à plein
temps, à temps partiel et temporaire. Lorsque ces personnes sont embauchées par l'intermédiaire de
fournisseurs de services, il convient de préciser les exigences de sélection dans les accords contractuels
entre l'organisation et les fournisseurs.
Il convient que les informations sur tous les candidats envisagés pour des fonctions au sein de
l'organisation soient collectées et gérées en tenant compte de toutes les législations appropriées en
vigueur dans la juridiction concernée. Dans certaines juridictions, il peut être exigé légalement de
l'organisation qu'elle informe au préalable les candidats des activités de sélection.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient que les vérifications prennent en compte le droit du travail et les législations relatives à la
protection de la vie privée et des DCP, et il convient que les vérifications incluent, lorsque c’est autorisé,
ce qui suit:
a) la disponibilité de références satisfaisantes (par exemple, références professionnelles et
personnelles);
b) une vérification (de la complétude et de l'exactitude) du curriculum vitæ du candidat;
c) la confirmation des qualifications académiques et professionnelles déclarées;
d) une vérification indépendante d’identité (par exemple, passeport ou autre document reconnu émis
par des autorités compétentes);
e) une vérification plus détaillée, telle que l’examen de la solvabilité ou du casier judiciaire si le
candidat postule une fonction critique.
Lorsqu'une personne est embauchée pour une fonctions spécifique liée à la sécurité de l'information, il
convient que l'organisation s'assure que le candidat:
a) possède les compétences nécessaires pour remplir la fonction de sécurité;
b) est digne de confiance pour remplir cette fonction, en particulier si la fonction est critique pour
l'organisation.
Qu'il s'agisse d'une première embauche ou d'une promotion, lorsqu'un poste implique l'accès aux moyens
de traitement de l'information et, en particulier, si ces moyens impliquent le traitement d'informations
confidentielles (par exemple, informations financières, à caractère personnel ou en rapport avec la
santé), il convient que l'organisation envisage de procéder à des vérifications supplémentaires plus
détaillées.
Il convient que des procédures définissent les critères et les limites à la réalisation des vérifications
(par exemple, qu'elles déterminent qui est habilité à sélectionner les candidats, de quelle manière, à
quel moment et pour quelles raisons les vérifications sont réalisées).
Dans les cas où les vérifications ne peuvent pas être terminées dans les temps, il convient de mettre en
œuvre des mesures d'atténuation jusqu'à ce que le contrôle soit terminé, par exemple:
a) intégration retardée;
b) affectation différée des actifs de l'entreprise;
c) intégration avec un accès restreint;
d) cessation du processus d’embauche.
Il convient de réitérer les vérifications de façon périodique pour confirmer que l’aptitude du personnel
est toujours adéquate par rapport au niveau de criticité de la fonction occupée.
6.2 Termes et conditions du contrat de travail

de l'information
#Disponibilité

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient que les contrats de travail indiquent les responsabilités du personnel et de l'organisation en
matière de sécurité de l'information.
Objectif
S'assurer que le personnel comprend ses responsabilités en termes de sécurité de l'information dans le
cadre des fonctions que l’organisation envisage de lui confier.
Recommandations
Il convient que les obligations contractuelles du personnel tiennent compte de la politique de sécurité
de l'information et des politiques spécifiques à une thématique pertinentes de l'organisation. De plus,
les aspects suivants peuvent être clarifiés et précisés:
a) les accords de confidentialité ou de non-divulgation qu'il convient que le personnel ayant accès
à des informations confidentielles signe avant d'obtenir l'accès aux informations et autres actifs
associés (voir 6.6);
b) les droits et responsabilités juridiques [par exemple, concernant les lois sur les droits d'auteur ou la
législation sur la protection des données (voir 5.32 et 5.34)];
c) les responsabilités relatives à la classification des informations et à la gestion des informations et
autres actifs associés de l'organisation, aux moyens de traitement de l'information et aux services
d'information utilisés par le personnel (voir 5.9 à 5.13);
d) les responsabilités relatives au traitement des informations reçues de la part des parties
intéressées;
e) les mesures à prendre si le personnel ne tient pas compte des exigences de sécurité de l'organisation
(voir 6.4).
Il convient que les responsabilités et fonctions de sécurité de l’information soient communiquées aux
candidats pendant le processus de pré-embauche.
Il convient que l'organisation s'assure que le personnel accepte les termes et conditions relatifs à la
sécurité de l'information. Il convient que ces termes et conditions soient appropriés par rapport à
la nature et à l'étendue de l’accès qu’il aura aux actifs de l'organisation associés aux services et aux
systèmes d'information. Il convient de réviser les termes et conditions relatifs à la sécurité de
l'information lorsque les lois, les réglementations, la politique de sécurité de l'information ou les
politiques spécifiques à une thématique changent.
Si nécessaire, il convient que les responsabilités indiquées dans les termes et conditions du contrat de
travail continuent à s'appliquer pendant une durée définie après la fin d’un emploi (voir 6.5).
Un code de conduite peut être utilisé pour indiquer les responsabilités de sécurité de l’information du
personnel concernant la confidentialité, la protection des DCP, l'éthique, l'utilisation appropriée des
informations et autres actifs associés de l'organisation, ainsi que les bonnes pratiques attendues par
l'organisation.
Une partie externe, à laquelle le personnel du fournisseur est associé, peut nécessiter d’être intégrée
aux accords contractuels au nom de la personne engagée sous contrat.
Si l'organisation n'est pas une entité juridique et qu'elle n'emploie aucun salarié, l'équivalent de l'accord
contractuel et des termes et conditions peut être envisagé selon les recommandations de la présente
mesure de sécurité.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
6.3 Sensibilisation, enseignement et formation en sécurité de l'information

#Disponibilité
Il convient que le personnel de l'organisation et les parties intéressées pertinentes reçoivent une
sensibilisation, un enseignement et des formations en sécurité de l'information appropriés, ainsi que
des mises à jour régulières de la politique de sécurité de l'information, des politiques spécifiques à une
thématique et des procédures de l'organisation qui soient pertinentes pour leur fonction.
Objectif
S'assurer que le personnel et les parties intéressées pertinentes connaissent et remplissent leurs
responsabilités en matière de sécurité de l'information.
Recommandations
Généralités
Il convient qu’un programme de sensibilisation, d’enseignement et de formation en sécurité de
l'information soit établi en cohérence avec la politique de sécurité de l'information, les politiques
spécifiques à une thématique et les procédures de l'organisation en matière de sécurité de l'information,
et qui tienne compte des informations de l'organisation à protéger et des mesures de sécurité de
l'information qui ont été mises en œuvre pour protéger des informations.
Il convient que la sensibilisation, l’enseignement et la formation en sécurité de l'information aient lieu
périodiquement. Les premières sessions de sensibilisation, d’enseignement et de formation peuvent
s'appliquer au nouveau personnel ou aux personnes affectées à de nouveaux postes ou à de nouvelles
fonctions avec des exigences de sécurité de l'information très différentes.
Il convient d'évaluer la compréhension du personnel à l'issue d’une activité de sensibilisation,
d'enseignement ou de formation afin de tester le transfert des connaissances et l'efficacité du
programme de sensibilisation, d'enseignement et de formation.
Sensibilisation
Il convient qu’un programme de sensibilisation à la sécurité de l'information vise à faire connaître au
personnel ses responsabilités en matière de sécurité de l'information et les moyens dont il dispose pour
s'acquitter de ces responsabilités.
Il convient de planifier le programme de sensibilisation en tenant compte des fonctions du personnel
au sein de l'organisation, qu'il s'agisse du personnel interne ou externe (par exemple, les consultants
externes ou le personnel des fournisseurs). Il convient que les activités du programme de sensibilisation
soient programmées dans le temps, de préférence à échéances régulières, de manière à ce qu’elles se
répètent et incluent le nouveau personnel. Il convient également que le programme de sensibilisation
s'appuie sur les enseignements tirés des incidents de sécurité de l'information.
Il convient que le programme de sensibilisation comporte un certain nombre d'activités de
sensibilisation via des canaux physiques ou virtuels appropriés, tels que des campagnes, livrets, posters,
bulletins d'information, sites web, sessions d'information, séances de briefing, modules d'apprentissage
en ligne et e-mails.
Il convient que la sensibilisation à la sécurité de l'information couvre des aspects généraux tels que:
a) l'engagement de la direction pour la sécurité de l'information dans l’ensemble de l'organisation;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) la connaissance des règles et des obligations en matière de sécurité de l'information, et des besoins
de s’y conformer, en tenant compte de la politique de sécurité de l'information et des politiques
spécifiques à une thématique, des normes, des lois, des statuts, des réglementations, des contrats et
des accords;
c) les responsabilités de chacun pour ses actions et ses inactions, et les responsabilités générales par
rapport à la sécurisation ou à la protection des informations appartenant à l'organisation et aux
parties intéressées;
d) les procédures de sécurité de l'information de base [par exemple, la déclaration des événements
de sécurité de l'information (6.8)] et les mesures de sécurité de base [par exemple, la sécurité des
mots de passe (5.17)];
e) les points de contact et les ressources pour obtenir des informations supplémentaires et des
conseils sur des sujets de sécurité de l'information, y compris des supports de sensibilisation en
sécurité de l’information supplémentaire.
Apprentissage et formation
Il convient que l'organisation identifie, prépare et mette en œuvre un plan de formation pour les équipes
techniques dont les fonctions nécessitent un ensemble de compétences et une expertise spécifiques.
Il convient que les équipes techniques disposent des compétences permettant de configurer et de
maintenir le niveau de sécurité requis pour les terminaux, systèmes, applications et services. S’il
manque des compétences, il convient que l'organisation prenne des mesures et les acquière.
Il convient que le programme d’enseignement et de formation envisage plusieurs formes [par exemple,
des conférences ou des séances d’autoformation, qui soient encadrées par des experts ou des consultants
(formation en milieu de travail), une rotation des membres du personnel pour suivre différentes
activités, le recrutement de personnes déjà qualifiées et l'embauche de consultants]. Ce programme
peut utiliser différents moyens de transmission, par exemple les salles de cours, l’enseignement à
distance, l’apprentissage en ligne, l’auto-formation, entre autres. Il convient que le personnel technique
maintienne ses connaissances à jour en s'abonnant à des bulletins d'information et des magazines
ou en assistant à des conférences et à des événements destinés au perfectionnement technique et
professionnel.
Lors de l’élaboration d’un programme de sensibilisation, il est important de ne pas se concentrer
seulement sur les questions «quoi?» et «comment?», mais également sur la question «pourquoi?»,
dans la mesure du possible. Il est important que le personnel comprenne les objectifs de la sécurité de
l'information et les effets éventuels, positifs et négatifs, de leur comportement sur l'organisation.
La sensibilisation, l’enseignement et la formation en sécurité de l'information peuvent faire partie ou
être réalisés avec d'autres activités, par exemple une formation sur le management de l'information en
général, les TIC, la sécurité, la protection de la vie privée ou la sûreté.
6.4 Processus disciplinaire

de l'information
#Préventive #Cor- #Confidentialité #Protéger #Ré- #Sécurité_des_res- #Gouvernance_
rective #Intégrité pondre sources_humaines et_Écosystème
#Disponibilité
Il convient de formaliser et de communiquer un processus disciplinaire permettant de prendre des
mesures à l'encontre du personnel et d’autres parties intéressées qui ont commis une violation de la
politique de sécurité de l'information.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
S'assurer que le personnel et d’autres parties intéressées pertinentes comprennent les conséquences
des violations de la politique de sécurité de l'information, prévenir ces violations, et traiter de manière
appropriée le personnel et d’autres parties intéressées qui ont commis des violations.
Recommandations
Il convient que le processus disciplinaire ne soit pas initié avant d'avoir vérifié qu’une violation de la
politique de sécurité de l'information s’est produite(voir 5.28).
Il convient que le processus disciplinaire formel apporte une réponse graduée qui tienne compte de
facteurs tels que:
a) la nature (qui, quoi, quand, comment) et la gravité de la violation et ses conséquences;
b) si la violation était intentionnelle (malveillante) ou non intentionnelle (accidentelle);
c) s’il s'agit d'une première infraction ou d'une récidive;
d) si le contrevenant a reçu une formation adéquate.
Il convient que la réponse tienne compte des exigences légales, statutaires, réglementaires,
contractuelles et métier applicables, ainsi que d’autres facteurs si nécessaire. Il convient également que
le processus disciplinaire constitue un élément dissuasif pour empêcher le personnel et d’autres parties
intéressées pertinentes d'enfreindre la politique de sécurité de l'information, les politiques spécifiques
à une thématique et les procédures relatives à la sécurité de l'information. Les violations délibérées de
la politique de sécurité de l'information peuvent nécessiter des mesures immédiates.
Il convient, dans la mesure du possible, de protéger l'identité des personnes faisant l'objet d'une mesure
disciplinaire conformément aux exigences applicables.
Lorsque des personnes font preuve d’un excellent comportement à l'égard de la sécurité de l'information,
elles peuvent être récompensées afin de promouvoir la sécurité de l'information et encourager les bons
comportements.
6.5 Responsabilités après la fin ou le changement d’un emploi

de l'information
#Disponibilité #Gestion_des_actifs
Il convient que les responsabilités et les obligations relatives à la sécurité de l'information qui restent
valables après la fin ou le changement d’un emploi, soient définies, appliquées et communiquées au
personnel et autres parties intéressées pertinents.
Objectif
Protéger les intérêts de l'organisation dans le cadre du processus de changement ou de fin d'un emploi
ou d’un contrat.
Recommandations
Il convient que le processus de gestion de la fin ou du changement d’un emploi définisse quelles
responsabilités et obligations relatives à la sécurité de l'information il convient de maintenir après

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
la fin ou le changement d’un emploi. Cela peut inclure la confidentialité des informations, la propriété
intellectuelle et d'autres connaissances acquises, ainsi que des responsabilités figurant dans tout autre
accord de confidentialité (voir 6.6). Il convient que les responsabilités et les obligations qui restent
valables après la fin de l’emploi ou du contrat figurent dans les termes et conditions d'embauche
(voir 6.2), du contrat ou de l'accord de la personne. D’autres contrats ou accords qui perdurent
pendant une période définie après la fin de l’emploi d’une personne peuvent également contenir des
responsabilités relatives à la sécurité de l'information.
Il convient que les changements de responsabilités ou d’emploi soient gérés comme la fin d’un emploi ou
de responsabilités actuels, associée à l’instauration de nouvelles responsabilités ou d’un nouvel emploi.
Il convient que les fonctions et responsabilités relatives à la sécurité de l'information détenues par toute
personne qui quitte ou change de poste soient identifiées et transférées à une autre personne.
Il convient d'établir un processus pour communiquer les changements et les procédures opérationnelles
au personnel, aux autres parties intéressées et aux contacts pertinents (par exemple, aux clients et
fournisseurs).
Il convient que le processus de fin ou de changement d’emploi soit également appliqué au personnel
externe (c'est-à-dire les fournisseurs) lorsqu’une fin d’emploi, de contrat ou de poste se produit dans
l'organisation, ou lorsqu’il y a un changement de poste au sein de l'organisation.
Dans plusieurs organisations, la fonction de ressources humaines est généralement responsable de
l’ensemble du processus de fin de l’emploi et collabore avec le supérieur hiérarchique de la personne en
transition pour gérer les aspects de sécurité de l'information des procédures concernées. Dans le cas du
personnel mis à disposition par une partie externe (par exemple, par un fournisseur), ce processus de
fin d'emploi est réalisé par la partie externe conformément au contrat entre l'organisation et la partie
externe.
6.6 Accords de confidentialité ou de non-divulgation

#Préventive #Confidentialité #Protéger #Sécurité_des_ressources_hu- #Gouvernance_
maines et_Écosystème
#Protection_des_informations
#Relations_fournisseurs
Il convient que les accords de confidentialité ou de non-divulgation représentant les besoins de
l'organisation relatives à la protection des informations soient identifiés, documents, régulièrement
révisés et signés par le personnel et les autres parties intéressées pertinentes.
Objectif
Assurer la confidentialité des informations accessibles par le personnel ou des parties externes.
Recommandations
Il convient que les accords de confidentialité ou de non-divulgation traitent de l’exigence de protection
des informations confidentielles en utilisant des termes juridiquement exécutoires. Les accords
de confidentialité ou de non-divulgation sont applicables aux parties intéressées et au personnel de
l'organisation. Selon les exigences de sécurité de l'information de l'organisation, il convient que les
termes des accords soient déterminés en tenant compte du type d'informations qui seront traitées, de
leur niveau de classification, de leur utilisation et de l'accès autorisé par l'autre partie. Pour identifier les

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
exigences de confidentialité et de non-divulgation, il convient de prendre en considération les éléments

suivants:
a) une définition des informations à protéger (par exemple, les informations confidentielles);
b) la durée d’un accord, y compris les cas où il peut être nécessaire de maintenir la confidentialité
indéfiniment ou jusqu'à ce que les informations deviennent publiques;
c) les actions requises lorsqu'un accord arrive à expiration;
d) les responsabilités et les actions des signataires pour éviter la divulgation non autorisée des
informations;
e) la propriété des informations, des secrets commerciaux et de la propriété intellectuelle, ainsi que
son lien avec la protection des informations confidentielles;
f) l'utilisation autorisée des informations confidentielles et les droits du signataire d’utiliser les
informations;
g) le droit d'auditer et de surveiller les activités impliquant des informations confidentielles dans le
cas de circonstances hautement sensibles;
h) le processus de notification et de déclaration de divulgation non autorisée ou de fuite d’informations
confidentielles;
i) les modalités de restitution ou de destruction des informations à l'expiration de l'accord;
j) les mesures à prendre prévues en cas de non-conformité avec l’accord.
Il convient que l'organisation prenne en compte la conformité avec les accords de confidentialité et de
non-divulgation selon la juridiction dans laquelle ils s'appliquent (voir 5.31, 5.32, 5.33, 5.34).
Il convient que les accords de confidentialité et de non-divulgation soient révisés de manière périodique
et lorsque des changements ayant une incidence sur ces exigences se produisent.
Les accords de confidentialité et de non-divulgation protègent les informations de l'organisation et
informent les signataires de leur responsabilité de protéger, d'utiliser et de diffuser les informations de
manière responsable et autorisée.
6.7 Travail à distance

de l'information
#Intégrité #Protection_des_informations
#Disponibilité #Sécurité_physique
#Sécurité_système_et_réseau
Il convient de mettre en œuvre des mesures de sécurité lorsque le personnel travaille à distance, pour
protéger les informations accessibles, traitées ou stockées en dehors des locaux de l'organisation.
Objectif
Assurer la sécurité des informations lorsque le personnel travaille à distance.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Le travail à distance a lieu lorsque le personnel de l'organisation travaille depuis un lieu situé en
dehors des locaux de l'organisation, en accédant aux informations, qu’elles soient sur papier ou
disponibles électroniquement via un équipement TIC. Les environnements de travail à distance
incluent ceux qualifiés de «télétravail», «lieu de travail flexible», «environnements de travail virtuels»
et «maintenance à distance».
NOTE Il est possible que toutes les recommandations de la présente mesure de sécurité ne puissent pas être
appliquées à cause de la législation et des réglementations locales dans différentes juridictions.
Il convient que les organisations autorisant les activités de travail à distance émettent une politique
spécifique à la thématique du travail à distance qui définisse les conditions et les restrictions
appropriées. Il convient de prendre en considération les aspects suivants s’ils sont jugés applicables:
a) le niveau de sécurité physique existant ou proposé sur le site de travail à distance, prenant en
compte le niveau de sécurité physique du lieu et de son environnement immédiat, notamment les
différentes juridictions dans lesquelles le personnel est présent;
b) les règles et les mécanismes de sécurité pour l'environnement physique distant, tels que les
armoires de rangement verrouillables, le transport sécurisé d'un lieu à l'autre et les règles d'accès
distant, du bureau propre, d’impression et d'élimination des informations et autres actifs associés,
et de déclaration des événements de sécurité de l'information (voir 6.8);
c) les environnements de travail à distance physiques prévus;
d) les exigences de sécurité des communications, en tenant compte du besoin d'accéder à distance aux
systèmes de l'organisation, de la sensibilité des informations consultées ou transmises sur le média
de communication et de la sensibilité des systèmes et des applications;
e) l'utilisation de l'accès à distance, tel que l'accès à un bureau virtuel qui permet le traitement et le
stockage des informations sur un équipement personnel;
f) la menace de l'accès non autorisé aux informations ou aux ressources par d'autres personnes
présentes sur le site de travail à distance (par exemple, des membres de la famille et des amis);
g) la menace de l'accès non autorisé aux informations ou aux ressources par d'autres personnes dans
les lieux publics;
h) l'utilisation de réseaux domestiques et de réseaux publics, et les exigences ou les restrictions
relatives à la configuration des services de réseaux sans fil;
i) l'utilisation de mesures de sécurité, telles que des pare-feu et une protection contre les programmes
malveillants;
j) des mécanismes sécurisés pour le déploiement et l'initialisation des systèmes à distance;
k) des mécanismes sécurisés d'authentification et des moyens permettant les droits d’accès privilégiés
tenant compte de la vulnérabilité des mécanismes d'authentification à un seul facteur lorsque
l'accès à distance au réseau de l'organisation est autorisé.
Il convient que les lignes directrices et les mesures à prendre en considération incluent:
a) la fourniture d’équipements et de meubles de rangement adaptés aux activités de travail à distance,
lorsque l’utilisation d’équipements personnels non soumis au contrôle de l'organisation n’est pas
autorisée;
b) la définition du travail autorisé, la classification des informations qui peuvent être détenues, ainsi
que les systèmes et services internes auxquels le travailleur à distance est autorisé à accéder;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) la mise à disposition d'une formation pour les personnes qui travaillent à distance et celles qui leur
apportent de l'assistance. Il convient que cette formation explique entre autres comment travailler
de manière sécurisée tout en travaillant à distance;
d) la fourniture d’équipements de communication adéquats, y compris les méthodes de sécurisation
de l'accès à distance, telles que les exigences relatives au verrouillage de l'écran du terminal et aux
temporisateurs d'inactivité; l'activation de la géolocalisation du terminal; l'installation de fonctions
d'effacement à distance;
e) la sécurité physique;
f) les règles et recommandations concernant l'accès de la famille et des visiteurs aux équipements et
aux informations;
g) la fourniture de services d'assistance et de maintenance pour les matériels et logiciels;
h) la fourniture d'une assurance;
i) les procédures relatives à la sauvegarde et à la continuité d'activité;
j) l'audit et la surveillance de la sécurité;
k) la révocation des autorisations et des droits d'accès, et la restitution des équipements lorsque les
activités de travail à distance sont terminées.
6.8 Déclaration des événements de sécurité de l'information

de l'information
#Détective #Confidentialité #Détecter #Gestion_des_événements_ #Défense
#Intégrité de_sécurité_de_l'information
#Disponibilité
Il convient que l'organisation fournisse un mécanisme au personnel pour déclarer rapidement les
événements de sécurité de l'information observés ou suspectés, à travers des canaux appropriés.
Objectif
Permettre la déclaration des événements de sécurité de l'information qui peuvent être identifiés par le
personnel, de manière rapide, cohérente et efficace.
Recommandations
Il convient que l’ensemble du personnel et des utilisateurs soient informés de leur responsabilité de
déclarer le plus rapidement possible les événements de sécurité de l'information afin de prévenir ou
de minimiser les conséquences des incidents de sécurité de l'information. Il convient également de
les informer de la procédure pour la déclaration des événements de sécurité de l'information et du
point de contact auprès duquel il convient de déclarer les événements. Il convient que le mécanisme
de déclaration soit aussi simple, accessible et disponible que possible. Les événements de sécurité de
l'information incluent les incidents, les violations et les vulnérabilités.
Des situations à considérer pour la déclaration d’événements de sécurité de l’information incluent:
a) des mesures de sécurité de l'information inefficaces;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) une violation du niveau prévu de confidentialité, d’intégrité ou de disponibilité des informations;

c) des erreurs humaines;
d) une non-conformité à la politique de sécurité de l'information, aux politiques spécifiques à une
thématique ou aux normes applicables;
e) une violation des mesures de sécurité physique;
f) des changements du système qui n’ont pas été soumis au processus de gestion des changements;
g) des dysfonctionnements ou autre comportement anormal du système d’origine logicielle ou
matérielle;
h) des violations d'accès;
i) des vulnérabilités;
j) la suspicion d'une infection par un logiciel malveillant.
Il convient que le personnel et les utilisateurs soient prévenus de ne pas tenter de prouver l'existence
des vulnérabilité de sécurité de l'information suspectées. Tester les vulnérabilités peut être interprété
comme un mauvais usage potentiel du système, peut aussi endommager le système d'information ou
le service et peut altérer ou masquer une preuve numérique. Enfin, cela peut engager la responsabilité
juridique de la personne qui réalise les tests.
Voir la série ISO/IEC 27035 pour des informations supplémentaires.
7 Mesures de sécurité physique
7.1 Périmètres de sécurité physique

de l'information
#Préventive #Confidentialité #Protéger #Sécurité_physique #Protection
#Intégrité
#Disponibilité
Il convient que les périmètres de sécurité soient définis et utilisés pour protéger les zones qui
contiennent les informations et autres actifs associés.
Objectif
Empêcher l’accès physique non autorisé, les dommages ou interférences portant sur les informations et
autres actifs associés de l'organisation.
Recommandations
Il convient que les lignes directrices suivantes soient prises en considération et mises en œuvre pour les
périmètres de sécurité physique, lorsque cela est jugé approprié:
a) définir les périmètres de sécurité et l'emplacement et la résistance de chacun des périmètres selon
les exigences de sécurité de l'information relatives aux actifs situés dans le périmètre;
b) disposer de périmètres solides physiquement pour un bâtiment ou un site contenant des moyens
de traitement de l'information (c’est-à-dire, il convient que le périmètre ou les zones ne présentent

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
pas de failles susceptibles de faciliter une effraction). Il convient que les toits extérieurs, les murs,
les plafonds et le sol du site soient construits de manière solide et que toutes les portes extérieures
soient protégées de manière adéquate contre les accès non autorisés avec des mécanismes de
contrôle (par exemple, barres, alarmes, verrous). Il convient que les portes et les fenêtres soient
verrouillées lorsque les lieux sont sans surveillance, et il convient d'envisager une protection
extérieure pour les fenêtres, en particulier au rez-de-chaussée; il convient d’envisager également
des points d’aération;
c) équiper d'une alarme, surveiller et tester toutes les portes coupe-feu dans un périmètre de sécurité
en même temps que les murs, pour établir le niveau de résistance requis conformément aux normes
appropriées. Il convient qu'elles fonctionnent de manière infaillible.
La protection physique peut être réalisée en créant une ou plusieurs barrières physiques autour des
locaux et des moyens de traitement de l'information de l'organisation.
Une zone sécurisée peut être un bureau fermant à clé ou plusieurs salles entourées d'une barrière de
sécurité physique interne continue. Des barrières et des périmètres supplémentaires pour contrôler
l'accès physique peuvent être nécessaires entre des zones ayant des exigences de sécurité différentes
à l'intérieur d'un périmètre de sécurité. Il convient que l'organisation envisage d’avoir des mesures de
sécurité physique qui peuvent être renforcées pendant des situations d’augmentation des menaces.
7.2 Les entrées physiques

de l'information
#Intégrité #Gestion_des_identités_et_
#Disponibilité des_accès
Il convient de protéger les zones sécurisées par des mesures de sécurité des accès et des points d'accès
appropriées.
Objectif
Assurer que seul l'accès physique autorisé aux informations et autres actifs associés de l'organisation
soit possible.
Recommandations
Généralités
Il convient que les points d'accès tels que les zones de livraison et de chargement et d’autres points par
lesquels des personnes non autorisées peuvent pénétrer dans les locaux soient surveillés et, si possible,
isolés des moyens de traitement de l'information, afin d’éviter les accès non autorisés.
Il convient de prendre en considération les lignes directrices suivantes:
a) limiter l'accès aux sites et aux bâtiments au personnel autorisé seulement. Il convient que le
processus de gestion des droits d'accès aux zones physiques inclue la fourniture, la révision
périodique, la mise à jour et la révocation des autorisations (voir 5.18);
b) conserver de manière sécurisée et contrôler régulièrement un journal physique ou un journal
d’audit électronique de tous les accès, et protéger l'ensemble des journaux (voir 5.33) et des
informations d'authentification sensibles;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) établir et mettre en œuvre un processus et des mécanismes techniques pour la gestion des accès
aux zones où les informations sont traitées ou stockées. Les mécanismes d'authentification incluent
l'utilisation de cartes d'accès, la biométrie ou l'authentification à deux facteurs, tels qu'une carte
d'accès et un code PIN secret. Il convient d'envisager l’utilisation de sas de sécurité pour l'accès aux
zones sensibles;
d) mettre en place une zone de réception surveillée par du personnel, ou d'autres moyens pour
contrôler l'accès physique au site ou au bâtiment;
e) inspecter et examiner les effets personnels du personnel et des parties intéressées à l'entrée et à la
sortie;
NOTE Une législation lois et des réglementations locales peuvent exister concernant la possibilité
d’inspecter les effets personnels.
f) exiger de l'ensemble du personnel et des parties intéressées le port d'un moyen d'identification
visible, et notifier immédiatement le personnel de sécurité s'ils rencontrent des visiteurs non
accompagnés ou quiconque ne portant pas d'identification visible. Il convient d'envisager le port de
badges faciles à distinguer pour mieux identifier les employés permanents, les fournisseurs et les
visiteurs;
g) attribuer au personnel des fournisseurs un accès limité aux zones sécurisées ou aux moyens de
traitement de l'information seulement si c’est nécessaire. Il convient que cet accès soit autorisé et
surveillé;
h) porter une attention particulière à la sécurité des accès physiques dans le cas des bâtiments
contenant les actifs de plusieurs organisations à;
i) concevoir des mesures de sécurité physique de manière à ce qu'elles puissent être renforcées
lorsque la probabilité d'incidents physiques augmente;
j) sécuriser d’autres points d’entrée, tels que les sorties de secours, des accès non autorisé;
k) mettre en place un processus de gestion des clés pour assurer la gestion des clés physiques ou
des informations d'authentification (par exemple, codes de verrouillage, serrures à combinaison
des bureaux, salles et équipements tels que des armoires verrouillables) et pour assurer la tenue
d'un journal ou d'un audit annuel des clés et que l'accès aux clés physiques ou aux informations
d'authentification est contrôlé (voir 5.17 pour des recommandations supplémentaires sur les
informations d'authentification).
Visiteurs
a) authentifier l'identité des visiteurs par un moyen approprié;
b) consigner la date et l'heure d'arrivée et de départ des visiteurs;
c) attribuer l'accès aux visiteurs uniquement à des fins spécifiques ayant fait l'objet d'une autorisation,
accompagné des instructions sur les exigences de sécurité de la zone et sur les procédures
d'urgence;
d) surveiller tous les visiteurs, sauf si une exception explicite leur a été accordée.
Zones de livraison et de chargement et réception de matériel
a) limiter l'accès aux zones de livraison et de chargement depuis l'extérieur du bâtiment au personnel
identifié et autorisé;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) concevoir les zones de livraison et de chargement de sorte que les livraisons puissent être chargées
et déchargées sans que le personnel chargé de la livraison n’ait accès sans autorisation aux autres
parties du bâtiment;
c) sécuriser les portes extérieures des zones de livraison et de chargement lorsque les portes menant
aux zones restreintes sont ouvertes;
d) inspecter et examiner les livraisons entrantes pour vérifier la présence éventuelle d’explosifs,
de produits chimiques ou autres substances dangereuses, avant qu'elles ne quittent les zones de
livraison et de chargement;
e) enregistrer les livraisons entrantes conformément aux procédures de gestion des actifs (voir 5.9
et 7.10) dès leur arrivée sur le site;
f) séparer physiquement les expéditions entrantes et sortantes, si possible;
g) inspecter les livraisons entrantes pour vérifier la présence d'éventuelles altérations survenues lors
de l'acheminement. Si une altération est identifiée, il convient de la déclarer immédiatement au
personnel de sécurité.
7.3 Sécurisation des bureaux, des salles et des installations

#Intégrité #Gestion_des_actifs
#Disponibilité
Il convient de concevoir et de mettre en œuvre des mesures de sécurité physique pour les bureaux, les
salles et les installations.
Objectif
Empêcher l’accès physique non autorisé, les dommages et les interférences impactant les informations
et autres actifs associés de l'organisation dans les bureaux, salles et installations.
Recommandations
Il convient de prendre en considération les lignes directrices suivantes pour sécuriser les bureaux, les
salles et les installations:
a) implanter les installations critiques de manière à éviter l'accès au public;
b) dans la mesure du possible, s'assurer que les bâtiments sont discrets et donnent le minimum
d'indications sur leur finalité, sans signe manifeste, à l’extérieur ou à l’intérieur du bâtiment, qui
permette d'identifier la présence d'activités de traitement de l'information;
c) configurer les installations afin d’empêcher que les informations ou les activités confidentielles
soient visibles et audibles depuis l'extérieur. Si nécessaire, il convient d'envisager la mise en place
d'un blindage électromagnétique;
d) ne pas rendre les répertoires, les annuaires téléphoniques internes et les plans accessibles en ligne
identifiant l'emplacement des moyens de traitement des informations confidentielles facilement
accessibles à toute personne non autorisée.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
7.4 Surveillance de la sécurité physique

#Préventive #Confidentialité #Protéger #Détecter #Sécurité_physique #Protection
#Détective #Intégrité #Défense
#Disponibilité
Il convient que les locaux soient continuellement surveillés pour empêcher l'accès physique non autorisé.
Objectif
Détecter et dissuader l’accès physique non autorisé.
Recommandations
Il convient que les locaux physiques soient contrôlés à l'aide de systèmes de surveillance, qui peuvent
inclure des vigiles, des alarmes anti-intrusion ou des systèmes de vidéosurveillance tels que les
télévisions en circuit fermé et les logiciels de gestion des informations de sécurité physique qui soient
gérés en interne ou par un fournisseur de services de surveillance.
Il convient que l'accès aux bâtiments qui hébergent des systèmes critiques soient continuellement
surveillés afin de détecter les accès non autorisés ou les comportements suspects au moyen de:
a) l’installation de systèmes de vidéosurveillance tels que des télévisions en circuit fermé permettant
de visionner et d'enregistrer l'accès aux zones sensibles à l'intérieur et à l'extérieur des locaux de
l'organisation;
b) l’installation, conformément aux normes applicables pertinentes, et le test périodique de détecteurs
de contact, de son ou de mouvement permettant de déclencher une alarme anti-intrusion, par
exemple:
1) l’installation de détecteurs de contact qui déclenchent une alarme lorsqu'un contact est établi
ou rompu à tout endroit où un contact peut être établi ou rompu (tel que les fenêtres, les portes
et sous les objets) en vue de servir d'alarme panique;
2) les détecteurs de mouvements basés sur la technologie infrarouge qui déclenchent une alarme
lorsqu'un objet passe dans leur champ de vision;
3) l’installation de capteurs sensibles au son du bris de verre qui peuvent être utilisés pour
déclencher une alarme afin d’alerter le personnel de sécurité;
c) l’utilisation de ces alarmes pour couvrir toutes les portes extérieures et les fenêtres accessibles.
Il convient que les zones inoccupées soient équipées d’alarmes activées en permanence. Il
convient également de couvrir d’autres zones (par exemple, les salles informatiques ou de
télécommunications).
Il convient que la conception des systèmes de surveillance soit gardée confidentielle car une divulgation
peut faciliter les effractions non détectées.
Il convient que les systèmes de surveillance soient protégés des accès non autorisés afin d'empêcher
que des personnes non autorisées aient accès aux informations de surveillance, telles que les
enregistrements vidéo, ou que les systèmes soient désactivés à distance.
Il convient de placer le tableau de commande du système d'alarme dans une zone équipée d'une
alarme et, dans le cas des alarmes de sûreté, dans un endroit offrant une issue de sortie facile pour la

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
personne qui active l'alarme. Il convient que le tableau de commande et les détecteurs soient équipés de
mécanismes inviolables. Il convient de tester régulièrement le système pour s'assurer qu'il fonctionne
comme prévu, en particulier si ses composants sont alimentés par batterie.
Il convient d'utiliser tout système de surveillance et de enregistrement en prenant en compte les
lois et réglementations locales, y compris la législation relative à la protection des données et des
DCP, en particulier en ce qui concerne la surveillance du personnel et les durées de conservation des
enregistrements vidéo.
7.5 Protection contre les menaces physiques et environnementales

de l'information
#Intégrité
#Disponibilité
Il convient de concevoir et de mettre en œuvre une protection contre les menaces physiques et
environnementales telles que les catastrophes naturelles et autres menaces physiques, intentionnelles
ou non intentionnelles, impactant l'infrastructure.
Objectif
Prévenir ou réduire les conséquences des événements issus des menaces physiques ou
environnementales.
Recommandations
Il convient de réaliser des appréciations du risque afin d'identifier les conséquences potentielles des
menaces physiques et environnementales avant de commencer des opérations critiques sur un site
physique, et ce à intervalles réguliers. Il convient de mettre en œuvre les protections nécessaires et
de surveiller les changements des menaces. Il convient de solliciter les conseils de spécialistes sur la
manière de gérer les risques provenant des menaces physiques et environnementales, telles que les
incendies, les inondations, les tremblements de terre, les explosions, les troubles sociaux, les déchets
toxiques, les émissions polluantes et autres formes de catastrophes naturelles ou de désastres d'origine
humaine.
Il convient que l'emplacement et la construction des locaux physiques tiennent compte de:
a) la topographie locale, telle que l'élévation appropriée, les plans d'eau et les failles tectoniques;
b) les menaces urbaines, telles que les lieux ayant une forte probabilité d'attirer de l'agitation politique,
des activités criminelles ou des attaques terroristes.
Sur la base des résultats des appréciations des risques, il convient que les menaces physiques et
environnementales pertinentes soient identifiées et que les mesures de sécurité appropriées soient
envisagées par exemple dans les contextes suivants:
a) incendie: installer et configurer des systèmes capables de détecter les incendies à leur tout début
pour envoyer des alarmes ou déclencher des systèmes d'extinction d'incendie afin de prévenir les
dommages du feu sur les supports de stockage et sur les systèmes de traitement de l'information
associés. Il convient de procéder à l'extinction de l'incendie avec la substance la plus appropriée par
rapport au milieu environnant (par exemple, le gaz dans les espaces confinés);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) inondation: installer des systèmes capables de détecter les inondations à leur tout début, sous le
sol des zones contenant des supports de stockage ou des systèmes de traitement de l'information.
Il convient que des pompes à eau ou des moyens équivalents soient rapidement accessibles en cas
d’inondation;
c) surtensions électriques: adopter des systèmes capables de protéger les systèmes d'information
client aussi bien que serveur contre les surtensions électriques ou des événements similaires afin
de minimiser les conséquences de tels événements;
d) explosifs et armes: procéder à des inspections aléatoires pour s'assurer de l'absence d'explosifs ou
d'armes sur le personnel, dans les véhicules ou dans les marchandises entrant dans des installations
de traitement d'informations sensibles.
Les coffres forts ou d'autres formes de moyens de stockage sécurisés peuvent protéger les informations
qui y sont stockées contre les sinistres tels que les incendies, les tremblements de terre, les inondations
ou les explosions.
Les organisations peuvent examiner les concepts de prévention de la criminalité à travers la
conception environnementale lors de la conception des mesures de sécurité permettant de sécuriser
leur environnement et de réduire les menaces urbaines. Par exemple, au lieu d'utiliser des bornes, des
statues ou des pièces d'eau peuvent servir à la fois d'aménagement et de barrière physique.
7.6 Travail dans les zones sécurisées

de l'information
#Intégrité
#Disponibilité
Il convient que des mesures de sécurité pour le travail dans les zones sécurisées soient conçues et mises
en œuvre.
Objectif
Protéger les informations et autres actifs associés dans les zones sécurisées contre tout dommage et
contre toutes interférences non autorisées par le personnel travaillant dans ces zones.
Recommandations
Il convient que les mesures de sécurité relatives au travail dans les zones sécurisées s'appliquent à tout
le personnel et qu’elles couvrent toutes les activités se déroulant dans la zone sécurisée.
a) informer le personnel de l'existence de zones sécurisées ou des activités qui s'y pratiquent,
seulement sur la base du besoin d'en connaître;
b) éviter le travail non supervisé/encadré dans les zones sécurisées, à la fois pour des raisons de
sûreté et pour réduire les possibilités d’activités malveillantes;
c) verrouiller physiquement et inspecter périodiquement les zones sécurisées inoccupées;
d) interdire les matériels photographiques, vidéo, audio ou autres matériels d’enregistrement, tels
que les appareils photo intégrés aux terminaux finaux des utilisateurs, sauf s’ils sont autorisés;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
e) superviser de manière appropriée le transport et l'utilisation des terminaux finaux des utilisateurs
dans les zones sécurisées;
f) afficher les procédures d'urgence de manière à ce qu'elles soient facilement visibles ou accessibles.
7.7 Bureau vide et écran vide

de l'information
Il convient que des règles du bureau vide, dégagé des documents papier et des supports de stockage
amovibles, et des règles de l'écran vide pour les moyens de traitement de l'information soient définies et
appliquées de manière appropriée.
Objectif
Réduire les risques d'accès non autorisé, de perte et d'endommagement des informations sur les
bureaux, les écrans et dans d’autres emplacements accessibles pendant et en dehors des heures
normales de travail.
Recommandations
Il convient que l'organisation établisse et communique à toutes les parties intéressées pertinentes une
politique spécifique à la thématique du bureau vide et de l'écran vide.
a) mettre sous clé les informations métier sensibles ou critiques (par exemple, au format papier ou sur
un support de stockage électronique) (de préférence dans un coffre-fort, une armoire ou une autre
forme de mobilier de sécurité) lorsqu’elles ne sont pas utilisée, en particulier lorsque les locaux
sont vides;
b) protéger les terminaux finaux des utilisateurs par des serrures à clé ou d’autres moyens de sûreté
lorsqu'ils ne sont pas utilisés ou sont laissés sans surveillance;
c) déconnecter les terminaux finaux des utilisateurs ou les protéger avec un verrouillage de l'écran
et du clavier contrôlé par un mécanisme d'authentification de l'utilisateur lorsqu’ils sont laissés
sans surveillance. Il convient de configurer tous les ordinateurs et systèmes avec une fonction de
temporisation ou de déconnexion automatique;
d) faire en sorte que l’initiateur récupère les sorties d'imprimantes ou de terminaux multifonction
immédiatement. L'utilisation d'imprimantes dotées d'une fonction d'authentification, de sorte que
seuls les initiateurs puissent récupérer leurs impressions, et uniquement lorsqu'ils se trouvent
devant l'imprimante;
e) stocker de façon sécurisée les documents et les supports de stockage amovibles contenant des
informations sensibles et, lorsqu'ils ne sont plus requis, les éliminer à l'aide de mécanismes de
destruction sécurisés;
f) établir et communiquer des règles et recommandations pour la configuration des fenêtres
contextuelles (pop-ups) sur les écrans (par exemple, désactiver les fenêtres contextuelles de
notification de réception d’un nouveau courrier électronique et de messagerie, si possible, pendant
les présentations, le partage d'écran ou dans un lieu public);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
g) effacer les informations sensibles ou critiques sur les tableaux blancs et autres types d'affichage
lorsqu'elles ne sont plus nécessaires.
Il convient que l'organisation dispose de procédures en place lorsque le personnel quitte les locaux,
notamment la réalisation d'une dernière inspection avant de partir pour s'assurer de ne pas laisser
d’actifs de l'organisation (par exemple, des documents tombés derrière des tiroirs ou un meuble).
7.8 Emplacement et protection du matériel

de l'information
#Disponibilité
Il convient de choisir un emplacement sécurisé pour le matériel et de le protéger.
Objectif
Réduire les risques liés à des menaces physiques et environnementales, et à des accès non autorisés et
à des dommages.
Recommandations
Il convient de prendre en considération les lignes directrices suivantes pour protéger le matériel:
a) choisir un emplacement pour le matériel permettant de minimiser les accès inutiles aux zones de
travail et d'empêcher les accès non autorisés;
b) positionner attentivement les moyens de traitement de l'information manipulant des données
sensibles, afin de réduire le risque que ces informations soient vues par des personnes non
autorisées pendant leur utilisation;
c) adopter des mesures de sécurité pour minimiser les risques de menaces physiques et
environnementales potentielles [par exemple, vol, incendie, explosions, fumée, fuites d'eau (ou
rupture de l'alimentation en eau), poussière, vibrations, effets chimiques, interférences sur la
fourniture d’électricité, interférences sur les communications, rayonnements électromagnétiques
et vandalisme];
d) définir des lignes directrices sur le fait de manger, boire et fumer à proximité des moyens de
traitement de l'information;
e) surveiller les conditions environnementales, telles que la température et l'humidité, pour détecter
les conditions pouvant nuire au fonctionnement des moyens de traitement de l'information;
f) équiper l'ensemble des bâtiments d'un paratonnerre et équiper toutes les lignes électriques et de
télécommunication entrantes de parafoudres;
g) envisager l'utilisation de méthodes de protection spécifiques, telles que les claviers à membrane,
pour le matériel des environnements industriels;
h) protéger le matériel traitant des informations confidentielles pour minimiser le risque de fuite
d'informations due au rayonnement électromagnétique;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
i) séparer physiquement les moyens de traitement de l'information gérés par l'organisation de ceux
qu'elle ne gère pas.
7.9 Sécurité des actifs hors des locaux

de l'information
#Disponibilité
Il convient de protéger les actifs hors du site.
Objectif
Empêcher la perte, l'endommagement, le vol ou la compromission des terminaux hors du site et
l'interruption des activités de l'organisation.
Recommandations
Tout terminal utilisé en dehors des locaux de l'organisation qui stocke ou traite des informations (par
exemple, terminal mobile), y compris les terminaux appartenant à l'organisation ou les terminaux
privés utilisés pour le compte de l'organisation [Bring your own device (BYOB)], a besoin de protection.
Il convient que l'utilisation de ces terminaux soit autorisée par la direction.
Il convient de prendre en considération les lignes directrices suivantes pour la protection des terminaux
qui stockent ou à traitent des informations en dehors des locaux de l'organisation:
a) ne pas laisser le matériel et les supports de stockage sortis des locaux sans surveillance dans les
lieux publics et non sécurisés;
b) respecter les instructions du fabricant pour la protection du matériel à tout moment (par exemple,
protection contre l’exposition aux champs électromagnétiques forts, l'eau, la chaleur, l'humidité, la
poussière);
c) lorsque du matériel circule hors des locaux de l'organisation entre différentes personnes ou
parties intéressées, tenir à jour un journal qui décrit la chaîne de traçabilité du matériel et inclut
au moins les noms et les organisations des personnes responsables du matériel. Il convient que
les informations qu'il n'est pas nécessaire de transférer avec l'actif soient supprimées de façon
sécurisée avant le transfert;
d) lorsque nécessaire et possible, demander une autorisation pour le matériel et les supports à sortir
des locaux de l'organisation et garder un enregistrement concernant ces retraits afin de maintenir
un système de traçabilité (voir 5.14);
e) protéger contre la consultation d'informations sur un terminal (par exemple, mobile ou ordinateur
portable) dans les transports publics, et contre les risques associés à la «lecture par-dessus
l'épaule»;
f) mettre en œuvre la géolocalisation et la fonction d'effacement à distance des données des
terminaux.
L'installation d'équipements en dehors des locaux de l'organisation [tels que les antennes et les
guichets automatiques de banque (GAB)] peut faire l’objet d’un risque plus élevé de dommage, de vol

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
ou d'interception. Ces risques peuvent varier de façon considérable selon les lieux et il convient de
les prendre en compte pour déterminer les mesures les mieux appropriées. Il convient de prendre en
considération les lignes directrices suivantes lors de l’installation de ces équipements en dehors des
locaux de l'organisation:
a) surveillance de la sécurité physique (voir 7.4);
b) protection contre les menaces physiques et environnementales (voir 7.5);
c) mesures de sécurité pour l'accès physique et l'inviolabilité;
d) contrôles d'accès logique.
Plus d’informations sur d’autres aspects de la protection des équipements de stockage et de traitement
des informations et des terminaux finaux des utilisateurs sont disponibles en 8.1 et 6.7.
7.10 Supports de stockage

#Disponibilité
Il convient de gérer les supports de stockage tout au long de leur cycle de vie d'acquisition, d'utilisation,
de transport et de mise au rebut conformément au schéma de classification et aux exigences de
traitement de l'organisation.
Objectif
Assurer que seuls la divulgation, la modification, le retrait ou la destruction autorisés des informations
de l'organisation sur des supports de stockage sont effectués.
Recommandations
Supports de stockage amovibles
Il convient de prendre en considération les lignes directrices suivantes pour la gestion des supports de
stockage amovibles:
a) établir une politique spécifique à la thématique de la gestion des supports de stockage amovibles
et communiquer la politique spécifique à cette thématique à toute personne qui utilise ou manipule
des supports de stockage amovibles;
b) lorsque nécessaire et possible, demander une autorisation pour les supports de stockage à sortir de
l'organisation et garder un enregistrement concernant ces retraits afin de maintenir un système de
traçabilité;
c) stocker tous les supports de stockage dans un environnement sûr et sécurisé selon la classification
de leurs informations, et les protéger des menaces environnementales (telles que la chaleur,
l’humidité, les champs électromagnétiques ou le vieillissement) conformément aux spécifications
du fabricant;
d) si la confidentialité ou l'intégrité de l'information représentent des facteurs importants, utiliser des
techniques cryptographiques pour protéger les informations qui se trouvent dans les supports de
stockage amovibles;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
e) pour atténuer les risques de dégradation des supports de stockage lorsque les informations
stockées sont toujours utilisées, transférer ces informations sur un support de stockage neuf, avant
qu'elles ne deviennent illisibles;
f) stocker plusieurs copies des informations importantes sur des supports de stockage séparés pour
réduire davantage les risques d'endommagement ou de perte fortuits des informations;
g) envisager de tenir un registre des supports de stockage amovibles pour limiter les risques de perte
d'informations;
h) activer les ports de supports de stockage amovibles (par exemple, les emplacements pour cartes SD
ou les ports bus USB) seulement si l'organisation a une raison de les utiliser;
i) lorsqu'il y a un besoin d'utiliser des supports de stockage amovibles, contrôler le transfert des
informations sur ces supports de stockage;
j) les information peuvent être vulnérables aux accès non autorisés, aux utilisations frauduleuse ou
aux altérations pendant le transport physique, par exemple lors de l'envoi de supports de stockage
par courrier postal ou par transporteur.
Cette mesure de sécurité «Supports de stockage» inclut les documents papier. Lors du transfert de
supports de stockage physiques, appliquer les mesures de sécurité de 5.14.
Réutilisation ou élimination sécurisée
Il convient que des procédures de réutilisation ou d'élimination sécurisées des supports de stockage
soient définies pour minimiser le risque de fuite d'informations confidentielles à des personnes non
autorisées. Il convient que les procédures de réutilisation ou d'élimination sécurisées des supports
de stockage contenant des informations confidentielles soient proportionnelles à la sensibilité de ces
informations. Il convient de prendre en considération les éléments suivants:
a) s’il y a un besoin dans l’organisation de réutiliser des supports de stockage contenant des
informations confidentielles, effacer les données de manière sécurisée ou formater le support de
stockage avant de le réutiliser (voir 8.10);
b) éliminer les supports de stockage contenant des informations confidentielles de manière sécurisée
lorsqu'ils ne sont plus nécessaires (par exemple, par destruction, broyage ou suppression sécurisés
du contenu);
c) disposer de procédures en place pour identifier les éléments qui peuvent nécessiter une élimination
sécurisée;
d) plusieurs organisations proposent des services de collecte et d’élimination pour les supports de
stockage. Il convient de sélectionner avec soin le fournisseur tiers externe approprié disposant des
mesures de sécurité et d'une expérience adéquates;
e) journaliser l'élimination des éléments sensibles afin de maintenir un système de traçabilité;
f) lorsque des supports de stockage sont accumulés pour être éliminés, prendre en compte l'effet
d'agrégation qui peut faire qu’une grande quantité d'informations non sensibles deviennent
sensibles.
Il convient de réaliser une appréciation du risque sur les terminaux endommagés contenant des
données sensibles afin de déterminer s'il convient que les éléments soient détruits physiquement plutôt
qu’envoyés en réparation ou mis au rebut (voir 7.14).
Lorsque les supports de stockage contiennent des informations confidentielles non chiffrées, il convient
d'envisager une protection physique supplémentaire du support de stockage.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
7.11 Services supports

de l'information
#Préventive #Intégrité #Protéger #Détecter #Sécurité_physique #Protection
#Détective #Disponibilité
Il convient que les moyens de traitement de l'information soient protégés contre les coupures de courant
et autres perturbations causées par des défaillances des services supports.
Objectif
Empêcher la perte, l'endommagement ou la compromission des informations et autres actifs associés,
ou l'interruption des activités de l'organisation, causés par les défaillances et les perturbations des
services supports.
Recommandations
Les organisations dépendent des services supports (par exemple, l'électricité, les télécommunications,
l’approvisionnement en eau, le gaz, l'assainissement, la ventilation et la climatisation) pour permettre
le fonctionnement de leurs moyens de traitement de l'information. Par conséquent, il convient que
l'organisation:
a) s'assure que les équipements supports des services sont configurés, exploités et maintenus
conformément aux spécifications du fabricant pertinentes;
b) s'assure que les services supports sont évalués régulièrement en ce qui concerne leur capacité à
répondre à l’augmentation des activités de l'organisation et des interactions avec d’autres services
supports;
c) s'assure que les équipements supports des services sont inspectés et testés régulièrement pour
s'assurer de leur bon fonctionnement;
d) si nécessaire, déclenche des alarmes pour détecter les dysfonctionnements des services supports;
e) si nécessaire, assure que les services supports disposent d'alimentations multiples sur des
itinéraires physiques d'acheminement différents;
f) s'assure que les équipements supports des services sont connectés à un réseau distinct de celui des
moyens de traitement de l'information, s’ils sont connectés à un réseau;
g) s'assure que les équipements supports des services sont connectés à Internet uniquement en cas de
besoin et uniquement de façon sécurisée.
Il convient que des systèmes d'éclairage et de communication d'urgence soient disponibles. Il convient
que les interrupteurs et les vannes de secours permettant de couper le courant, l'eau, le gaz ou autres
services soient placés près des sorties de secours ou des salles contenant les équipements. Il convient
que les coordonnées des personnes à contacter en cas d'urgence soient consignées et mises à disposition
du personnel en cas de panne.
Une redondance supplémentaire de la connectivité réseau peut être assurée au moyen d'itinéraires
d'acheminement multiples provenant de plusieurs fournisseurs de service.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
7.12 Sécurité du câblage

de l'information
#Disponibilité
Il convient que les câbles électriques, transportant des données ou supportant les services d'information
soient protégés contre des interceptions, interférences ou dommages.
Objectif
Empêcher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs
associés et l'interruption des activités de l'organisation liés au câblage électrique et de communications.
Recommandations
Il convient de prendre en considération les lignes directrices suivantes sur la sécurité du câblage:
a) enterrer les lignes électriques et les lignes de télécommunication branchées aux moyens de
traitement de l'information lorsque c’est possible, ou les soumettre à un moyen de protection
alternatif adéquat, tel que les protecteurs de câbles au sol et les poteaux électriques; si les câbles
sont enterrés, les protéger des coupures accidentelles (par exemple, en utilisant des conduits
blindés ou des signaux de présence);
b) séparer les câbles électriques des câbles de communications pour éviter les interférences;
c) pour les systèmes sensibles ou critiques, des mesures de sécurité supplémentaires à prendre en
considération incluent:
1) l'installation d'un conduit de câbles blindés et de locaux ou d’armoires verrouillés et d'alarmes
aux points d'inspection et de terminaison;
2) l'utilisation d'un blindage électromagnétique pour protéger les câbles;
3) des balayages techniques et des inspections physiques périodiques pour détecter les terminaux
non autorisés raccordés aux câbles;
4) l’accès contrôlé aux panneaux de raccordement et aux locaux des câbles (par exemple, avec des
clés mécaniques ou des codes PIN);
5) l'utilisation de câbles à fibre optique;
d) l'étiquetage des câbles à chaque extrémité avec suffisamment de détails sur la source et la
destination pour permettre l'identification physique et l'inspection du câble.
Il convient de solliciter les conseils de spécialistes sur la manière de gérer les risques provenant
d'incidents de câblages ou de dysfonctionnements.
Parfois, les câblages électriques et de télécommunications sont des ressources partagées par plusieurs
organisations occupant les mêmes locaux.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
7.13 Maintenance du matériel

de l'information
#Intégrité #Gestion_des_actifs #Résilience
#Disponibilité
Il convient d'entretenir le matériel correctement pour assurer la disponibilité, l'intégrité et la
confidentialité de l'information.
Objectif
Empêcher la perte, l'endommagement, le vol ou la compromission des informations et autres actifs
associés et l'interruption des activités de l'organisation causés par un manque de maintenance.
Recommandations
Il convient de prendre en considération les lignes directrices suivantes sur la maintenance du matériel:
a) entretenir le matériel selon les spécifications et la périodicité recommandées par le fournisseur;
b) mettre en œuvre un programme de maintenance et assurer sa supervision par l'organisation;
c) faire réaliser les réparations et la maintenance du matériel seulement par le personnel de
maintenance autorisé;
d) consigner toutes les défaillances suspectées ou avérées et toutes les tâches de maintenance
préventives ou correctives;
e) mettre en œuvre des mesures de sécurité appropriées lorsque la maintenance d'un matériel est
programmée, en prenant en compte le fait que cette maintenance soit effectuée par du personnel
sur site ou externe à l'organisation; soumettre le personnel de maintenance à un accord de
confidentialité approprié;
f) surveiller le personnel de maintenance lors de la réalisation de la maintenance sur site;
g) autoriser et contrôler les accès pour la maintenance à distance;
h) appliquer les mesures de sécurité relatives aux actifs hors des locaux (voir 7.9) si du matériel
contenant des informations est sorti des locaux pour maintenance;
i) se conformer à toutes les exigences de maintenance imposées par l'assurance;
j) avant de remettre le matériel en service après sa maintenance, l'inspecter pour s'assurer qu'il n'a
pas été altéré et qu'il fonctionne correctement;
k) appliquer les mesures relatives à l’élimination ou au recyclage sécurisé(e) du matériel (voir 7.14) s'il
est décidé que ce matériel doit être éliminé.
Le matériel inclut les composants techniques des moyens de traitement de l'information, les systèmes
d’alimentation sans interruption (UPS) et les batteries, les groupes électrogènes, les alternateurs et
les convertisseurs de puissance, les systèmes de détection d’intrusions physiques et les alarmes, les
détecteurs de fumée, les extincteurs, la climatisation et les ascenseurs.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
7.14 Élimination ou recyclage sécurisé(e) du matériel

de l'information
#Gestion_des_actifs
Il convient de vérifier les éléments du matériel contenant des supports de stockage pour s'assurer que
toute donnée sensible et que tout logiciel sous licence ont été supprimés ou écrasés de façon sécurisée,
avant son élimination ou sa réutilisation.
Objectif
Éviter la fuite d'informations à partir de matériel à éliminer ou à réutiliser.
Recommandations
Il convient de vérifier le matériel pour s’assurer s’il contient ou non des supports de stockage avant son
élimination ou sa réutilisation.
Il convient que les supports de stockage contenant des informations confidentielles ou protégées par
le droit d'auteur soient détruits physiquement, ou que les informations soient détruites, supprimées
ou écrasées en utilisant des techniques rendant l'information d'origine irrécupérable plutôt qu'en
utilisant la fonction de suppression standard. Voir 7.10 pour des recommandations détaillées sur
l’élimination sécurisée des supports de stockage et 8.10 pour des recommandations sur la suppression
des informations.
Il convient de retirer les étiquettes et marquages identifiant l'organisation ou indiquant la classification,
le propriétaire, le système ou le réseau avant l’élimination, y compris en cas de revente ou de don à une
organisation caritatif.
Il convient que l'organisation pense à retirer les mesures de sécurité telles que les contrôles d'accès ou
les équipements de surveillance à la fin du bail ou lorsqu’elle déménage. Cela dépend de facteurs tels
que:
a) son contrat de location stipulant la remise de l'installation dans son état d'origine;
b) la minimisation du risque de laisser des systèmes contenant des informations sensibles aux mains
du prochain locataire (par exemple, listes d'accès des utilisateurs, fichiers vidéo ou fichiers images);
c) la possibilité de réutiliser les mesures de sécurité dans l'installation suivante.
Le matériel endommagé contenant des supports de stockage peuvent nécessiter une appréciation du
risque pour déterminer s'il convient de détruire physiquement les éléments plutôt que de les faire
réparer ou de les éliminer. Les informations peuvent être compromises à cause de l’élimination ou de la
réutilisation imprudentes du matériel.
En plus de sécuriser l'effacement des disques, le chiffrement intégral des disques réduit le risque de
divulgation des informations confidentielles lorsque le matériel est éliminé ou réutilisé, pourvu que:
a) le processus de chiffrement soit suffisamment robuste et couvre l'intégralité du disque (y compris
les espaces libres et les fichiers swap);
b) les clés cryptographiques soient suffisamment longues pour résister aux attaques par force brute;
c) les clés cryptographiques soient elles-mêmes tenues confidentielles (par exemple, elles ne sont
jamais stockées sur le même disque).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Pour des conseils supplémentaires sur la cryptographie, voir 8.24.

Les techniques d'écrasement sécurisé des supports de stockage diffèrent en fonction de la technologie
du support de stockage et du niveau de classification des informations sur le support de stockage. Il
convient d’examiner les outils d'écrasement pour s'assurer qu'ils sont adaptés à la technologie du
support de stockage.
Voir l'ISO/IEC 27040 pour plus d'informations sur les méthodes de nettoyage des supports de stockage.
8 Mesures de sécurité technologiques
8.1 Terminaux finaux des utilisateurs

de l'information
#Intégrité #Protection_des_informa-
#Disponibilité tions
Il convient de protéger les informations stockées, traitées ou accessibles via des terminaux finaux des
utilisateurs.
Objectif
Protéger les informations contre les risques liés à l'utilisation de terminaux finaux des utilisateurs.
Recommandations
Généralités
Il convient que l'organisation établisse une politique spécifique à la thématique de la configuration et
de la manipulation sécurisées des terminaux finaux des utilisateurs. Il convient de communiquer la
politique spécifique à cette thématique à tout le personnel concerné et de prendre en considération ce
qui suit:
a) le type d'information et le niveau de classification que les terminaux finaux des utilisateurs peuvent
détenir, traiter, stocker ou prendre en charge;
b) enregistrement des terminaux finaux des utilisateurs;
c) exigences pour la protection physique;
d) restriction de l'installation de logiciels (par exemple, contrôlée à distance par des administrateurs
système);
e) exigences relatives aux logiciels des terminaux finaux des utilisateurs (notamment les versions des
logiciels) et à l'application des mises à jour (par exemple, mises à jour automatiques activées);
f) règles de connexion aux services d'information, aux réseaux publics ou à tout autre réseau en
dehors des locaux (par exemple, exigeant l'utilisation d’un pare-feu personnel);
g) contrôles d'accès;
h) chiffrement des terminaux de stockage;
i) protection contre les programmes malveillants;
j) désactivation, effacement des données ou verrouillage à distance;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
k) sauvegardes;
l) utilisation des services web et des applications web;
m) analyse du comportement des utilisateurs finaux (voir 8.16);
n) utilisation de terminaux démontables, y compris de dispositifs de mémoires amovibles, et
possibilité de désactiver les ports physiques (par exemple, ports USB);
o) utilisation de fonctions de partitionnement, si le terminal final de l'utilisateur les prend en charge,
qui peuvent séparer de façon sécurisée les informations et autres actifs associés de l'organisation
(par exemple, les logiciels) du reste des informations et autres actifs associés présents sur le
terminal.
Il convient de prendre en considération les cas où les informations sont si sensibles qu’elles peuvent
uniquement être consultées via les terminaux finaux des utilisateurs, mais ne pas être stockées sur
ces terminaux. Dans de tels cas, des systèmes de protection techniques supplémentaires peuvent être
requis sur le terminal. Par exemple, s'assurer que le téléchargement de fichiers pour le travail hors ligne
est désactivé et que le stockage local, tel que sur la carte SD, est désactivé.
Dans la mesure du possible, il convient d'appliquer les recommandations de la présente mesure de
sécurité par le biais de la gestion des configurations (voir 8.9) ou d'outils automatisés.
Responsabilités de l'utilisateur
Il convient que tous les utilisateurs soient sensibilisés aux exigences et procédures de sécurité destinées
à la protection des terminaux finaux des utilisateurs, ainsi qu'aux responsabilités qui leur incombent
pour la mise en œuvre de ces mesures de sécurité. Il convient de conseiller aux utilisateurs de:
a) se déconnecter des sessions actives et arrêter les services lorsqu'ils n'en ont plus besoin;
b) protéger les terminaux finaux des utilisateurs contre les utilisations non autorisées à l’aide d'une
mesure de sécurité physique (par exemple, verrouillage par clé ou verrous spéciaux) et d'une
mesure de sécurité logique (par exemple, accès par mot de passe) lorsqu’ils ne sont pas utilisés; ne
pas laisser des terminaux contenant des informations métier importantes, sensibles ou critiques
sans surveillance;
c) utiliser des terminaux avec une attention particulière dans les lieux publics, les bureaux ouverts,
les lieux de réunion et autres zones non protégées (par exemple, éviter de lire des informations
confidentielles si des personnes peuvent lire derrière l'utilisateur, utiliser des filtres de
confidentialité pour écrans);
d) protéger physiquement les terminaux finaux des utilisateurs contre le vol (par exemple, dans les
voitures ou autres moyens de transport, chambres d'hôtel, centres de conférences ou salles de
réunion).
Il convient qu’une procédure spécifique prenant en compte les exigences légales, statutaires,
réglementaires, contractuelles (y compris les exigences d'assurance) et autres exigences de sécurité de
l'organisation soit établie, pour les cas de vol ou de perte de terminaux finaux des utilisateurs.
Utilisation de terminaux personnels
Lorsque l'organisation autorise l'utilisation de terminaux personnels [parfois désignée par l'acronyme
BYOD (bring your own device)], en plus des recommandations données dans la présente mesure de
sécurité, il convient de prendre en considération ce qui suit:
a) séparation entre l'utilisation personnelle et l'utilisation professionnelle des terminaux, notamment
avec l’utilisation d'un logiciel permettant cette séparation et la protection des données métier sur
un appareil privé;
b) permettre l'accès aux informations métier seulement lorsque les utilisateurs ont reconnu leurs
obligations (protection physique, mise à jour des logiciels, etc.), renoncer à la propriété des données

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
métier et permettre l’effacement à distance des données par l'organisation en cas de vol ou de perte
du terminal, ou lorsque l'utilisation du service n'est plus autorisée. Dans ces cas, il convient de tenir
compte de la législation sur la protection des DCP;
c) les politiques spécifiques à une thématique et les procédures pour prévenir les litiges relatifs aux
droits de propriété intellectuelle développée sur un équipement privé;
d) l'accès à l’équipement privé (pour vérifier le niveau de sécurité de l’appareil ou lors d'une enquête),
qui peut être interdit par la loi;
e) les contrats de licences logicielles qui font que les organisations peuvent devenir responsables
de l'octroi de licences pour des logiciels clients sur des terminaux finaux des utilisateurs qui
appartiennent au personnel et à des utilisateurs de parties externes.
Connexions sans fil
Il convient que l'organisation établisse des procédures pour:
a) la configuration des connexions sans fil sur les terminaux (par exemple, désactivation des
protocoles vulnérables);
b) l'utilisation de connexions filaires ou sans fil disposant d'une bande passante appropriée
conformément aux politiques spécifiques à une thématique pertinentes (par exemple, si des
sauvegardes ou des mises à jour logicielles sont nécessaires).
Les mesures de sécurité visant à protéger les informations des terminaux finaux des utilisateurs
varient selon que le terminal final de l’utilisateur est utilisé uniquement à l'intérieur des locaux et
des connexions réseau sécurisés de l'organisation, ou s'il est exposé à une augmentation des menaces
physiques et de celles liées aux réseaux à l’extérieur de l'organisation.
Les connexions sans fil pour les terminaux finaux des utilisateurs sont similaires aux autres types
de connexions réseau, mais elles présentent des différences importantes qu'il convient de prendre en
compte lors de l’identification des mesures de sécurité. En particulier, la sauvegarde des informations
stockées sur les terminaux finaux des utilisateurs peut parfois échouer à cause d'une bande passante
limitée ou parce que les terminaux finaux des utilisateurs ne sont pas connectés au moment où les
sauvegardes sont programmées.
Pour certains ports USB, tels que USB-C, la désactivation du port USB n'est pas possible car celui-ci est
utilisé à d'autres fins (par exemple, alimentation électrique et sortie d’affichage).
8.2 Droits d'accès privilégiés
Type de mesure de Propriétés de Concepts de Capacités opérationnelles Domaines

sécurité sécurité cybersécurité de sécurité
de l'information
#Préventive #Confidentialité #Protéger #Gestion_des_identités_et_des_ #Protection
#Intégrité accès
#Disponibilité
Il convient de limiter et de gérer l'attribution et l'utilisation des droits d'accès privilégiés.
Objectif
S'assurer que seuls les utilisateurs, composants logiciels et services autorisés sont dotés de droits
d'accès privilégiés.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient de contrôler l'attribution des droits d’accès privilégiés à travers un processus d'autorisation
conformément à la politique spécifique à la thématique du contrôle d'accès applicable (voir 5.15). Il
convient de prendre en considération ce qui suit:
a) identifier les utilisateurs qui ont besoin de droits d’accès privilégiés pour chaque système ou
processus (par exemple, les systèmes d'exploitation, les systèmes de gestion de bases de données et
les applications);
b) attribuer des droits d’accès privilégiés aux utilisateurs au besoin et au cas par cas, conformément à
la politique spécifique à la thématique du contrôle d'accès (voir 5.15) (c'est-à-dire uniquement à des
personnes disposant des compétences nécessaires pour réaliser des activités nécessitant des accès
privilégiés et sur la base du minimum requis pour leurs fonctions opérationnelles);
c) tenir à jour un processus d'autorisation (c'est-à-dire, déterminer qui peut autoriser les droits d’accès
privilégiés, ou ne pas accorder de droits d’accès privilégiés tant que le processus d'autorisation
n'est pas terminé) et un enregistrement de tous les privilèges attribués;
d) définir et mettre en œuvre les exigences liées à l'expiration des droits d’accès privilégiés;
e) prendre des mesures pour s'assurer que les utilisateurs ont conscience de leurs droits d’accès
privilégiés et savent quand ils sont en mode d'accès privilégié. Des mesures possibles incluent
l'utilisation d’identités utilisateur spécifiques, de paramètres d'interface utilisateur ou même d’un
matériel spécifique;
f) les exigences d'authentification relatives aux droits d’accès privilégiés peuvent être plus élevées que
les exigences relatives aux droits d'accès normaux. Une ré-authentification ou une authentification
renforcée peuvent être nécessaires avant de réaliser un travail avec des droits d’accès privilégiés;
g) régulièrement et après tout changement organisationnel, passer en revue les utilisateurs travaillant
avec des droits d’accès privilégiés afin de vérifier si leurs obligations, fonctions, responsabilités et
compétences justifient encore qu'ils travaillent avec des droits d’accès privilégiés (voir 5.18);
h) établir des règles spécifiques afin d’éviter l'utilisation d'identifiants utilisateurs d'administration
génériques (tels que «root»), en fonction des possibilités de configuration des systèmes. Gérer et
protéger les informations d'authentification de ces identités (voir 5.17);
i) accorder des droits d’accès privilégiés temporaires seulement pour la durée nécessaire pour
mettre en œuvre les changements ou les activités approuvés (par exemple, pour des activités
de maintenance ou certains changements critiques), plutôt que d'accorder des droits d’accès
privilégiés de façon permanente. Cette approche est souvent qualifiée de «procédure bris de glace»
et elle est souvent automatisée par des technologies de gestion des accès privilégiés;
j) journaliser tous les accès privilégiés aux systèmes à des fins d'audit;
k) ne pas partager ni lier des identités dotées de droits d’accès privilégiés entre plusieurs personnes,
attribuer à chaque personne une identité distincte qui permet l’attribution de droits d’accès
privilégiés spécifiques. Les identités peuvent être groupées (par exemple, en définissant un groupe
d'administrateurs) afin de simplifier la gestion des droits d’accès privilégiés;
l) utiliser les identités dotées de droits d’accès privilégiés seulement pour réaliser des tâches
d'administration et non dans le cadre des tâches générales quotidiennes [c'est-à-dire consultation
de la messagerie ou accès à Internet (il convient que les utilisateurs disposent d'une identité réseau
normale distincte pour ces activités)].
Les droits d’accès privilégiés sont des droits d'accès accordés à une identité, une fonction ou un
processus, qui permettent la réalisation d'activités que des utilisateurs ou processus normaux ne
peuvent pas effectuer. Les fonctions d'administrateur système nécessitent généralement des droits
d’accès privilégiés.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Une utilisation inappropriée des privilèges d’administrateur système (toute fonctionnalité ou

infrastructure d'un système d'information qui permet à l'utilisateur de contourner les mesures de
sécurité d’un système ou d'une application) constitue un facteur majeur contribuant aux défaillances ou
violations des systèmes.
Plus d’informations sur la gestion des accès et la gestion sécurisée de l'accès aux informations et aux
ressources des technologies d'information et de communication sont disponibles dans l'ISO/IEC 29146.
8.3 Restrictions d'accès aux informations

de l'information
#Intégrité accès
#Disponibilité
Il convient que l'accès aux informations et autres actifs associés soit restreint conformément à la
politique spécifique à la thématique du contrôle d'accès qui a été établie.
Objectif
Assurer les accès autorisés seulement et empêcher les accès non autorisés aux informations et autres
actifs associés.
Recommandations
Il convient que l'accès aux informations et autres actifs associés soit restreint conformément aux
politiques spécifiques à une thématique établies. Il convient de prendre en considération ce qui suit afin
d'appuyer les exigences relatives aux restrictions d'accès:
a) ne pas permettre l'accès aux informations sensibles à des identités d'utilisateurs inconnues ou de
façon anonyme. Il convient d’accorder l'accès public ou anonyme seulement à des emplacements de
stockage qui ne contiennent aucune information sensible;
b) fournir des mécanismes de configuration pour contrôler l'accès aux informations dans les systèmes,
applications et services;
c) contrôler quelles données peuvent être accessibles par un utilisateur donné;
d) contrôler quelles identités ou quel groupe d'identités bénéficient d'un type d’accès donné, tel qu'en
lecture, en écriture, en suppression et en exécution;
e) fournir des contrôles d'accès physiques ou logiques permettant l'isolation des applications, données
d’applications ou systèmes sensibles.
De plus, il convient que des techniques et processus de gestion dynamique des accès permettant de
protéger les informations sensibles qui ont une valeur importante pour l'organisation soient prises en
considération lorsque l'organisation:
a) a besoin d’un contrôle granulaire sur qui peut accéder à ces informations, pendant quelle durée et
de quelle manière;
b) veut partager ces informations avec des personnes externes à l'organisation et garder un contrôle
sur les personnes qui peuvent y accéder;
c) veut gérer de façon dynamique, en temps réel, l'utilisation et la diffusion de ces informations;
d) veut protéger ces informations contre les modifications, la reproduction et la diffusion (y compris
l’impression) non autorisées;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
e) veut surveiller l'utilisation des informations;

f) veut enregistrer tout changement apporté à ces informations dans le cas où une future enquête
serait nécessaire.
Il convient que les techniques de gestion dynamique des accès protègent les informations tout au long
de leur cycle de vie (c’est-à-dire création, traitement, stockage, transmission et élimination), y compris:
a) définition de règles relatives à la gestion dynamique des accès basées sur des cas d'utilisation
spécifiques, en prenant en considération:
1) l'attribution des autorisations d'accès sur la base de l'identité, du terminal, du lieu ou de
l'application;
2) l’utilisation du schéma de classification afin de déterminer quelles informations ont besoin
d’être protégées avec des techniques de gestion dynamique des accès;
b) la mise en place de processus opérationnels, de surveillance et de notification, et d’une
infrastructure technique support.
Il convient que les systèmes de gestion dynamique des accès protègent les informations en:
a) exigeant une authentification, des identifiants appropriés ou un certificat pour accéder aux
informations;
b) limitant l'accès, par exemple à une période de temps déterminée (par exemple, après une date
donnée ou jusqu'à une date donnée);
c) utilisant le chiffrement pour protéger les informations;
d) définissant les autorisations d'impression pour les informations;
e) enregistrant qui accède aux informations et comment les informations sont utilisées;
f) générant des alertes si des tentatives d’utilisation abusive des informations sont détectées.
Les techniques de gestion dynamique des accès et d'autres technologies de protection des informations
dynamiques peuvent assurer la protection des informations même si les données sont partagées au-
delà de l'organisation d'origine, où les contrôles d'accès traditionnels ne peuvent pas être appliqués.
Elles peuvent être appliquées aux documents, courriers électroniques ou autres fichiers contenant des
informations afin de limiter les utilisateurs pouvant accéder au contenu et les façons d'y accéder. Elles
peuvent être à un niveau de granularité donné et peuvent être adaptées tout au long du cycle de vie des
informations.
Les techniques de gestion dynamique des accès ne remplacent pas la gestion des accès classique
[par exemple, utilisation des listes de contrôle d'accès (ACL, Access Control Lists)], mais elles peuvent
ajouter des facteurs supplémentaires pour la conditionnalité, l'évaluation en temps réel, la réduction
des données à la volée et d'autres améliorations qui peuvent être utiles pour les informations les plus
sensibles. Elles offrent un moyen de contrôler l'accès à l’extérieur de l'environnement de l'organisation.
La réponse aux incidents peut être assurée par les techniques de gestion dynamique des accès, en
sachant que les autorisations peuvent être modifiées ou révoquées à tout moment.
Des informations supplémentaires sur un cadre pour la gestion des accès sont disponibles dans
l'ISO/IEC 29146.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.4 Accès aux codes source

de l'information
#Préventive #Confidentialité #Protéger #Gestion_des_identités_et_des_accès #Protection
#Intégrité #Sécurité_des_applications
#Disponibilité #Configuration_sécurisée
Il convient de gérer de manière appropriée l'accès en lecture et en écriture au code source, aux outils de
développement et aux bibliothèques de logiciels.
Objectif
Empêcher l'introduction d'une fonctionnalité non autorisée, éviter les modifications non intentionnelles
ou malveillantes et préserver la confidentialité de la propriété intellectuelle importante.
Recommandations
Il convient de contrôler de manière stricte l'accès aux codes source et aux éléments associés (tels que
conceptions, spécifications, plans de vérification et de validation) et aux outils de développement (par
exemple, compilateurs, générateurs, outils d'intégration, plateformes de test et environnements).
En ce qui concerne les codes source, ceci peut être réalisé en contrôlant le stockage central d’un code,
de préférence dans le système de gestion du code source.
L'accès en lecture et l'accès en écriture aux codes source peuvent différer selon la fonction du personnel.
Par exemple, l'accès en lecture aux codes source peut être largement fourni au sein de l'organisation,
mais l'accès en écriture aux codes source est seulement accordé à des employés privilégiés ou à des
propriétaires désignés. Lorsque des composants d’un code sont utilisés par plusieurs développeurs au
sein d'une organisation, il convient de mettre en œuvre un accès en lecture à un répertoire de code
centralisé. De plus, si des composants d’un code source libre ou d’un code de tierces parties sont utilisés
dans une organisation, l'accès en lecture à ces répertoires de code externe peut être largement fourni.
Cependant, il convient que l'accès en écriture soit toujours restreint.
Il convient de prendre en considération les lignes directrices suivantes pour contrôler l'accès
aux bibliothèques de codes source des programmes afin de réduire la possibilité d'altération des
programmes informatiques:
a) gérer l'accès aux codes source des programmes et aux bibliothèques des codes source de
programmes conformément aux procédures établies;
b) attribuer l'accès en lecture et en écriture aux codes source en fonction des besoins métier et le
gérer pour traiter les risques d'altération ou d’utilisation abusive et conformément aux procédures
établies;
c) mettre à jour le code source et les éléments associés et attribuer l'accès au code source conformément
aux procédures de contrôle des changements (voir 8.32) et réaliser l’attribution d’accès seulement
après avoir reçu l'autorisation appropriée;
d) ne pas accorder aux développeurs un accès direct au répertoire de code source, mais à travers des
outils de développement qui contrôlent les activités et les autorisations sur le code source;
e) garder les listings des programmes dans un environnement sécurisé, où il convient que les accès en
lecture et en écriture soient gérés et attribués de manière appropriée;
f) tenir un journal d'audit de tous les accès et de toutes les modifications apportées au code source.
Si le code source du programme est destiné à être publié, il convient d'envisager des mesures de sécurité
supplémentaires pour apporter l'assurance de son intégrité (par exemple, signature électronique).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Si l'accès au code source n'est pas contrôlé correctement, le code source peut être modifié ou certaines
données dans l'environnement de développement (par exemple, copies de données de production,
détails de configuration) peuvent être récupérées par des personnes non autorisées.
8.5 Authentification sécurisée

de l'information
#Intégrité accès
#Disponibilité
Il convient de mettre en œuvre des technologies et procédures d'authentification sécurisée sur la
base des restrictions d'accès aux informations et de la politique spécifique à la thématique du contrôle
d'accès.
Objectif
S'assurer qu'un utilisateur ou une entité est authentifié de façon sécurisée lorsque l'accès aux systèmes,
applications et services lui est accordé.
Recommandations
Il convient de choisir une technique d'authentification appropriée pour vérifier l'identité déclarée d’un
utilisateur, logiciel, messages et autres entités.
Il convient que la robustesse de l'authentification soit adaptée à la classification des informations
à consulter. Lorsqu'une authentification forte et une vérification de l’identité sont requis, il convient
d'utiliser des méthodes d'authentification autres que les mots de passe, telles que des certificats
numériques, des cartes à puce, des jetons ou des moyens biométriques.
Il convient que les informations d'authentification soient accompagnées par des facteurs
d'authentification supplémentaires pour accéder aux systèmes d'information critiques (également
désigné sous le nom «d'authentification multi-facteurs»). L’utilisation d’une combinaison de plusieurs
facteurs d'authentification, tels que ce que vous savez, ce que vous avez et ce que vous êtes, réduit les
possibilités d'accès non autorisés. L'authentification multi-facteurs peut être combinée avec d'autres
techniques pour exiger des facteurs additionnels sous des circonstances spécifiques, sur la base de
règles et de schémas prédéfinis, tels que l’accès depuis un lieu inhabituel, depuis un terminal inhabituel
ou à une heure inhabituelle.
Il convient d'invalider les informations d'authentification biométrique si jamais elles sont compromises.
L'authentification biométrique peut être indisponible selon les conditions d'utilisation (par exemple,
humidité ou vieillissement). Pour anticiper ces problèmes, il convient que l'authentification biométrique
soit accompagnée d’au moins une technique d'authentification alternative.
Il convient que la procédure de connexion à un système ou à une application soit conçue de manière à
minimiser le risque d'accès non autorisés. Il convient de mettre en œuvre les procédures et technologies
de connexion en prenant en considération ce qui suit:
a) ne pas afficher d’informations sensibles du système ou de l'application tant que le processus de
connexion n'est pas terminé avec succès, afin d'éviter toute aide inutile à un utilisateur non autorisé;
b) afficher un avertissement informant qu'il convient que l'accès au système, à l'application ou au
service soit réservé seulement aux utilisateurs autorisés;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) ne pas fournir de messages d’aide, pendant la procédure de connexion, qui pourraient aider un
utilisateur non autorisé (par exemple, si une erreur survient, il convient que le système n'indique
pas quelle partie des données est correcte ou incorrecte);
d) valider les informations de connexion seulement à la fin de la saisie de toutes les données d'entrée;
e) protéger contre les tentatives de connexions par force brute sur les noms d'utilisateurs et les
mots de passe (par exemple, utiliser CAPTCHA [completely automated public Turing test to tell
computers and humans apart], exiger la réinitialisation du mot de passe après un nombre prédéfini
de tentatives échouées ou bloquer l'utilisateur après un nombre maximal d'erreurs);
f) enregistrer les tentatives réussies et échouées;
g) déclencher un événement de sécurité en cas de détection si une violation réussie ou une éventuelle
tentative de violation des contrôles de connexion est détectée (par exemple, envoyer une alerte
à l'utilisateur et aux administrateurs système de l'organisation lorsqu'un certain nombre de
tentatives avec saisie de mots de passe erronés est atteint);
h) afficher ou envoyer les informations suivantes sur un canal distinct à la fin d’une connexion réussie:
1) la date et l'heure de la dernière connexion réussie;
2) les informations sur les tentatives de connexion échouées depuis la dernière connexion réussie;
i) ne pas afficher un mot de passe en clair pendant sa saisie; dans certains cas, il peut être nécessaire
de désactiver cette fonctionnalité afin de faciliter la connexion de l’utilisateur (par exemple, pour
des raisons d'accessibilité ou pour éviter le blocage d'utilisateurs en raison d'erreurs répétées);
j) ne pas transmettre les mots de passe en clair sur un réseau pour éviter qu'ils ne soient récupérés
par un programme d’écoute de réseau;
k) fermer les sessions inactives après une période définie d'inactivité, en particulier dans les lieux à
haut risque, tels que les zones publiques ou externes qui sont en dehors du périmètre de gestion de
la sécurité de l'organisation, ou sur les terminaux finaux des utilisateurs;
l) restreindre les durées de connexion pour apporter une sécurité supplémentaire aux applications à
haut risque et réduire les possibilités d'accès non autorisé.
Des informations supplémentaires sur l'assurance de l'authentification d'entité sont disponibles dans
l'ISO/IEC 29115.
8.6 Dimensionnement

de l'information
#Préventive #Intégrité #Identifier #Continuité #Gouvernance_et_Écosys-
#Détective #Disponibilité #Protéger tème #Protection
#Détecter
Il convient que l'utilisation des ressources soit surveillée et ajustée selon les besoins de dimensionnement
actuels et prévus.
Objectif
Assurer les besoins en termes de moyens de traitement de l'information, de ressources humaines, de
bureaux et autres installations.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Il convient d'identifier le dimensionnement nécessaire des moyens de traitement de l'information, des
ressources humaines, des bureaux et autres installations, en tenant compte du niveau de criticité métier
des systèmes et processus concernés.
Il convient d'appliquer une optimisation et une surveillance des systèmes pour assurer et, si nécessaire,
améliorer leur disponibilité et leur efficacité.
Il convient que l'organisation soumette les systèmes et les services à des tests de résistance afin de
s’assurer de la disponibilité de systèmes ayant un dimensionnement suffisant pour répondre aux
exigences de performance pendant les pics d’utilisation.
Il convient de mettre en place des moyens de détection pour signaler les problèmes en temps voulu.
Il convient que les projections des besoins de dimensionnement futurs tiennent compte des nouveaux
besoins métier et systèmes, et des tendances actuelles et prévues en termes de capacités de traitement
de l'information de l'organisation.
Il convient de porter une attention particulière aux ressources pour lesquelles les délais
d'approvisionnement sont longs ou les coûts élevés. Par conséquent, il convient que les managers et les
propriétaires de produits ou services surveillent l'utilisation des ressources clés du système.
Il convient que les managers utilisent les informations relatives aux capacités pour identifier et
éviter d’éventuelles limitations de ressources et la dépendance à l’égard du personnel clé, ce qui peut
représenter une menace pour la sécurité du système ou pour les services, et qu'ils planifient l'action
appropriée.
Fournir un dimensionnement suffisant peut être réalisé en augmentant la capacité ou en réduisant la
demande. Il convient de prendre en considération ce qui suit pour augmenter la capacité:
a) embaucher du nouveau personnel;
b) obtenir de nouvelles installations ou de nouveaux espaces;
c) acquérir des systèmes de traitement, de mémoire et de stockage plus performants;
d) utiliser l'informatique en nuage, dont les caractéristiques inhérentes répondent directement aux
problèmes de dimensionnement. L'informatique en nuage possède l'élasticité et la flexibilité qui
permettent l’augmentation et la réduction rapides et à la demande des ressources disponibles pour
des applications et services spécifiques.
Il convient de prendre en considération ce qui suit les éléments suivants pour réduire la demande sur
les ressources de l'organisation:
a) suppression des données obsolètes (espace disque);
b) élimination des documents papier qui ont atteint leur durée de conservation (libération d'espace
sur les étagères);
c) mise hors service d'applications, de systèmes, de bases de données ou d'environnements;
d) optimisation des processus batch et des plannings;
e) optimisation des codes des applications ou des requêtes de bases de données;
f) refus ou restriction de la bande passante pour les services gourmands en ressources, s’ils ne sont
pas critiques (par exemple, diffusion vidéo).
Il convient d’envisager un plan documenté de gestion du dimensionnement pour les systèmes critiques.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Pour plus d’informations sur l'élasticité et la flexibilité de l'informatique en nuage, voir l'ISO/IEC TS 23167.
8.7 Protection contre les programmes malveillants (malware)

de l'information
#Préventive #Confidentialité #Protéger #Sécurité_système_et_réseau #Protection
#Détective #Intégrité #Détecter #Protection_des_informa- #Défense
#Corrective #Disponibilité tions
Il convient qu’une protection contre les programmes malveillants soit mise en œuvre et renforcée par
une sensibilisation appropriée des utilisateurs.
Objectif
S’assurer que les informations et autres actifs associés sont protégés contre les programmes
malveillants.
Recommandations
Il convient que la protection contre les programmes malveillants soit basée sur des logiciels de détection
des programmes malveillants et de réparation, une sensibilisation à la sécurité de l'information, et des
moyens appropriés de gestion des changements et d'accès aux systèmes. L’utilisation de logiciels de
détection de programmes malveillants et de réparation seulement n'est pas suffisante en général. Il
convient de prendre en considération les recommandations suivantes:
a) mettre en œuvre des règles et des mesures de sécurité qui empêchent ou détectent l'utilisation
de logiciels non autorisés [par exemple, application allowlisting (c'est-à-dire utilisation d’une liste
indiquant les applications autorisées)] (voir 8.19 et 8.32);
b) mettre en œuvre des mesures de sécurité qui empêchent ou détectent l'utilisation de sites web
connus ou suspectés pour leur caractère malveillant (par exemple, blocklisting);
c) réduire les vulnérabilités qui peuvent être exploitées par des programmes malveillants [par
exemple, à travers la gestion des vulnérabilités techniques (voir 8.8 et 8.19)];
d) procéder régulièrement à une validation automatique des logiciels et du contenu des données des
systèmes, en particulier pour les systèmes qui gèrent des processus métier critiques; mener des
investigations sur la présence de tout fichier non approuvé ou de modifications non autorisées;
e) mettre en place des mesures de protection contre les risques associés à l’obtention de fichiers et de
logiciels soit depuis ou via des réseaux externes, soit sur tout autre support;
f) installer et mettre à jour régulièrement des logiciels de détection des programmes malveillants et
de réparation pour analyser les ordinateurs et les supports de stockage électroniques. Réaliser des
analyses régulières qui incluent:
1) l’analyse de toute donnée reçue sur les réseaux ou via toute forme de support de stockage
électronique, pour s'assurer de l'absence de programme malveillant avant utilisation;
2) l’analyse des pièces jointes aux courriers électroniques et aux messages instantanés, et des
fichiers téléchargés pour s'assurer de l'absence de programmes malveillants avant utilisation.
Réaliser cette analyse en différents endroits (par exemple, sur les serveurs de messagerie
électronique, les ordinateurs de bureau) et au moment d’accéder au réseau de l'organisation;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
3) l’analyse des pages web au moment d’y accéder pour s'assurer de l'absence de programmes
malveillants;
g) déterminer l’emplacement et la configuration des outils de détection des programmes malveillants
et de réparation en fonction des résultats de l'appréciation du risque et en prenant en considération:
1) les principes de défense en profondeur là où ils seraient les plus efficaces. Par exemple, cela
peut mener à la détection de programmes malveillants au niveau d'une passerelle réseau
(dans différents protocoles d'application tels que courrier électronique, transfert de fichiers et
Internet) ainsi que des terminaux finaux des utilisateurs et des serveurs;
2) les techniques de contournement des attaquants (par exemple, l’utilisation de fichiers chiffrés)
pour introduire des programmes malveillants ou l’utilisation de protocoles de chiffrement
pour transmettre des programmes malveillants;
h) veiller à assurer la protection contre l'introduction de programmes malveillants pendant les
procédures de maintenance et d'urgence, qui peuvent contourner les mesures de sécurité
habituelles contre les programmes malveillants;
i) mettre en œuvre un processus permettant d'autoriser la désactivation temporaire ou permanente
de certaines ou de toutes les mesures de protection contre les programmes malveillants, y compris
des autorités d’approbation des exceptions, des justifications documentées et les dates de révision.
Cela peut s'avérer nécessaire lorsque la protection contre les programmes malveillants entraîne
une perturbation des activités normales;
j) élaborer des plans de continuité d'activité appropriés permettant la reprise après des attaques par
programmes malveillants, incluant la sauvegarde de tous les logiciels et données importants (y
compris sauvegarde en ligne aussi bien que hors connexion) et les mesures de reprise (voir 8.13);
k) isoler les environnements lorsque des conséquences graves peuvent se produire;
l) définir des procédures et des responsabilités pour gérer la protection des systèmes contre les
programmes malveillants, y compris la formation à leur utilisation, la déclaration et la reprise
après des attaques par programmes malveillants;
m) assurer la sensibilisation ou la formation (voir 6.3) de tous les utilisateurs sur la manière d'identifier
et, éventuellement, d'atténuer la réception, l'envoi ou l'installation de courriers électroniques,
fichiers ou programmes infectés par des programmes malveillants [les informations collectées en
n) et o) peuvent être utilisées pour assurer que la sensibilisation et la formation sont toujours à
jour];
n) mettre en œuvre des procédures pour collecter régulièrement des informations sur les nouveaux
programmes malveillants, telles que l’abonnement à des listes de diffusion ou la consultation de
sites web pertinents;
o) vérifier que les informations relatives aux programmes malveillants, telles que les bulletins d'alerte,
proviennent de sources reconnues et réputées (par exemple, sites Internet fiables ou fournisseurs
de logiciels de détection de programmes malveillants) et qu'elle sont correctes et informatives.
Il n'est pas toujours possible d'installer des logiciels de protection contre les programmes malveillants
sur certains systèmes (par exemple certains systèmes de contrôle industriel). Certains types de
programmes malveillants infectent les systèmes d'exploitation des ordinateurs et leur firmware, de
sorte que les mesures de sécurité courantes de protection contre les programmes malveillants ne
peuvent pas nettoyer le système et qu'une réinstallation complète du système d'exploitation et parfois
du firmware est nécessaire pour revenir à un état sécurisé.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.8 Gestion des vulnérabilités techniques

de l'information
#Préventive #Confidentialité #Identifier #Gestion_des_me- #Gouvernance_et_Écosys-
#Intégrité #Protéger naces_et_des_vulnéra- tème
#Disponibilité bilités #Protection #Défense
Il convient d'obtenir des informations sur les vulnérabilités techniques des systèmes d'information
utilisés, d'évaluer l'exposition de l'organisation à ces vulnérabilités et de prendre les mesures
appropriées.
Objectif
Empêcher l’exploitation des vulnérabilités techniques.
Recommandations
Identification des vulnérabilités techniques
Il convient que l'organisation dispose d’un inventaire précis des actifs (voir 5.9 à 5.14) comme
prérequis pour une gestion efficace des vulnérabilités techniques; il convient que l'inventaire inclue les
fournisseurs de logiciels, les noms de logiciels, les numéros de versions, l'état d’utilisation en cours (par
exemple, quels logiciels sont installés sur quels systèmes) et la ou les personnes au sein de l'organisation
qui sont responsables des logiciels.
Afin d'identifier les vulnérabilités techniques, il convient que l'organisation envisage de:
a) définir et établir les rôles et les responsabilités associés à la gestion des vulnérabilités techniques,
notamment la surveillance des vulnérabilités, l'appréciation du risque associé aux vulnérabilités,
les mises à jour, le suivi des actifs, ainsi que toute fonction de coordination nécessaire;
b) pour les logiciels et autres technologies (selon la liste de l'inventaire des actifs, voir 5.9), déterminer
les ressources d'information qui seront utilisées pour identifier les vulnérabilités techniques
importantes et sensibiliser sur ces vulnérabilités. Mettre à jour la liste des ressources d'informations
en fonction des changements effectués dans l'inventaire ou lorsque d’autres ressources nouvelles
ou utiles sont identifiées;
c) demander aux fournisseurs des systèmes d'information (y compris de leurs composants) d'assurer
la déclaration des vulnérabilités, leur traitement et leur publication, y compris les exigences des
contrats applicables (voir 5.20);
d) utiliser des outils d'analyse des vulnérabilités adaptés aux technologies utilisées afin d’identifier
les vulnérabilités et de vérifier si l'application de correctifs visant à résoudre les vulnérabilités a
été efficace;
e) mener des tests de pénétration planifiés, documentés et répétés ou des évaluations de
vulnérabilités réalisés par des personnes compétentes et autorisées pour renforcer l'identification
de vulnérabilités. Prendre des précautions dans la mesure où ces activités peuvent entraîner une
compromission de la sécurité du système;
f) suivre le l'utilisation des bibliothèques et des codes source externes issus de parties tierces pour
détecter les vulnérabilités. Il convient d'intégrer ce point dans le codage sécurisé (voir 8.28).
Il convient que l'organisation mette en place des procédures et développe des moyens pour:
a) détecter l'existence de vulnérabilités dans ses produits et services, y compris tous les composants
externes qui y sont utilisés;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) recevoir des déclarations de vulnérabilités de la part de sources internes ou externes.

Il convient que l'organisation mette à disposition un point de contact public dans le cadre d’une politique
spécifique à la thématique de la publication des vulnérabilités afin que les chercheurs et d’autres
puissent déclarer les problèmes. Il convient que l’organisation établisse des procédures de déclaration
des vulnérabilités, des formulaires de déclaration en ligne, et qu'elle exploite les renseignements
sur les menaces ou les forums de partage d'informations appropriés. Il convient également que
l’organisation envisage des programmes de primes de bugs (bug bounty programs) dans le cadre
desquels des récompenses sont proposées comme incitation pour aider les organisations à identifier les
vulnérabilités afin d’y remédier de façon appropriée. Il convient également que l'organisation partage
des informations avec les organisations industriels compétents ou autres parties intéressées.
Évaluation des vulnérabilités techniques
Pour évaluer les vulnérabilités techniques identifiées, il convient de prendre en considération les
considérations suivantes:
a) analyser et vérifier les déclarations pour déterminer les activités de réponse et de correction qui
sont nécessaires;
b) une fois qu’une éventuelle vulnérabilité technique a été identifiée, déterminer les risques associés
et les actions à entreprendre. Ces actions peuvent inclure la mise à jour les systèmes vulnérables ou
l’application d'autres mesures de sécurité.
Prise des mesures appropriées pour répondre aux vulnérabilités techniques
Il convient de mettre en œuvre un processus de gestion des mises à jour des logiciels afin d’assurer que
les correctifs et les mises à jour d’applications approuvés les plus récents sont installés pour tous les
logiciels autorisés. Si des changements sont nécessaires, il convient de conserver le logiciel d’origine
et d'appliquer ces changements à une copie prévue à cet effet. Il convient que tous les changements
soient complètement testés et documentés afin de pouvoir les réappliquer, si nécessaire, aux prochaines
mises à jour de logiciels. Si nécessaire, il convient que les changements soient testés et validés par une
organisation d’évaluation indépendant.
Il convient de prendre en considérations les recommandations suivantes pour répondre aux
vulnérabilités techniques:
a) prendre des mesures appropriées et rapides en réponse à l'identification d’éventuelles vulnérabilités
techniques; définir un délai de réaction aux notifications des éventuelles vulnérabilités techniques
importantes;
b) selon le degré d'urgence avec lequel la vulnérabilité technique a besoin d’être traitée, réaliser
l'action conformément aux mesures de sécurité relatives à la gestion des changements (voir 8.32)
ou en suivant les procédures de réponse aux incidents de sécurité de l'information (voir 5.26);
c) utiliser des mises à jour provenant seulement de sources autorisées (qui peuvent être internes ou
externes à l'organisation);
d) tester et évaluer les mises à jour avant de les installer afin d'assurer qu’elles sont efficaces et qu’elles
n’entraînent pas d’effets indésirables qui ne peuvent pas être tolérés [c'est-à-dire, si une mise à
jour est disponible, évaluer les risques associés à l'installation de cette mise à jour (il convient de
comparer les risques découlant de la vulnérabilité aux risques associés à l'installation de la mise à
jour)];
e) traiter d’abord les systèmes à haut risque;
f) élaborer une action corrective (généralement, mises à jour ou correctifs logiciels);
g) réaliser des tests pour valider l'efficacité de la correction ou de l'atténuation des risques;
h) fournir des mécanismes permettant de vérifier l'authenticité de la correction;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
i) si aucune mise à jour n'est disponible ou que la mise à jour ne peut pas être installée, envisager
d'autres mesures de sécurité, telles que:
1) l'application de toute solution proposée par le fournisseur du logiciel ou d'autres sources
pertinentes;
2) l’arrêt des services ou des fonctions concernés par la vulnérabilité;
3) l'adaptation ou l'ajout de contrôles d'accès (par exemple, des pare-feu) aux limites du réseau
(voir 8.20 à 8.22);
4) la protection des systèmes, terminaux ou applications vulnérables contre les attaques à travers
le déploiement de filtres de trafic adaptés (parfois appelés «correctifs virtuels»);
5) l’augmentation de la surveillance pour détecter les attaques effectives;
6) la sensibilisations aux vulnérabilités.
Pour les logiciels achetés, si les fournisseurs publient régulièrement des informations sur les mises à jour
de sécurité de leurs logiciels et fournissent un moyen pour installer ces mises à jour automatiquement,
il convient que l'organisation décide d'utiliser ou non la mise à jour automatique.
Autres considérations
Il convient de tenir un journal d'audit de toutes les étapes entreprises lors de la gestion des vulnérabilités
techniques.
Il convient de surveiller et d'évaluer régulièrement le processus de gestion des vulnérabilités techniques
afin de s'assurer de son efficacité et de son efficience.
Il convient qu’un processus de gestion des vulnérabilités techniques efficace soit aligné avec les activités
de gestion des incidents, pour communiquer les données sur les vulnérabilités à la fonction de réponse
aux incidents et fournir des procédures techniques à effectuer en cas d'incident.
Lorsque l'organisation utilise un service en nuage fourni par un fournisseur de services en nuage tiers,
il convient que la gestion des vulnérabilités techniques des ressources du fournisseur de services en
nuage soit assurée par ce dernier. Il convient que les responsabilités du fournisseur de services en
nuage concernant la gestion des vulnérabilités techniques soient incluses dans l'accord de services en
nuage et que celui-ci inclue les processus pour la déclaration des actions du fournisseur de services en
nuage concernant les vulnérabilités techniques (voir 5.23). Pour certains services en nuage, il existe
des responsabilités respectives pour le fournisseur de services en nuage et pour le client de services en
nuage. Par exemple, le client de services en nuage est responsable de la gestion des vulnérabilités de ses
propres actifs utilisés pour les services en nuage.
La gestion des vulnérabilités techniques peut être considérée comme une sous-fonction de la gestion
des changements et, de ce fait, peut bénéficier des processus et procédures de gestion des changements
(voir 8.32).
Il est possible qu'une mise à jour ne traite pas le problème de manière adéquate et qu'elle produise des
effets indésirables. De plus, dans certains cas, il peut être difficile de désinstaller une mise à jour une
fois qu'elle a été appliquée.
S'il n'est pas possible de tester les mises à jour de manière adéquate (par exemple, pour des raisons
de coût ou par manque de ressources), un report de la mise à jour peut être envisagé pour évaluer
les risques associés en s'appuyant sur l'expérience partagée par d'autres utilisateurs. L'utilisation de
l'ISO/IEC 27031 peut être utile.
Lorsque des correctifs de logiciels ou des mises à jour sont développés, l'organisation peut envisager
de fournir un processus de mise à jour automatisé par lequel ces mises à jour sont installées sur les
systèmes ou produits affectés sans nécessiter l’intervention du client ou de l’utilisateur. Si un processus

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
de mise à jour automatisé est fourni, il peut permettre au client ou à l'utilisateur de choisir une option
pour arrêter la mise à jour automatique ou contrôler le moment de l'installation de la mise à jour.
Lorsque le fournisseur de logiciel fournit un processus de mise à jour automatisé et que les mises à jour
peuvent être installées sur des systèmes ou produits affectés sans besoin d’intervention, il revient à
l'organisation de décider de l'application ou non du processus automatisé. Une raison de ne pas opter
pour la mise à jour automatisée est de conserver le contrôle sur le moment de l'application de la mise
à jour. Par exemple, un logiciel utilisé pour une activité métier ne peut pas être mis à jour tant que
l’activité n'est pas terminée.
Une faiblesse de l'analyse des vulnérabilités est qu’il est possible qu’elle ne tienne pas compte
complètement de la défense en profondeur: deux contre-mesures qui sont toujours appelées dans le
même ordre peuvent comporter des vulnérabilités qui sont masquées par les points forts de l'autre. La
contre-mesure composite n'est pas vulnérable, alors qu'une solution d'analyse des vulnérabilités peut
déclarer que les deux composantes sont vulnérables. Il convient donc que l’organisation fasse attention
en examinant et en traitant les déclarations de vulnérabilités.
Plusieurs organisations fournissent des logiciels, systèmes, produits et services pas seulement au
sein de l'organisation, mais aussi aux parties intéressées telles que les clients, partenaires ou autres
utilisateurs. Ces logiciels, systèmes, produits et services peuvent comporter des vulnérabilités de
sécurité de l'information qui affectent la sécurité des utilisateurs.
Les organisations peuvent publier une réparation et divulguer des informations sur les vulnérabilités
aux utilisateurs (généralement à travers un avis public) et fournir les informations appropriées pour les
services de bases de données des vulnérabilités de logiciels.
Pour plus d’informations sur la gestion des vulnérabilités techniques dans le cas de l’utilisation de
l'informatique en nuage, voir la série ISO/IEC 19086 et l'ISO/IEC 27017.
L'ISO/IEC 29147 fournit des informations détaillées sur la réception de déclarations de vulnérabilités et
la publication de bulletins de vulnérabilités. L'ISO/IEC 30111 fournit des informations détaillées sur le
traitement et la résolution des vulnérabilités déclarées.
8.9 Gestion des configurations

#Préventive #Confidentialité #Protéger #Configuration_sécurisée #Protection
#Intégrité
#Disponibilité
Il convient que les configurations, y compris les configurations de sécurité, du matériel, des logiciels,
des services et des réseaux, soient définies, documentées, mises en œuvre, surveillées et révisées.
Objectif
S'assurer que le matériel, les logiciels, les services et les réseaux fonctionnent correctement avec les
paramètres de sécurité requis, et que la configuration n’est pas altérée par des changements non
autorisés ou incorrects.
Recommandations
Généralités
Il convient que l'organisation définisse et mette en œuvre des processus et des outils pour appliquer
les configurations définies (y compris les configurations de sécurité) pour le matériel, les logiciels, les
services (par exemple, services en nuage) et les réseaux, pour les nouveaux systèmes installés ainsi que
pour les systèmes opérationnels tout au long de leur durée de vie.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient de mettre en place des fonctions, responsabilités et procédures pour assurer un contrôle
satisfaisant de tous les changements de configuration.
Modèles standard
Il convient de définir des modèles standard pour la configuration sécurisée du matériel, des logiciels,
des services et des réseaux:
a) en utilisant les recommandations disponibles publiquement (par exemple, les modèles prédéfinis
des fournisseurs et d’organisations de sécurité indépendantes);
b) en tenant compte du niveau de protection nécessaire afin de déterminer un niveau de sécurité
suffisant;
c) en appuyant la politique de sécurité de l'information de l'organisation, ses politiques spécifiques à
une thématique, les normes et autres exigences de sécurité;
d) en prenant en considération la faisabilité et l'applicabilité des configurations de sécurité dans le
contexte de l'organisation.
Il convient de réviser les modèles périodiquement et de les mettre à jour lorsque de nouvelles menaces
ou vulnérabilités ont besoin d’être traitées, ou lors de l'introduction de nouvelles versions de matériel
ou de logiciels.
Il convient de prendre en considération ce qui suit pour définir des modèles standard pour la
configuration sécurisée du matériel, des logiciels, des services et des réseaux:
a) minimiser le nombre d'identités dotées de droits d’accès privilégiés ou de niveau administrateur;
b) désactiver les identités inutiles, non utilisées ou non sécurisées;
c) désactiver ou restreindre les fonctions et services non nécessaires;
d) restreindre l'accès aux programmes utilitaires puissants et au réglage de leurs paramètres;
e) synchroniser les horloges;
f) modifier les informations d'authentification par défaut du fournisseur, telles que les mots de passe
par défaut, immédiatement après l'installation et vérifier les autres paramètres de sécurité par
défaut importants;
g) recourir à des moyens de temporisation qui déconnectent automatiquement les terminaux
informatiques après une période d'inactivité prédéfinie;
h) vérifier que les exigences relatives aux licences sont respectées (voir 5.32).
Gestion des configurations
Il convient que les configurations définies du matériel, des logiciels, des services et des réseaux soient
enregistrées et qu’un journal de tous les changements de configuration soit tenu à jour. Il convient
de conserver ces enregistrements de façon sécurisée. Cela peut être réalisé de plusieurs façons, par
exemple avec des bases de données de configurations ou des modèles de configuration.
Il convient que les changements apportés aux configurations suivent le processus de gestion des
changements (voir 8.32).
Les enregistrements de configurations peuvent contenir, si nécessaire:
a) les informations actualisées relatives au propriétaire ou au point de contact associé à l'actif;
b) la date du dernier changement de configuration;
c) la version du modèle de configuration;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
d) le lien avec les configurations d’ autres actifs.

Surveillance des configurations
Il convient que les configurations soient surveillées avec un ensemble complet d'outils de gestion du
système (par exemple, utilitaires de maintenance, assistance à distance, outils de gestion d’entreprise
et logiciels de sauvegarde et de restauration) et qu’elles soient révisées régulièrement pour vérifier les
paramètres de configuration, tester la force des mots de passe et évaluer les activités effectuées. Les
configurations actuellement appliquées peuvent être comparées aux modèles cibles définis. Il convient
de traiter tout écart, soit par une application automatique de la configuration cible définie, soit par une
analyse manuelle de l’écart suivie par des actions correctives.
La documentation des systèmes contient souvent des détails relatifs à la configuration du matériel et
des logiciels.
Le renforcement du système fait couramment partie de la gestion des configurations.
La gestion des configurations peut être intégrée aux processus de gestion des actifs et aux outils
associés.
L'automatisation est généralement plus efficace pour gérer la configuration de la sécurité [par exemple,
en utilisant «l'infrastructure en tant que code» (Infrastructure as Code)].
Les modèles et cibles de configuration peuvent constituer des informations confidentielles qu'il convient
de protéger en conséquence contre les accès non autorisés.
8.10 Suppression des informations

de l'information
#Préventive #Confidentialité #Protéger #Protection_des_informa- #Protection
tions
#Réglementation_et_confor-
mité
Il convient que les informations stockées dans les systèmes d'information, les terminaux ou tout autre
support de stockage soient supprimées lorsqu'elles ne sont plus nécessaires.
Objectif
Empêcher l'exposition inutile des informations sensibles et se conformer aux exigences légales,
statutaires, réglementaires et contractuelles relatives à la suppression d'informations.
Recommandations
Généralités
Il convient de ne pas conserver les informations sensibles plus longtemps qu’elles ne sont nécessaires
afin de réduire les risques de divulgation indésirable.
Lors de la suppression d'informations de systèmes, d'applications et de services, il convient de prendre
en considération ce qui suit:
a) sélectionner une méthode de suppression (par exemple, écrasement électronique ou effacement
cryptographique) conformément aux exigences métier et en tenant compte des lois et
réglementations pertinentes;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) enregistrer les résultats de la suppression comme preuve;

c) en cas de recours à des fournisseurs de services de suppression d'information, obtenir une preuve
de la suppression des informations de leur part.
Lorsque de tierces parties stockent les informations de l'organisation pour le compte de cette dernière,
il convient que l'organisation envisage l’inclusion d’exigences relatives à la suppression des informations
dans les accords avec les tierces parties à appliquer pendant et à la fin de ces services.
Méthodes de suppression
Conformément à la politique spécifique à la thématique de la conservation des données de l'organisation
et en tenant compte la législation et des réglementations pertinentes, il convient de supprimer les
informations sensibles qui ne sont plus nécessaires:
a) en configurant les systèmes pour détruire les informations de manière sécurisée lorsqu’elles ne
sont plus nécessaires (par exemple, après une période définie selon la politique spécifique à la
thématique de la conservation des données ou suite à une demande d'accès);
b) en supprimant les versions, copies et fichiers temporaires obsolètes, quel que soit leur emplacement;
c) en utilisant des logiciels de suppression sécurisée approuvés pour supprimer définitivement les
informations afin de contribuer à assurer que les informations ne peuvent pas être récupérées à
l'aide d'outils de récupération spécialisés ou d'outils informatiques judiciaires;
d) en recourant à des fournisseurs de services de suppression sécurisée approuvés et certifiés;
e) en utilisant des mécanismes d'élimination adaptés au type de support de stockage à éliminer (par
exemple, démagnétisation des disques durs et autres supports de stockage magnétiques).
Lorsque des services en nuage sont utilisés, il convient que l'organisation vérifie si la méthode de
suppression fournie par le fournisseur de services en nuage est acceptable et, si c’est le cas, il convient
que l'organisation l'utilise ou qu'elle demande au fournisseur de services en nuage de supprimer les
informations. Il convient que ces processus de suppression soient automatisés conformément aux
politiques spécifiques à une thématique, lorsqu’elles sont disponibles et applicables. Selon la sensibilité
des informations supprimées, des journaux peuvent tracer ou vérifier que ces processus de suppression
ont bien eu lieu.
Pour éviter l'exposition involontaire des informations sensibles lorsque des équipements sont renvoyés
aux fournisseurs, il convient de protéger les informations sensibles en retirant les moyens de stockage
auxiliaire (par exemple, les disques durs) et la mémoire avant que les équipements ne quittent les
locaux de l'organisation.
Étant donné que la suppression sécurisée de certains terminaux (par exemple, smartphones) peut
seulement être réalisée à travers la destruction ou en utilisant les fonctions intégrées dans ces
terminaux (par exemple, restauration des réglages d'usine), il convient que l'organisation choisisse la
méthode appropriée selon la classification des informations détenues par ces terminaux.
Il convient d'appliquer les mesures de sécurité décrites en 7.14 pour détruire physiquement le support
de stockage et en même temps supprimer les informations qu'il contient.
Un document officiel attestant de la suppression des informations est utile lors de l'analyse de la cause
d'un possible événement de fuite d'informations.
Des informations relatives à la suppression des données de l’utilisateur dans les services en nuage sont
disponibles dans l'ISO/IEC 27017.
Des informations relatives à la suppression des DCP sont disponibles dans l'ISO/IEC 27555.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.11 Masquage des données

de l'information
tions
Il convient d'utiliser le masquage des données conformément à la politique spécifique à la thématique
du contrôle d'accès de l'organisation et d’autres politiques spécifiques à une thématique associées, ainsi
qu'aux exigences métier, tout en prenant en compte la législation applicable.
Objectif
Limiter l'exposition des données sensibles, y compris les DCP, et se conformer aux exigences légales,
statutaires, réglementaires et contractuelles.
Recommandations
Lorsque la protection des données sensibles (par exemple, les DCP) est un sujet de préoccupation, il
convient que l'organisation envisage de dissimuler ces données en utilisant des techniques telles que le
masquage des données, la pseudonymisation ou l'anonymisation.
Les techniques de pseudonymisation ou d'anonymisation peuvent dissimuler les DCP, déguiser la
véritable identité des personnes concernées ou d’autres informations sensibles, et rompre le lien entre
les DCP et l'identité de la personne concernée ou le lien entre d'autres informations sensibles.
Lors de l’utilisation de techniques de pseudonymisation ou d'anonymisation, il convient de vérifier
que les données ont été pseudonymisées ou anonymisées de manière appropriée. Il convient que
l'anonymisation des données prenne en compte tous les éléments des informations sensibles pour être
efficace. À titre d'exemple, si tous les éléments des informations sensibles ne sont pas pris en compte
correctement, une personne peut être identifiée même si les données qui peuvent identifier cette
personne directement sont anonymisées, par la présence d'autres données qui permettent d'identifier
la personne de façon indirecte.
D’autres techniques de masquage des données sont:
a) chiffrement (nécessitant que les utilisateurs autorisés disposent d'une clé);
b) annulation ou suppression de caractères (pour empêcher les utilisateurs non autorisés de visualiser
les messages en entier);
c) modification des chiffres et des dates;
d) substitution (remplacement d'une valeur par une autre pour masquer les données sensibles);
e) remplacement des valeurs par leur hachage.
Il convient de prendre en considération ce qui suit lors de la mise en œuvre de techniques de masquage
des données:
a) ne pas accorder à tous les utilisateurs l'accès à toutes les données; par conséquent, concevoir des
requêtes et des masques afin de n'afficher que les données minimales requises à l'utilisateur;
b) il existe des cas où il convient que certaines données ne soient pas visibles par l'utilisateur pour
certains enregistrements parmi un ensemble de données; dans ce cas, concevoir et mettre en
œuvre un système d’obfuscation des données (par exemple, si un patient ne souhaite pas que le
personnel de l'hôpital ait la possibilité d’accéder à toutes ses données, même en cas d'urgence, alors
le personnel de l'hôpital voit s’afficher des données partiellement brouillées et les données peuvent

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
uniquement être consultées par le personnel doté des fonctions spécifiques si elles contiennent des
informations utiles pour déterminer le traitement approprié);
c) lorsque des données sont brouillées, donner à la personne concernée la possibilité d'exiger que les
utilisateurs ne puissent pas savoir si ces données sont brouillées (brouillage du brouillage; cela est
utilisé dans les établissements de santé, par exemple si le patient ne souhaite pas que le personnel
voie que des données sensibles, telles que des grossesses ou les résultats d’examens de sang, ont été
brouillées);
d) toute exigence légale ou réglementaire (par exemple, exigeant le masquage des informations de
cartes de paiement pendant le traitement ou le stockage).
Il convient de prendre en considérations ce qui suit lors de l'utilisation du masquage, de la
pseudonymisation ou de l'anonymisation des données:
a) niveau de résistance du masquage, de la pseudonymisation ou de l'anonymisation des données
selon l’usage fait des données traitées;
b) contrôles d'accès aux données traitées;
c) accords ou restrictions liés à l'utilisation des données traitées;
d) interdiction de rassembler les données traitées avec d'autres informations dans le but d'identifier
la personne concernée;
e) garder la trace de la fourniture et de la réception des données traitées.
L'anonymisation modifie les DCP de façon irréversible, de sorte que la personne concernée ne peut plus
être identifiée, directement ou indirectement.
La pseudonymisation remplace les informations d'identification par un alias. La connaissance de
l'algorithme (parfois appelé «information supplémentaire») utilisé pour réaliser la pseudonymisation
permet au moins une certaine forme d'identification de la personne concernée. Il convient que ces
«informations supplémentaires» soient alors gardées séparément et qu’elles soient protégée.
Alors que la pseudonymisation est ainsi moins robuste que l'anonymisation, les ensembles de données
pseudonymisés peuvent être plus utiles dans la recherche statistique.
Le masquage des données est un ensemble de techniques permettant de dissimuler, substituer ou
brouiller les éléments de données sensibles. Le masquage des données peut être statique (lorsque
les éléments de données sont masqués dans la base de données d'origine), dynamique (en utilisant
l'automatisation et des règles permettant de sécuriser les données en temps réel) ou à la volée (avec des
données masquées dans la mémoire de l'application).
Les fonctions de hachage peuvent être utilisées pour anonymiser les DCP. Pour empêcher les attaques
par énumération, il convient de toujours les combiner avec une fonction de salage.
Il convient que les DCP dans les identifiants des ressources et leurs attributs [par exemple, noms de
fichiers et URL (Uniform Resource Locators)] soient évitées ou anonymisées de manière appropriée.
Des mesures de sécurité supplémentaires concernant la protection des DCP dans les nuages publics
sont disponibles dans l'ISO/IEC 27018.
Des informations supplémentaires sur les techniques de dé-identification sont disponibles dans
l'ISO/IEC 20889.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.12 Prévention de la fuite de données

de l'information
#Préventive #Confidentialité #Protéger #Protection_des_informations #Protection
#Détective #Détecter #Défense
Il convient que des mesures de prévention de la fuite de données soient appliquées aux systèmes, aux
réseaux et à tous les autres terminaux qui traitent, stockent ou transmettent des informations sensibles.
Objectif
Détecter et empêcher la divulgation et l'extraction non autorisées d'informations par des personnes ou
des systèmes.
Recommandations
Il convient que l'organisation prenne en considération ce qui suit pour réduire le risque de fuite de
données:
a) identifier et classifier les informations à protéger contre les fuites (par exemple, informations
personnelles, modèles de tarification et conceptions de produits);
b) surveiller les canaux de fuite de données (par exemple, messagerie électronique, transferts de
fichiers, terminaux mobiles et supports de stockage portables);
c) agir pour empêcher la fuite d'informations (par exemple, mettre en quarantaine les courriers
électroniques contenant des informations sensibles).
Il convient d'utiliser des outils de prévention de la fuite de données pour:
a) identifier et surveiller les informations sensibles exposées au risque de divulgation non autorisée
(par exemple, dans les données non structurées du système d'un utilisateur);
b) détecter la divulgation d'informations sensibles (par exemple, lorsque des informations sont
téléchargées vers des services en nuage de tierces parties non fiables ou envoyées par courrier
électronique);
c) bloquer les actions de l’utilisateur ou les transmissions réseau qui exposent les informations
sensibles (par exemple, empêcher la copie d'entrées de base de données dans un tableur).
Il convient que l'organisation détermine s'il est nécessaire de limiter la possibilité pour un utilisateur
de copier et coller ou de télécharger des données vers des services, terminaux et supports de stockage
externes à l'organisation. Si c’est le cas, il convient que l'organisation mette en œuvre des solutions
telles que des outils de prévention de la fuite de données ou la configuration des outils existants
pour permettre aux utilisateurs d'afficher et de manipuler des données détenues à distance, mais les
empêcher de les copier et coller en dehors du contrôle de l'organisation.
Si l’exportation de données est requise, il convient que le propriétaire des données ait la possibilité
d’approuver l'exportation et qu’il tienne les utilisateurs responsables de leurs actions.
Il convient de traiter les captures d’écran ou les photographies d'écran dans les termes et conditions
d'utilisation, la formation et l'audit.
Lorsque les données sont sauvegardées, il convient de veiller à s’assurer que les informations sensibles
sont protégées en utilisant des mesures telles que le chiffrement, le contrôle d'accès et la protection
physique des supports de stockage contenant la sauvegarde.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient également d'envisager la prévention de la fuite de données pour assurer la protection contre
les actions de renseignement d'un adversaire souhaitant obtenir des informations confidentielles ou
secrètes (d'ordre géopolitique, humain, financier, commercial, scientifique ou autre) qui peuvent être
d’intérêt à des fins d'espionnage ou qui peuvent être critiques pour la communauté. Il convient d'orienter
les actions de prévention de la fuite de données de sorte à embrouiller l’adversaire dans ses décisions,
par exemple en remplaçant des informations authentiques par de fausses informations, soit en tant
qu’action indépendante, soit en réponse aux actions de renseignement de l’adversaire. Des exemples
de ce type d’actions sont l'ingénierie sociale inversée ou l'utilisation de pots de miel pour attirer les
attaquants.
Les outils de prévention de la fuite de données sont conçus pour identifier les données, surveiller
l'usage et le déplacement des données, et prendre des mesures pour empêcher la fuite de données (par
exemple, alertes les utilisateurs quant à leur comportement à risque et bloquer le transfert de données
vers des supports de stockage portables).
La prévention de la fuite de données implique intrinsèquement la surveillance des communications
et activités en ligne du personnel et, par extension, des messages des parties externes, ce qui soulève
des questions d'ordre juridique qu’il convient de prendre en considération avant d’utiliser des outils
de prévention de la fuite de données. Il existe plusieurs législations relatives à la protection de la vie
privée, à la protection des données, à l'emploi, à l'interception des données et des télécommunications,
qui sont applicables à la surveillance et au traitement des données dans le contexte de la prévention de
la fuite de données.
La prévention de la fuite de données peut être assurée par des mesures de sécurité standard, telles que
des politiques spécifiques à la thématique du contrôle d'accès et de la gestion sécurisée des documents
(voir 5.12 et 5.15).
8.13 Sauvegarde des informations

de l'information
#Corrective #Intégrité #Rétablir #Continuité #Protection
#Disponibilité
Il convient que des copies de sauvegarde de l'information, des logiciels et des systèmes soient
conservées et testées régulièrement selon la politique spécifique à la thématique de la sauvegarde qui a
été convenue.
Objectif
Permettre la récupération en cas de perte de données ou de systèmes.
Recommandations
Il convient de définir une politique spécifique à la thématique de la sauvegarde pour répondre aux
exigences de l'organisation en termes de conservation des données et de sécurité de l'information.
Il convient de fournir des moyens de sauvegarde adéquats pour assurer que tous les logiciels et les
informations essentiels peuvent être récupérés suite à un incident, une défaillance ou la perte d'un
support de stockage.
Il convient d'élaborer et de mettre en œuvre des plans indiquant la manière dont l'organisation
sauvegardera les informations, les logiciels et les systèmes pour répondre à la politique spécifique à la
thématique de la sauvegarde.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Lors de la conception d'un plan de sauvegarde, il convient de prendre en considération les éléments
suivants:
a) produire des enregistrements exacts et complets des copies de sauvegarde ainsi que des procédures
de restauration documentées;
b) intégrer les exigences métier de l'organisation (par exemple, l’objectif de point de reprise, voir 5.30),
les exigences de sécurité des informations concernées et le niveau de criticité des informations par
rapport au fonctionnement continu de l’organisation dans l'étendue des sauvegardes (par exemple,
sauvegarde complète ou différentielle) et dans la fréquence des sauvegardes;
c) conserver les sauvegardes dans un lieu distant sûr et sécurisé, à une distance suffisante pour
échapper à tout dommage résultant d'un sinistre sur le site principal;
d) apporter aux informations sauvegardées un niveau approprié de protection physique et
environnementale (voir l'Article 7 et 8.1) cohérent avec les normes appliquées sur le site principal;
e) tester régulièrement les supports de sauvegarde pour assurer qu'il est possible de les utiliser en cas
d’urgence si nécessaire. Tester la possibilité de restaurer les données sauvegardées sur un système
de test, sans écraser les supports de stockage d'origine dans l'éventualité où le processus de
sauvegarde ou de restauration échouerait et entraînerait des dommages ou une perte de données
irréparable;
f) protéger les sauvegardes par des moyens de chiffrement selon les risques identifiés (par exemple,
dans des situations où la confidentialité revêt de l'importance);
g) veiller à assurer qu'une perte de données par inadvertance est détectée avant la réalisation de la
sauvegarde.
Il convient que les procédures opérationnelles surveillent l'exécution des sauvegardes et traitent les
échecs de sauvegardes programmées pour assurer la complétude des sauvegardes conformément à la
politique spécifique à la thématique des sauvegardes.
Il convient que les mesures de sauvegarde pour les systèmes et les services individuels soient testées
régulièrement pour assurer qu'elles répondent aux objectifs des plans de réponse aux incidents et
de continuité d'activité (voir 5.30). Il convient que cela soit combiné avec un test des procédures de
restauration vérifié par rapport à la durée de restauration requise par le plan de continuité d'activité.
Dans le cas des systèmes et services critiques, il convient que les mesures de sauvegarde couvrent toute
les informations des systèmes, les applications et les données nécessaires à la récupération du système
complet en cas de sinistre.
Lorsque l'organisation utilise un service en nuage, il convient d'effectuer des copies de sauvegarde des
informations, des applications et des systèmes de l'organisation dans l'environnement du service en
nuage. Il convient que l'organisation détermine si et comment les exigences de sauvegarde sont remplies
lors de l'utilisation du service de sauvegarde des informations fourni dans le cadre du service en nuage.
Il convient que la durée de conservation des informations métier essentielles soit déterminée, en
prenant en compte toute exigence relative à la conservation de copies d'archives. Il convient que
l'organisation pense à la suppression des informations (voir 8.10) se trouvant dans les supports de
stockage utilisés pour la sauvegarde une fois que la période de conservation des informations arrive à
expiration, et qu’elle tienne compte de la législation et des réglementations.
Pour des informations supplémentaires sur la sécurité du stockage, notamment l’aspect de conservation,
voir l'ISO/IEC 27040.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.14 Redondance des moyens de traitement de l'information

#Préventive #Disponibilité #Protéger #Continuité #Protection
#Gestion_des_actifs #Résilience
Il convient que les moyens de traitement de l'information soient mis en œuvre avec suffisamment de
redondance pour répondre aux exigences de disponibilité.
Objectif
S'assurer du fonctionnement continu des moyens de traitement de l'information.
Recommandations
Il convient que l'organisation identifie les exigences relatives à la disponibilité des services métier et
des systèmes d'information. Il convient que l'organisation conçoive et mette en œuvre une architecture
de systèmes avec une redondance appropriée pour satisfaire à ces exigences.
La redondance peut être assurée en dupliquant les moyens de traitement de l'information en partie
ou en totalité (c'est-à-dire des composants de rechange ou avoir tout en double). Il convient que
l'organisation planifie et mette en œuvre des procédures pour l’activation des composants et moyens
de traitement redondants. Il convient que les procédures déterminent si les composants et activités de
traitement redondants sont toujours activés ou, en cas d’urgence, s’ils sont activés automatiquement
ou manuellement. Il convient que les composants et moyens de traitement de l'information redondants
assurent le même niveau de sécurité que les composants et moyens de traitement principaux.
Il convient que des mécanismes soient mis en place pour alerter l'organisation de toute défaillance
des moyens de traitement de l'information, permettre l'exécution de la procédure prévue et assurer
la disponibilité continue pendant la réparation ou le remplacement des moyens de traitement de
l'information.
Il convient que l'organisation prenne en considération ce qui suit lors de la mise en œuvre de systèmes
redondants:
a) conclure un contrat avec deux ou plusieurs fournisseurs de réseaux et de moyens de traitement de
l'information critiques, tels que les fournisseurs de services Internet;
b) utiliser des réseaux redondants;
c) utiliser deux centres de données séparés géographiquement, avec des systèmes en miroir;
d) utiliser des sources d'alimentation physiquement redondantes;
e) utiliser plusieurs instances parallèles des composants logiciels, avec équilibrage de charge
automatique entre eux (entre les instances d'un même centre de données ou de plusieurs centres
de données);
f) disposer de composants dupliqués dans les systèmes (par exemple, CPU, disques durs, mémoires)
ou dans les réseaux (par exemple, pare-feu, routeurs, commutateurs).
Lorsque cela est possible, et de préférence en mode opérationnel, il convient que les systèmes
d'information redondants soient testés pour s'assurer que le basculement d'un composant à un autre
composant fonctionne comme prévu.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il existe une relation étroite entre la redondance et la préparation des TIC pour la continuité d'activité
(voir 5.30), en particulier si des délais de reprise courts sont requis. Plusieurs mesures de redondance
peuvent faire partie des stratégies et solutions de continuité d'activité.
La mise en œuvre de redondances peut introduire des risques impactant l'intégrité (par exemple,
les processus de copie de données sur les composants dupliqués peuvent introduire des erreurs) ou
la confidentialité (par exemple, une mesure de sécurité faible pour les composants dupliqués peut
entraîner une compromission) des informations et des systèmes d'information, qui doivent être pris en
considération lors de la conception des systèmes d'information.
La redondance des moyens de traitement de l'information ne traite pas en général l'indisponibilité des
applications due à des dysfonctionnements de l’application.
Avec l’utilisation de l'informatique en nuage public, il est possible d’avoir plusieurs versions en temps
réel des moyens de traitement de l'information se trouvant dans plusieurs lieux physiques distincts
avec un basculement automatique et un équilibrage de charge entre eux.
Certaines technologies et techniques de redondance et de basculement automatique dans le contexte
des services en nuage sont traitées dans l'ISO/IEC TS 23167.
8.15 Journalisation

de l'information
#Détective #Confidentialité #Détecter #Gestion_des_événements_ #Protection
#Intégrité de_sécurité_de_l'information #Défense
#Disponibilité
Il convient que les journaux qui enregistrent les activités, les exceptions, les pannes et autres
événements pertinents soient générés, conservés, protégés et analysés.
Objectif
Enregistrer les événements, générer des preuves, assurer l'intégrité des informations de journalisation,
empêcher les accès non autorisés, identifier les événements de sécurité de l'information qui peuvent
engendrer un incident de sécurité de l'information et assister les investigations.
Recommandations
Généralités
Il convient que l'organisation détermine l’objectif dans lequel les journaux sont créés, quelles données
sont collectées et journalisées et toute exigence spécifique aux journaux pour la protection et le
traitement des données de journalisation. Il convient de documenter ceci dans une politique spécifique
à la thématique de la journalisation.
Il convient que les journaux d'événements incluent pour chaque événement, si possible:
a) les identifiants des utilisateurs;
b) les activités du système;
c) les dates, heures et détails des événements pertinents (par exemple, les ouvertures et fermetures
de session);
d) l'identité du terminal, l'identifiant du système et son emplacement;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
e) les adresses et protocoles réseau.

Il convient de prendre en considération les événements pour la journalisation:
a) les tentatives d'accès au système réussies et échouées;
b) les tentatives d'accès aux données et autres ressources, réussies et échouées;
c) les changements apportés à la configuration du système;
d) l'utilisation de privilèges;
e) l'utilisation de programmes utilitaires et d'applications;
f) les fichiers consultés et le type d'accès, y compris la suppression de fichiers de données importants;
g) les alarmes déclenchées par le système de contrôle d'accès;
h) l'activation et la désactivation des systèmes de sécurité, tels que les systèmes antivirus et les
systèmes de détection d'intrusion;
i) la création, modification ou suppression d'identités;
j) les opérations exécutées par des utilisateurs dans les applications. Dans certains cas, les
applications correspondent à un service ou un produit fourni ou exécuté par une tierce partie.
Il est important pour tous les systèmes d’avoir des sources de temps synchronisées (voir 8.17) car cela
permet la corrélation des journaux entre les systèmes à des fins d'analyse, d'alerte et d'investigation
d'un incident.
Protection des journaux
Il convient que les utilisateurs, y compris ceux dotés de droits d’accès privilégiés, n'aient pas
l'autorisation de supprimer ou de désactiver les journaux de leurs propres activités. Ils peuvent
éventuellement manipuler les journaux sur les moyens de traitement de l'information qu'ils contrôlent
directement. Il est donc nécessaire de protéger et d’analyser les journaux afin d'assurer l'imputabilité
des utilisateurs privilégiés.
Il convient que des mesures de sécurité visent à protéger le moyen de journalisation contre les
modifications non autorisées des informations et les problèmes opérationnels, qui incluent:
a) l'altération des types de messages qui sont enregistrés;
b) les fichiers de journalisation qui ont été édités ou supprimés;
c) l’échec d’enregistrement d’événements ou l’écrasement d’événements déjà enregistrés en cas de
dépassement de la capacité du support de stockage contenant le fichier journal.
Pour la protection des journaux, il convient d'envisager l’utilisation des techniques suivantes: hachage
cryptographique, enregistrement dans un fichier en ajout seulement et en lecture seule, enregistrement
dans un fichier de transparence public.
Il peut être nécessaire d'archiver certains journaux d'audit en raison d'exigences sur la conservation
des données ou des exigences sur la collecte et la conservation de preuves (voir 5.28).
Lorsque l'organisation a besoin d’envoyer des journaux de système ou d'application à un fournisseur
pour l'aider à résoudre des erreurs de débogage ou de dépannage, il convient que les journaux soient
désidentifiés, si possible en utilisant des techniques de masquage des données (voir 8.11) pour les
informations telles que les noms d'utilisateurs, les adresses de protocole Internet (IP), les noms d'hôtes
ou le nom de l'organisation, avant l'envoi au fournisseur.
Les journaux d'événements peuvent contenir des données sensibles et des données à caractère
personnel. Il convient de prendre les mesures de protection de la vie privée (voir 5.34) appropriées.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Analyse des journaux

Il convient que l'analyse des journaux inclue l'analyse et l'interprétation des événements de sécurité de
l'information afin de permettre l'identification des activités ou comportements anormaux, qui peuvent
représenter des indicateurs de compromission.
Il convient que l'analyse des événements soit réalisée en tenant compte:
a) des compétences nécessaires pour les experts réalisant l'analyse;
b) de la détermination de la procédure d'analyse des journaux;
c) des attributs requis pour chaque événement de sécurité;
d) des exceptions identifiées à travers l'utilisation de règles prédéfinies (par exemple, les règles de
SIEM ou de pare-feu et les signatures d’IDS ou de programmes malveillants);
e) des schémas de comportements connus et du trafic réseau standard comparés à un comportement
et une activité anormaux (analyse comportementale des utilisateurs et des entités [UEBA]);
f) des résultats de l'analyse des tendances ou des schémas (par exemple, le résultat de l'utilisation
d'analyses de données, des techniques de big data et d'outils d'analyse spécialisés);
g) des renseignements sur les menaces disponibles.
Il convient que l'analyse des journaux soit appuyée par des activités de surveillance spécifiques pour
faciliter l'identification et l'analyse des comportements anormaux, qui incluent:
a) l’analyse des tentatives réussies et échouées d'accès aux ressources protégées (par exemple,
serveurs système de nom de domaine [DNS], portails web et partages de fichiers);
b) la consultation des journaux DNS pour identifier les connexions réseau sortantes à des serveurs
malveillants, tels que ceux associés à des serveurs de commande et de contrôle de botnets;
c) l’analyse des rapports d'utilisation émis par les fournisseurs de services (par exemple, factures ou
rapports de service) pour détecter des activités anormales au sein des systèmes et des réseaux
(par exemple, en analysant des schémas d'activité);
d) la prise en compte des journaux d'événements de surveillance physique, tels que les entrées et les
sorties, pour assurer une détection et une analyse des incidents plus précises;
e) la mise en corrélation des journaux pour permettre des analyses efficaces et très précises.
Il convient d'identifier les incidents de sécurité de l'information avérés et suspectés (tels qu'une infection
par un programme malveillant ou le sondage des pare-feu) et de les soumettre à des investigations
supplémentaires (par exemple dans le cadre d'un processus de gestion des incidents de sécurité de
l'information; voir 5.25).
Les journaux de systèmes contiennent souvent une quantité importante d'informations dont la
plupart ne concernent pas la surveillance de la sécurité de l'information. Pour faciliter l'identification
des événements significatifs à des fins de surveillance de la sécurité de l'information, l’utilisation de
programmes utilitaires ou d’outils d'audit appropriés permettant l’interrogation des fichiers peut être
envisagée.
La journalisation des événements constitue la base des systèmes de surveillance automatisés (voir 8.16),
qui sont capables de générer des rapports consolidés et des alertes sur la sécurité du système.
Un outil SIEM ou un service équivalent peut être utilisé pour stocker, corréler, normaliser et analyser les
informations des journaux et pour générer des alertes. Les SIEM tendent à nécessiter une configuration
minutieuse pour optimiser leurs résultats. Les configurations à envisager incluent l'identification et la

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
sélection des sources des journaux appropriées, le réglage et le test des règles, et la définition de cas
d’usage.
Les fichiers de transparence publique pour l’enregistrement des journaux sont utilisés, par exemple,
dans les systèmes de transparence des certificats. Ces fichiers peuvent apporter un mécanisme de
détection supplémentaire qui est utile pour protéger contre l’altération des journaux.
Dans les environnements en nuage, les responsabilités de gestion des journaux peuvent être partagées
entre le client du service en nuage et le fournisseur du service en nuage. Les responsabilités varient en
fonction du type de service en nuage utilisé. Des recommandations supplémentaires sont disponibles
dans l'ISO/IEC 27017.
8.16 Activités de surveillance

#Détective #Confidentialité #Détecter #Gestion_des_événements_ #Défense
#Corrective #Intégrité #Disponibi- #Répondre de_sécurité_de_l'information
lité
Il convient de surveiller les réseaux, systèmes et applications pour détecter les comportements
anormaux et de prendre les mesures appropriées pour évaluer les éventuels incidents de sécurité de
l'information.
Objectif
Détecter les comportements anormaux et les éventuels incidents de sécurité de l'information.
Recommandations
Il convient de déterminer le périmètre et le niveau de surveillance conformément aux exigences métier
et de sécurité de l'information et en tenant compte des lois et réglementations pertinentes. Il convient
de conserver les enregistrements de surveillance pendant les durées de conservation définies.
Il convient de prendre en considération l’inclusion de ce qui suit dans le système de surveillance:
a) trafic entrant et sortant des réseaux, systèmes et applications;
b) accès aux systèmes, aux serveurs, aux équipements réseau, au système de surveillance, aux
applications critiques, etc.;
c) fichiers de configuration système et réseau de niveau critique ou administrateur;
d) journaux générés par des outils de sécurité [par exemple, antivirus, IDS, système de prévention des
intrusions (IPS), filtres web, pare-feu, prévention de la fuite de données];
e) journaux d'événements relatifs aux activités système ou réseau;
f) vérification que le code en cours d'exécution est autorisé à s’exécuter dans le système et qu’il n'a
pas été altéré (par exemple, par une recompilation ajoutant du code indésirable);
g) utilisation des ressources (par exemple, CPU, disques durs, mémoire, bande passante) et leurs
performances.
Il convient que l'organisation établisse une base de référence des comportements normaux et qu'elle
surveille la présence d’anomalies par rapport à cette base de référence. Lors de l'établissement d'une
base de référence, il convient de prendre en considération ce qui suit:
a) analyse de l'utilisation des systèmes pendant les périodes normales et les périodes de pointe;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
b) l'heure d'accès, le lieu d'accès et la fréquence d'accès habituels pour chaque utilisateur ou groupe
d’utilisateurs.
Il convient de configurer le système de surveillance par rapport à la base de référence établie pour
identifier les comportements anormaux, tels que:
a) l’arrêt imprévu de processus ou d'applications;
b) une activité généralement associée à des programmes malveillants ou un trafic en provenance
d'adresses IP ou de domaines réseau malveillants connus (par exemple, ceux associés à des serveurs
de commande et de contrôle de botnets);
c) les caractéristiques d'attaques connues (par exemple, déni de service et débordements de mémoires
tampon);
d) un comportement inhabituel du système (par exemple, journalisation de frappe, injection de
processus et écarts dans l'utilisation des protocoles standard);
e) les goulots d'étranglement et surcharges (par exemple, files d'attente réseau, niveaux de latence et
gigue réseau);
f) l’accès non autorisé (effectif ou tenté) aux systèmes ou aux informations;
g) l’analyse non autorisée d'applications métier, de systèmes et de réseaux;
h) les tentatives, réussies ou échouées, d'accès aux ressources protégées (par exemple, serveurs DNS,
portails web et systèmes de fichiers);
i) le comportement inhabituel d'un utilisateur et d'un système par rapport au comportement attendu.
Il convient d’utiliser une surveillance continue via un outil de surveillance. Il convient que la
surveillance soit effectuée en temps réel ou à intervalles réguliers, sous réserve des besoins et moyens
de l'organisation. Il convient que les outils de surveillance intègrent la possibilité de gérer des quantités
importantes de données, s'adaptent à la constante évolution du paysage des menaces et permettent
la notification en temps réel. Il convient également que les outils puissent reconnaître des signatures
spécifiques et des schémas spécifiques de comportements de données, réseaux ou applications.
Il convient que le logiciel de surveillance automatisée soit configuré pour générer des alertes (par
exemple, via des consoles de gestion, des messages de courrier électroniques ou des systèmes de
messagerie instantanée) sur la base de seuils prédéfinis. Il convient que le système d'alerte soit
paramétré et soumis à un apprentissage de la base de référence de l'organisation afin de minimiser les
faux positifs. Il convient que du personnel soit dédié à la réponse aux alertes et soit formé correctement
pour interpréter avec précision les éventuels incidents. Il convient de mettre en place des systèmes et
processus redondants pour recevoir les notifications d'alertes et y répondre.
Il convient de communiquer les événements anormaux aux parties concernées pertinentes afin
d'améliorer les activités suivantes: audit, évaluation de la sécurité, analyse des vulnérabilités et
surveillance (voir 5.25). Il convient de mettre en place des procédures pour répondre aux indicateurs
positifs émis depuis le système de surveillance rapidement afin de minimiser les conséquences des
événements indésirables (voir 5.26) sur la sécurité de l'information. Il convient également de définir des
procédures pour identifier et traiter les faux positifs, notamment le réglage du logiciel de surveillance
pour réduire le nombre de faux positifs futurs.
La surveillance de la sécurité peut être améliorée par:
a) l’exploitation de systèmes de renseignements sur les menaces (voir 5.7);
b) l’exploitation de l'apprentissage machine (machine learning) et des capacités de l'intelligence
artificielle;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) l’utilisation de listes de blocage (blocklists) ou listes d'autorisation (allowlists);

d) la réalisation d’une série d’évaluations de sécurité techniques (par exemple, évaluations des
vulnérabilités, tests de pénétration, simulations de cyberattaques et exercices de réponse aux
cyberattaques) et utilisation des résultats de ces évaluations pour aider à déterminer les bases de
référence ou les comportements acceptables;
e) utilisation de systèmes de contrôle des performances pour faciliter la définition et la détection des
comportements anormaux;
f) exploitation des journaux conjointement avec les systèmes de surveillance.
Les activités de surveillance sont souvent menées en utilisant des logiciels spécialisés, tels que les
systèmes de détection d'intrusions. Ces derniers peuvent être configurés par rapport à une base de
référence des activités système et réseau considérées comme normales, acceptables et attendues.
La surveillance des communications anormales facilite l'identification des botnets (c’est-à-dire,
ensemble de terminaux sous le contrôle malveillant du propriétaire du botnet, habituellement utilisé
pour lancer des attaques par déni de service distribué sur d’autres ordinateurs d'autres organisations).
Si l'ordinateur est contrôlé par un terminal externe, une communication est établie entre le terminal
infecté et le contrôleur. Il convient donc que l'organisation emploie des technologies pour surveiller les
communications anormales et prendre ces mesures aussi souvent que nécessaires.
8.17 Synchronisation des horloges

de l'information
#Détective #Intégrité #Protéger #Détec- #Gestion_des_événements_ #Protection
ter de_sécurité_de_l'information #Défense
Il convient que les horloges des systèmes de traitement de l'information utilisés par l'organisation
soient synchronisées avec des sources de temps approuvées.
Objectif
Permettre la corrélation et l'analyse d’événements de sécurité et autres données enregistrées, assister
les investigations sur les incidents de sécurité de l'information.
Recommandations
Il convient que les exigences externes et internes pour la représentation du temps, la synchronisation
fiable et la précision soient documentées et mises en œuvre. Ces exigences peuvent être issues de
besoins légaux, statutaires, réglementaires, contractuels ou normatifs et de surveillance interne. Il
convient qu’une heure de référence standard à utiliser au sein de l'organisation soit définie et prise
en considérations par tous les systèmes, y compris les systèmes de gestion du bâtiment, les systèmes
d'entrée et de sortie et d’autres, qui peuvent être utilisés pour assister les investigations.
Il convient qu’une horloge synchronisée à un signal radio diffusant l’heure depuis une horloge atomique
nationale ou un système de positionnement mondial (GPS, global positioning system) soit utilisée comme
horloge de référence pour les systèmes de journalisation; une source de date et heure cohérente et
fiable, pour assurer l'exactitude des horodatages. Il convient que des protocoles tels que le protocole de
temps réseau (NTP, Network Time Protocol) ou le protocole PTP (Precision Time Protocol) soient utilisés
pour assurer la synchronisation de tous les systèmes en réseau avec une horloge de référence.
L'organisation peut utiliser deux sources temporelles externes en même temps afin d'améliorer la
fiabilité des horloges externes, et gérer les écarts éventuels de manière appropriée.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
La synchronisation des horloges peut être compliquée en cas d’utilisation de plusieurs services en nuage
ou lors de l’utilisation conjointe de services en nuage et de services sur site. Dans ce cas, il convient que
l'horloge de chaque service soit gérée et que les décalages soient enregistrés afin d'atténuer les risques
découlant de ces décalages.
Le paramétrage correct des horloges des ordinateurs est important pour assurer l’exactitude des
journaux d'événements qui peuvent être nécessaires dans le cadre d'investigations ou utilisés comme
preuves dans des affaires judiciaires et des procédures disciplinaires. Des journaux d'audit inexacts
peuvent entraver ces investigations et nuire à la crédibilité de ces preuves.
8.18 Utilisation de programmes utilitaires à privilèges

de l'information
#Intégrité #Configuration_sécurisée
#Disponibilité #Sécurité_des_applications
Il convient que l'utilisation de programmes utilitaires ayant la capacité de contourner les mesures de
sécurité des systèmes et des applications soit limitée et contrôlée étroitement.
Objectif
S'assurer que l'utilisation de programmes utilitaires ne nuise pas aux mesures de sécurité de
l'information des systèmes et des applications.
Recommandations
Il convient que les lignes directrices suivantes concernant l'utilisation des programmes utilitaires qui
ont la capacité de contourner les mesures de sécurité des systèmes et des applications soient prises en
considération:
a) limiter l’utilisation des programmes utilitaires à un nombre minimal acceptable d'utilisateurs de
confiance autorisés (voir 8.2);
b) utiliser des procédures d'identification, d'authentification et d'autorisation pour les programmes
utilitaires, y compris l'identification unique de la personne qui utilise le programme utilitaire;
c) définir et documenter les niveaux d'autorisation pour les programmes utilitaires;
d) autoriser les utilisations ad hoc de programmes utilitaires;
e) ne pas mettre de programmes utilitaires à la disposition des utilisateurs qui ont accès à des
applications installées sur des systèmes nécessitant une séparation des tâches;
f) supprimer ou désactiver tous les programmes utilitaires inutilisés;
g) au minimum, séparer de façon logique les programmes utilitaires des logiciels d'applications.
Dans la mesure du possible, séparer les communications réseau de ces programmes du trafic des
applications;
h) limiter la disponibilité des programmes utilitaires (par exemple, la durée d'une modification
autorisée);
i) journaliser toutes les utilisations des programmes utilitaires.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
La plupart des systèmes d'information disposent d'un ou de plusieurs programmes utilitaires qui
peuvent avoir la capacité de contourner les mesures de sécurité des systèmes et des applications,
par exemple les diagnostics, l'application de correctifs, les antivirus, les outils de défragmentation de
disques, les débogueurs, les outils de sauvegarde et les outils réseau.
8.19 Installation de logiciels sur des systèmes opérationnels

de l'information
#Intégrité #Sécurité_des_applications
#Disponibilité
Il convient de mettre en œuvre des procédures et des mesures pour gérer de manière sécurisée
l'installation de logiciels sur les systèmes opérationnels.
Objectif
Assurer l'intégrité des systèmes opérationnels et empêcher l'exploitation des vulnérabilités techniques.
Recommandations
Il convient de prendre en considération les lignes directrices suivantes pour gérer de manière sécurisée
les changements et l’installation de logiciels sur des systèmes opérationnels:
a) faire installer les mises à jour de logiciels opérationnels seulement par des administrateurs formés,
après autorisation de la direction (voir 8.5);
b) s'assurer que seuls les codes exécutables approuvés et non les codes en développement ou les
compilateurs sont installés sur les systèmes opérationnels;
c) installer et mettre à jour les logiciels seulement après des tests approfondis et réussis (voir 8.29
et 8.31);
d) mettre à jour toutes les bibliothèques des programmes sources correspondants;
e) utiliser un système de contrôle des configurations afin de garder le contrôle de tous les logiciels
opérationnels, ainsi que la documentation système;
f) définir une stratégie de retour en arrière avant d'appliquer des changements;
g) tenir un journal d'audit de toutes les mises à jour des logiciels opérationnels;
h) archiver les anciennes versions de logiciels, avec toutes les informations et tous les paramètres
nécessaires, les procédures, les détails de configuration et les logiciels support associés en tant
que mesure de secours, et aussi longtemps que le logiciel est utilisé pour lire ou traiter les données
archivées.
Il convient que toute décision d’installer une nouvelle version tienne compte des exigences métier liées
au changement, ainsi que des aspects de sécurité de la nouvelle version (par exemple, l'introduction
d'une nouvelle fonctionnalité de sécurité de l'information ou le nombre et la gravité des vulnérabilités
de sécurité de l'information affectant la version actuelle). Il convient d'appliquer des correctifs logiciels
lorsqu'ils permettent de supprimer ou de réduire les vulnérabilités de sécurité de l'information (voir 8.8
et 8.19).
Les logiciels informatiques peuvent utiliser des logiciels et des packages fournis par un tiers externe
(par exemple, programmes de logiciels utilisant des modules hébergés sur des sites externes) qu'il

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
convient de surveiller et de contrôler pour éviter les changements non autorisés, car ils peuvent
introduire des vulnérabilités de sécurité de l'information.
Il convient que les logiciels fournis par des fournisseurs et utilisés dans des systèmes opérationnels
bénéficient d’une maintenance assurée par le fournisseur. Avec le temps, les fournisseurs de logiciels
arrêteront d’assurer la maintenance des anciennes versions de logiciels. Il convient que l'organisation
prenne en considération les risques associés à l'utilisation de logiciels qui ne bénéficient plus de
maintenance. Il convient que les logiciels open source utilisés dans les systèmes opérationnels soient
maintenus à la dernière version appropriée du logiciel. Avec le temps, la maintenance des codes open
source peut s'arrêter, mais ces codes restent disponibles dans un répertoire de logiciels open source. Il
convient que l'organisation tienne compte également des risques associés aux logiciels open source ne
bénéficiant plus de maintenance lorsqu’ils sont utilisés dans des systèmes opérationnels.
Lorsque les fournisseurs sont impliqués dans l'installation ou la mise à jour des logiciels, il convient
d’accorder l'accès physique ou logique seulement si nécessaire et avec l'autorisation appropriée. Il
convient de surveiller les activités du fournisseur (voir 5.22).
Il convient que l'organisation définisse et applique des règles strictes sur les types de logiciels que les
utilisateurs peuvent installer.
Il convient d'appliquer le principe du moindre privilège à l'installation de logiciels sur des systèmes
opérationnels. Il convient que l'organisation détermine les types d'installations de logiciels qui sont
autorisés (par exemple les mises à jour et les correctifs de sécurité pour les logiciels existants) et
les types d'installation qui sont interdits (par exemple, les logiciels destinés uniquement à un usage
personnel, et les logiciels dont l’origine est inconnue ou suspecte avec la possibilité d’être malveillants).
Il convient d'accorder ces privilèges selon les fonctions des utilisateurs concernés.
8.20 Sécurité des réseaux

de l'information
#Détective #Intégrité #Détecter
#Disponibilité
Il convient que les réseaux et les terminaux réseau soient sécurisés, gérés et contrôlés pour protéger les
informations des systèmes et des applications.
Objectif
Protéger les informations dans les réseaux et les moyens de traitement de l'information support contre
les compromission via le réseau.
Recommandations
Il convient de mettre en œuvre des mesures de sécurité pour assurer la sécurité des informations dans
les réseaux et pour protéger les services connectés contre les accès non autorisés. En particulier, il
convient de prendre en considération les éléments suivants:
a) le type et le niveau de classification des informations que le réseau peut prendre en charge;
b) définir les responsabilités et les procédures de gestion des équipements et des terminaux réseau;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) tenir à jour la documentation, y compris les diagrammes de réseau et les fichiers de configuration
des équipements (par exemple, les routeurs, les commutateurs);
d) séparer la responsabilité opérationnelle des réseaux et les activités sur les systèmes TIC, si
nécessaire (voir 5.3);
e) définir des mesures de sécurité pour préserver la confidentialité et l'intégrité des données
transitant sur des réseaux publics, des réseaux de parties tierces ou sur des réseaux sans fil et
pour protéger les systèmes et applications connectés (voir 5.22, 8.24, 5.14 et 6.6). Des mesures de
sécurité supplémentaires peuvent aussi être nécessaires pour assurer la disponibilité des services
réseau et des ordinateurs connectés au réseau;
f) assurer une journalisation et une surveillance appropriées pour permettre l'enregistrement et la
détection d'actions qui peuvent affecter, ou qui sont pertinentes pour, la sécurité de l'information
(voir 8.16 et 8.15);
g) coordonner étroitement les activités de gestion de réseau à la fois pour optimiser le service fourni à
l'organisation et pour assurer que les mesures de sécurité sont appliquées de manière cohérente à
travers l'infrastructure de traitement de l'information;
h) authentifier les systèmes sur le réseau;
i) restreindre et filtrer la connexion des systèmes au réseau (par exemple, en utilisant des pare-feu);
j) détecter, restreindre et authentifier la connexion d'équipements et de terminaux au réseau;
k) durcir les terminaux réseau;
l) séparer les canaux d'administration réseau des autres trafics réseau;
m) isoler temporairement les sous-réseaux critiques [par exemple, avec des ponts-levis (drawbridges)]
si le réseau est en train d’être attaqué;
n) désactiver les protocoles réseau vulnérables.
Il convient que l'organisation assure que les mesures de sécurité appropriées sont appliquées pour
l'utilisation de réseaux virtuels. Les réseaux virtualisés incluent aussi le software-defined networking
(SDN, SD-WAN). Les réseaux virtualisés peuvent être intéressants du point de vue de la sécurité dans
la mesure où ils peuvent permettre une séparation logique des communications qui ont lieu sur des
réseaux physiques, en particulier pour les systèmes et applications qui sont mis en œuvre en utilisant
l'informatique distribuée.
Des informations supplémentaires sur la sécurité des réseaux sont disponibles dans la
série ISO/IEC 27033.
Plus d’informations sur les réseaux virtualisés sont disponibles dans l'ISO/IEC TS 23167.
8.21 Sécurité des services réseau

de l'information
#Intégrité
#Disponibilité
Il convient que les mécanismes de sécurité, les niveaux de service et les exigences de services des
services réseau soient identifiés, mis en œuvre et surveillés.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
Assurer la sécurité lors de l'utilisation des services réseau.
Recommandations
Il convient que les mesures de sécurité nécessaires à certains services, telles que les fonctions de
sécurité, les niveaux de service et les exigences de services, soient identifiées et mises en œuvre par
les fournisseurs de services réseau internes ou externes. Il convient que l'organisation assure que les
fournisseurs de services réseau mettent en œuvre ces mesures.
Il convient que la capacité du fournisseur de services réseau à gérer les services convenus de façon
sécurisée soit déterminée et régulièrement contrôlée. Il convient que le droit d’auditer fasse l’objet d’un
accord entre l'organisation et le fournisseur. Il convient que l'organisation prenne aussi en considération
les attestations de parties tierces délivrées par les fournisseurs de services pour prouver qu'ils assurent
l’application des mesures de sécurité appropriées.
Il convient que les règles relatives à l'utilisation des réseaux et des services réseau soient définies et
appliquées de façon à couvrir les points suivants:
a) les réseaux et les services réseau auxquels l'accès a été autorisé;
b) les exigences d'authentification pour l'accès aux différents services réseau;
c) les procédures d'autorisation pour déterminer quelles personnes sont autorisées à accéder à quels
réseaux et quels services réseau;
d) la gestion du réseau et les mesures de sécurité technologiques et les procédures pour protéger
l’accès aux connexions réseau et aux services réseau;
e) les moyens utilisés pour accéder aux réseaux et aux services réseau [par exemple, utilisation de
réseaux privés virtuels (VPN) ou de réseaux sans fil];
f) l'heure, le lieu et d’autres attributs de l'utilisateur au moment de l'accès;
g) la surveillance de l'utilisation des services réseau.
Il convient de prendre en considération les fonctions de sécurité suivantes pour les services réseau:
a) les technologies utilisées pour la sécurité des services réseau, telles que l'authentification, le
chiffrement et les contrôles de connexions réseau;
b) les paramètres techniques nécessaires pour une connexion sécurisée aux services réseau,
conformément aux règles de sécurité et de connexion réseau;
c) la mise en cache [par exemple, dans un réseau de diffusion de contenu (content delivery network)]
et ses paramètres qui permettent aux utilisateurs de choisir l'utilisation de la mise en cache
conformément aux exigences de performances, de disponibilité et de confidentialité;
d) des procédures d'utilisation des services réseau pour restreindre l'accès aux services ou aux
applications réseau, si nécessaire.
Les services réseau incluent la fourniture de connexions, des services de réseaux privés et des solutions
de sécurité réseau gérées, tels que les pare-feu et les systèmes de détection d'intrusions. Ces services
peuvent varier de la simple bande passante non gérée à des offres à valeur ajoutée complexes.
Des recommandations supplémentaires sur un cadre pour la gestion des accès sont disponibles dans
l'ISO/IEC 29146.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.22 Cloisonnement des réseaux

#Intégrité
#Disponibilité
Il convient que les groupes de services d'information, d'utilisateurs et de systèmes d'information soient
cloisonnés dans les réseaux de l'organisation.
Objectif
Diviser le réseau en périmètres de sécurité et contrôler le trafic entre eux en fonction des besoins
métier.
Recommandations
Il convient que l'organisation envisage de gérer la sécurité des grands réseaux en les divisant en
domaines réseau distincts et en les séparant du réseau public (c’est-à-dire Internet). Les domaines
peuvent être choisis selon les niveaux de confiance, de criticité et de sensibilité (par exemple, domaine
d'accès public, domaine de postes de travail, domaine de serveurs, systèmes à haut et faible risques),
selon les services administratifs (par exemple, ressources humaines, financier, marketing) ou selon
certaines combinaisons (par exemple, connexion du domaine de serveurs à plusieurs services
administratifs). Le cloisonnement peut être réalisé en utilisant soit des réseaux physiques différents
soit des réseaux logiques différents.
Il convient de bien définir le périmètre de chaque domaine. Si l'accès entre des domaines réseau est
autorisé, il convient de le contrôler au niveau du périmètre en utilisant une passerelle (par exemple,
pare-feu, routeur filtrant). Il convient que les critères de cloisonnement des réseaux en domaines et que
les accès autorisés à travers les passerelles soient basés sur une évaluation des exigences de sécurité
de chaque domaine. Il convient que l’évaluation soit conforme à la politique spécifique à la thématique
du contrôle d'accès (voir 5.15), aux exigences d'accès, à la valeur et à la classification des informations
traitées et qu'elle prenne en compte le coût relatif et les impacts sur les performances de l’intégration
de technologies de passerelles appropriées.
Les réseaux sans fil nécessitent un traitement particulier en raison d’un périmètre réseau
insuffisamment défini. Il convient qu’un ajustement de la couverture radio soit envisagé pour le
cloisonnement des réseaux sans fil. Dans le cas des environnements sensibles, il convient d’envisager de
traiter tous les accès sans fil comme des connexions externes et d’isoler ces accès des réseaux internes
jusqu'à ce que ces accès passent à travers une passerelle conformément aux mesures de sécurité des
réseaux (voir 8.20), avant d'accorder l'accès aux systèmes internes. Il convient de séparer les réseaux
d'accès sans fil destinés aux invités de ceux destinés au personnel si le personnel utilise uniquement des
terminaux finaux des utilisateurs contrôlés et conformes aux politiques spécifiques à une thématique
de l'organisation. Il convient que le Wi-Fi destiné aux invités soit soumis aux mêmes restrictions au
moins que le Wi-Fi du personnel, afin de dissuader le personnel d'utiliser le Wi-Fi pour invités.
Les réseaux s'étendent souvent au-delà des frontières de l’organisation, sachant que les partenariats
commerciaux qui se forment nécessitent l'interconnexion ou le partage des moyens de traitement
de l'information et des installations réseau. Ces extensions peuvent augmenter le risque d'accès non
autorisés aux systèmes d'information de l'organisation qui utilisent le réseau, dont certains nécessitent
d’être protégés des autres utilisateurs du réseau à cause de leur niveau de sensibilité ou de criticité.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.23 Filtrage web

de l'information
#Intégrité
#Disponibilité
Il convient que l'accès aux sites web externes soit géré pour réduire l'exposition aux contenus
malveillants.
Objectif
Protéger les systèmes contre la compromission des programmes malveillants et empêcher l'accès aux
ressources web non autorisées.
Recommandations
Il convient que l'organisation réduise les risques que son personnel accède à des sites web contenant des
informations illégales ou connus pour contenir des virus ou du contenu de hameçonnage. Une technique
pour réaliser cela consiste à bloquer les adresses IP ou les domaines du ou des sites web concernés.
Certains navigateurs et certaines technologies de protection contre les programmes malveillants
réalisent cela automatiquement ou peuvent être configurés à cette fin.
Il convient que l'organisation identifie les types de sites web auxquels il convient que le personnel
ait accès ou non. Il convient que l'organisation envisage le blocage des accès aux types de sites web
suivants:
a) sites web comportant une fonction de téléchargement d'informations, sauf si cela est autorisé pour
des raisons professionnelles valables;
b) sites web connus pour être malveillants ou suspectés de l'être (par exemple, ceux qui diffusent des
programmes malveillants ou du contenu de hameçonnage);
c) serveurs de commande et de contrôle;
d) site web malveillant provenant des renseignements sur les menaces (voir 5.7);
e) sites web partageant du contenu illégal.
Avant d’utiliser cette mesure de sécurité, il convient que l'organisation définisse des règles pour
l'utilisation sécurisée et appropriée des ressources en ligne, incluant tout restriction concernant les
sites web et applications web indésirables ou inappropriés. Il convient de tenir ces règles à jour.
Il convient qu’une formation soit donnée au personnel sur l'utilisation sécurisée et appropriée
des ressources en ligne, ce qui inclut l'accès au web. Il convient que la formation inclue les règles de
l'organisation, le point de contact pour discuter des questions de sécurité et le processus d'exception
lorsque le personnel a besoin d'accéder à des ressources web soumises à restrictions pour des raisons
professionnelles légitimes. Il convient qu’une formation soit également donnée au personnel pour
assurer qu’il ne rejette aucun avertissement du navigateur qui signale qu'un site web n'est pas sécurisé,
mais permet à l'utilisateur de poursuivre.
Le filtrage web peut comporter un ensemble de techniques, telles que les signatures, l'heuristique,
la liste des sites web ou domaines acceptables, la liste des sites web ou domaines interdits et la
configuration personnalisée, pour contribuer à empêcher les logiciels malveillants et d’autres activités
malveillantes d'attaquer les réseaux et systèmes de l'organisation.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
8.24 Utilisation de la cryptographie

#Intégrité
#Disponibilité
Il convient que des règles pour l'utilisation efficace de la cryptographie, notamment la gestion des clés
cryptographiques, soient définies et mises en œuvre.
Objectif
Assurer l’utilisation correcte et efficace de la cryptographie afin de protéger la confidentialité,
l'authenticité ou l'intégrité des informations conformément aux exigences métier et de sécurité de
l'information, et en tenant compte des exigences légales, statutaires, réglementaires et contractuelles
relatives à la cryptographie.
Recommandations
Généralités
En cas d’utilisation de la cryptographie, il convient de prendre en considération ce qui suit:
a) la politique spécifique à la thématique de la cryptographie définie par l'organisation, y compris les
principes généraux pour la protection des informations. Une politique spécifique à la thématique
de l'utilisation de la cryptographie est utile pour maximiser les bénéfices et minimiser les risques
associés à l’utilisation des techniques cryptographiques, et pour éviter les utilisations inappropriées
ou incorrectes;
b) l'identification du niveau de protection requis et la classification des informations, et ainsi la
détermination du type, de la force et de la qualité des algorithmes cryptographiques requis;
c) l'utilisation de la cryptographie pour la protection des informations détenues sur des terminaux
finaux des utilisateurs mobiles ou sur des supports de stockage et des informations transmises par
réseau à ces terminaux ou supports de stockage;
d) l'approche de gestion des clés, en particulier les méthodes qui gèrent la génération et la protection
des clés cryptographiques et la récupération des informations chiffrées en cas de perte, de
compromission ou d'endommagement des clés;
e) les fonctions et responsabilités pour:
1) la mise en œuvre des règles pour une utilisation efficace de la cryptographie;
2) la gestion des clés, y compris la génération des clés (voir 8.24);
f) les normes à adopter ainsi que les algorithmes cryptographiques, la force du chiffrement, les
solutions cryptographiques et les pratiques d'utilisation approuvés ou requis dans l'organisation;
g) les conséquences de l’utilisation d'informations chiffrées sur les mesures de sécurité qui utilisent
l'analyse de contenu (par exemple, la détection de programmes malveillants ou le filtrage de
contenu).
Lors de la mise en œuvre des règles de l'organisation pour une utilisation efficace de la cryptographie, il
convient que les réglementations et les restrictions nationales qui peuvent s'appliquer à l’utilisation de
techniques cryptographiques dans différentes régions du monde soient prises en considération, ainsi
que les problèmes de circulation transfrontalière d’informations chiffrées (voir 5.31).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient que les contenus des accords de service ou des contrats conclus avec des fournisseurs
externes de services cryptographiques (par exemple, avec une autorité de certification) traitent les
questions de responsabilités, de fiabilité des services et de délais de réponse pour la fourniture des
services (voir 5.22).
Gestion des clés
Une gestion de clés appropriée nécessite des processus sécurisés de génération, de stockage, d'archivage,
de récupération, de distribution, de retrait et de destruction des clés cryptographiques.
Il convient qu’un système de gestion des clés repose sur un ensemble convenu de normes, de procédures
et de méthodes sécurisées pour:
a) générer des clés pour différents systèmes cryptographiques et différentes applications;
b) délivrer et obtenir des certificats de clés publiques;
c) distribuer des clés aux entités destinataires, en indiquant comment activer les clés lorsqu’elles sont
reçues;
d) stocker les clés, en indiquant notamment comment les utilisateurs autorisés parviennent à accéder
aux clés;
e) changer ou mettre à jour les clés, en incluant les règles sur le moment de changer les clés et la façon
de procéder;
f) gérer les clés compromises;
g) révoquer les clés, notamment la manière de retirer ou de désactiver des clés [par exemple, lorsque
les clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas il convient
également d'archiver les clés)];
h) récupérer les clés perdues ou altérées;
i) sauvegarder ou archiver les clés;
j) détruire les clés;
k) journaliser et auditer les activités relatives à la gestion des clés;
l) fixer les dates d'activation et de désactivation des clés, de sorte que les clés puissent seulement être
utilisées pendant la période de temps prévue par les règles de gestion des clés de l'organisation;
m) traiter les demandes légales d'accès aux clés cryptographiques (par exemple, les informations
chiffrées peuvent nécessiter d’être mises à disposition dans une forme non chiffrée en tant preuve
dans une affaire judiciaire).
Il convient que toutes les clés cryptographiques soient protégées contre les modifications ou la perte.
De plus, les clés secrètes et privées nécessitent d’être protégées contre les utilisations non autorisées,
ainsi que la divulgation. Il convient que les équipements utilisés pour générer, stocker et archiver les
clés soient protégés physiquement.
En plus de l'intégrité, pour plusieurs cas d’usage, il convient de tenir compte de l'authenticité des clés
publiques.
L'authenticité des clés publiques est généralement assurée par des processus de gestion des clés
publiques, par le biais d'autorités de certification et de certificats de clé publique, mais il est également
possible de l’assurer en utilisant des technologies telles que l'application de processus manuels pour un
petit nombre de clés.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
La cryptographie peut être utilisée pour répondre à différents objectifs de la sécurité de l'information,
par exemple:
a) la confidentialité: utiliser le chiffrement des informations pour protéger les informations sensibles
ou critiques, qu’elles soient stockées ou transmises;
b) l'intégrité ou l'authenticité: utiliser les signatures électroniques ou codes d'authentification de
message pour vérifier l'authenticité ou l'intégrité des informations sensibles ou critiques stockées
ou transmises. Utiliser des algorithmes pour le contrôle d'intégrité des fichiers;
c) non-répudiation: utiliser des techniques cryptographiques pour apporter la preuve de l’occurrence
ou de la non-occurrence d'un événement ou d'une action;
d) authentification: utiliser les techniques cryptographiques pour authentifier les utilisateurs et
d’autres entités du système demandant un accès ou communiquant avec des utilisateurs, des entités
et des ressources du système.
La série ISO/IEC 11770 fournit des informations supplémentaires sur la gestion des clés.
8.25 Cycle de vie de développement sécurisé

de l'information
#Préventive #Confidentialité #Protéger #Sécurité_des_applications #Protection
#Intégrité #Sécurité_système_et_réseau
#Disponibilité
Il convient de définir et d'appliquer des règles pour le développement sécurisé des logiciels et des
systèmes.
Objectif
S'assurer que la sécurité de l'information est conçue et mise en œuvre au cours du cycle de vie de
développement sécurisé des logiciels et des systèmes.
Recommandations
Le développement sécurisé est une exigence pour développer un service, une architecture, un logiciel
et un système sécurisés. Pour le réaliser, il convient de prendre en considération les aspects suivants:
a) la séparation des environnements de développement, de test et de production (voir 8.31);
b) les recommandations sur la sécurité dans le cycle de vie de développement des logiciels:
1) la sécurité des méthodologies de développement des logiciels (voir 8.28 et 8.27);
2) les lignes directrices sur le codage sécurisé pour chaque langage de programmation utilisé
(voir 8.28);
c) les exigences de sécurité dans les phases de spécifications et de conception (voir 5.8);
d) les points de contrôle de la sécurité dans les projets (voir 5.8);
e) les tests de la sécurité et du système, tels que les tests de régression, l’analyse du code et les tests
de pénétration (voir 8.29);
f) des répertoires sécurisés pour les codes source et les configurations (voir 8.4 et 8.9);
g) la sécurité dans le contrôle des versions (voir 8.32);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
h) les connaissances et les formations requises concernant la sécurité des applications (voir 8.28);
i) la capacité des développeurs à prévenir, identifier et corriger les vulnérabilités (voir 8.28);
j) les exigences d'octroi de licence et autres alternatives pour bénéficier de solutions rentables tout en
évitant de futurs problèmes liés aux licences (voir 5.32).
Si le développement est externalisé, il convient que l'organisation obtienne l'assurance que le fournisseur
se conforme aux règles de développement sécurisé de l'organisation (voir 8.30).
Des développements peuvent aussi avoir lieu au sein d'applications telles que les applications
bureautiques, de scripts, les navigateurs et les bases de données.
8.26 Exigences de sécurité des applications

#Intégrité #Sécurité_système_et_réseau #Défense
#Disponibilité
Il convient que les exigences de sécurité de l'information soient identifiées, spécifiées et approuvées
lors du développement ou de l’acquisition d'applications.
Objectif
S'assurer que toutes les exigences de sécurité de l'information sont identifiées et traitées lors du
développement ou de l’acquisition d'applications.
Recommandations
Généralités
Il convient que les exigences de sécurité des applications soient identifiées et spécifiées. Ces exigences
sont généralement déterminées à travers une appréciation du risque. Il convient que les exigences
soient élaborées avec l'appui de spécialistes en sécurité de l'information.
Les exigences de sécurité des applications peuvent couvrir un large éventail de thématiques, selon la
finalité de l'application.
Il convient que les exigences de sécurité des applications incluent, si applicable:
a) le niveau de confiance dans l'identité des entités [par exemple, à travers l'authentification (voir 5.17,
8.2 et 8.5)];
b) l'identification du type d'informations et du niveau de classification à traiter par l'application;
c) la nécessité de séparer l'accès et les niveaux d'accès aux données et aux fonctions de l'application;
d) la résilience contre les attaques malveillantes ou les perturbations involontaires [par exemple,
protection contre les débordements de mémoires tampon (buffer overflow) ou les injections SQL
(structured query language, langage de requête structurée)];
e) les exigences légales, statutaires et réglementaires dans la juridiction où la transaction est générée,
traitée, terminée ou stockée;
f) le besoin de protection de la vie privée en lien avec toutes les parties impliquées;
g) les exigences de protection de toutes les informations confidentielles;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
h) la protection des données pendant leur traitement, lorsqu’elles sont transit et au repos;
i) le besoin de chiffrer les communications de manière sécurisée entre toutes les parties impliquées;
j) les contrôles des données d’entrée, y compris les contrôles d'intégrité et la validation des données
d’entrée;
k) les contrôles automatisés (par exemple, les limites d'approbation ou les doubles approbations);
l) les contrôles des données de sortie, prenant également en compte qui peut accéder aux données de
sortie et les autorisations associées;
m) les restrictions liées au contenu des champs de «texte libre», sachant qu’ils peuvent entraîner un
stockage non contrôlé de données confidentielles (par exemple, données à caractère personnel);
n) les exigences découlant du processus métier, telles que la journalisation et la supervision des
transactions, les exigences de non-répudiation;
o) les exigences imposées par d’autres mesures de sécurité (par exemple, les interfaces aux systèmes
de journalisation et de surveillance ou les systèmes de détection de fuite de données);
p) le traitement des messages d'erreur.
Services transactionnels
De plus, pour les applications qui proposent des services transactionnels entre l'organisation et un
partenaire, il convient de prendre en considération ce qui suit lors de l'identification des exigences de
sécurité de l'information:
a) le niveau de confiance dont chaque partie a besoin envers l'identité déclarée des autres;
b) le niveau de confiance requis envers l'intégrité des informations échangées ou traitées, et les
mécanismes d'identification du manque d'intégrité (par exemple, contrôle de redondance cyclique
(cyclic redundancy check), hachage, signatures numériques/électroniques);
c) les processus d'autorisation associés aux personnes qui peuvent approuver les contenus, émettre
ou signer des documents transactionnels importants;
d) la confidentialité, l'intégrité, la preuve d'envoi et de réception des documents importants et la non-
répudiation (par exemple, contrats associés à des processus d'appel d'offres et de contrats);
e) la confidentialité et l'intégrité de toutes les transactions (par exemple, commandes, coordonnées
de livraison et accusés de réception);
f) les exigences sur la durée pendant laquelle la transaction est gardée confidentielle;
g) les exigences en termes d'assurances et autres exigences contractuelles.
Applications de commande et de paiement électroniques
De plus, pour les applications incluant les commandes et paiements électroniques, il convient de prendre
en compte ce qui suit:
a) les exigences pour la préservation de la confidentialité et de l'intégrité des informations de
commande;
b) le degré de vérification approprié pour vérifier les informations de paiement fournies par un client;
c) la prévention contre la perte ou la duplication des informations des transactions;
d) le stockage des informations des transactions en dehors de tout environnement accessible au public
(par exemple, sur une plateforme de stockage existante dans l'intranet de l'organisation, et ne pas

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
les conserver ni les exposer sur des supports de stockage électroniques directement accessibles
depuis Internet);
e) lorsqu'une autorité de confiance est utilisée (par exemple, dans le but d'émettre et de tenir à jour
des signatures ou des certificats électroniques), la sécurité est intégrée et incorporée tout au long
du processus de gestion de bout en bout des certificats ou des signatures.
Plusieurs des considérations qui précèdent peuvent être traitées par l'application de la cryptographie
(voir 8.24), en tenant compte des exigences légales (voir 5.31 à 5.36, et voir en particulier 5.31 pour la
législation sur la cryptographie).
Les applications accessibles via les réseaux sont exposées à un ensemble de menaces associées aux
réseaux, telles que les activités frauduleuses, les litiges contractuels ou la divulgation d'informations
au grand public; la transmission incomplète, les erreurs d'acheminement, l’altération, la duplication
ou le rejeu non autorisés des messages. Par conséquent, des appréciations des risques détaillées et
la détermination minutieuse des mesures de sécurité sont indispensables. Les mesures de sécurité
requises incluent souvent les méthodes cryptographiques pour l'authentification et la sécurisation des
transferts de données.
Plus d’informations sur la sécurité des applications sont disponibles dans la série ISO/IEC 27034.
8.27 Principes d'ingénierie et d'architecture des système sécurisés

de l'information
#Disponibilité
Il convient que des principes d'ingénierie des systèmes sécurisés soient établis, documentés, tenus à
jour et appliqués à toutes les activités de développement de systèmes d'information.
Objectif
S'assurer que les systèmes d'information sont conçus, mis en œuvre et exploités de manière sécurisée
au cours du cycle de vie de développement.
Recommandations
Il convient que des principes d'ingénierie de sécurité soient établis, documentés et appliqués aux
activités d'ingénierie de systèmes d'information. Il convient de concevoir la sécurité dans toutes les
couches de l'architecture (métier, données, applications et technologies). Il convient d'analyser les
nouvelles technologies au regard des risques de sécurité et il convient de revoir la conception par
rapport aux schémas d'attaques connus.
Les principes d'ingénierie sécurisée fournissent des recommandations sur les techniques
d'authentification des utilisateurs, les contrôles de sessions sécurisés et la validation et le nettoyage
des données.
Il convient que les principes d'ingénierie des systèmes sécurisés incluent l'analyse:
a) de la totalité des mesures de sécurité requises pour protéger les informations et les systèmes
contre les menaces identifiées;
b) de la capacité des mesures de sécurité à prévenir les événements de sécurité, à les détecter ou à y
répondre;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) des mesures de sécurité spécifiques requises pour certains processus métier (par exemple,
chiffrement des informations sensibles, contrôle d'intégrité et signature numérique des
informations);
d) de où et comment les mesures de sécurité doivent être appliquées (par exemple, en les intégrant à
une architecture de sécurité et à l'infrastructure technique);
e) de la façon dont les mesures de sécurité individuelles (manuels et automatisés) fonctionnent
ensemble pour produire un ensemble de mesures de sécurité intégré.
Il convient que les principes d'ingénierie de sécurité prennent en compte:
a) la nécessité d'intégration à une architecture de sécurité;
b) l'infrastructure de sécurité technique [par exemple, l'infrastructure de clé publique (PKI), la gestion
des identités et des accès (IAM), la prévention de la fuite de données et la gestion dynamique des
accès];
c) la capacité de l'organisation à développer et à assurer la maintenance des technologies choisies;
d) le coût, le temps et la complexité de répondre aux exigences de sécurité;
e) les bonnes pratiques existantes.
Il convient que l'ingénierie des systèmes sécurisés implique:
a) l'application des principes des architectures de sécurité, tels que «sécurité dès la conception»
(security by design), «défense en profondeur» (defence in depth), «sécurité par défaut» (security by
default), «refus par défaut» (default deny), «gestion sécurisée des erreurs» ( fail securely), «se méfier
des données provenant d’applications externes» (distrust input from external applications), «sécurité
du déploiement» (security in deployment), «présumer la compromission» (assume breach), «moindre
privilège» (least privilege), «facilité d'utilisation et de gestion» (usability and manageability) et
«moindre fonctionnalité» (least functionality);
b) l’analyse de la conception orientée sécurité pour permettre d'identifier les vulnérabilités de
sécurité de l'information, assurer que les mesures de sécurité sont spécifiées et répondent aux
exigences de sécurité;
c) la documentation et la reconnaissance formelle des mesures de sécurité qui ne répondent pas
complètement aux exigences (par exemple, en raison des exigences de sûreté prioritaires);
d) le durcissement des systèmes.
Il convient que l'organisation prenne en considération les principes du type «confiance zéro»(zero trust)
tels que:
a) supposer que les systèmes d'information de l'organisation sont déjà compromis et ne pas se reposer
sur la sécurité du périmètre réseau seulement;
b) utiliser une approche «ne jamais faire confiance et toujours vérifier» (never trust and always verify)
pour l'accès aux systèmes d'information;
c) assurer que les requêtes aux systèmes d'information sont chiffrées de bout en bout;
d) vérifier chaque requête à un système d'information comme si elle provenait d'un réseau externe
ouvert, même si ces requêtes proviennent de l'intérieur de l'organisation (c'est-à-dire ne faire
confiance à rien de manière automatique à l'intérieur ou à l'extérieur de ses périmètres);
e) utiliser les techniques du moindre privilège et de contrôle d'accès dynamique (voir 5.15, 5.18 et
8.2). Cela inclut l'authentification et l'autorisation des demandes d'informations ou de requêtes aux
systèmes en fonction des informations contextuelles, telles que les informations d'authentification
(voir 5.17), les identités des utilisateurs (5.16), les données sur le terminal final de l’utilisateur et la
classification des données (voir 5.12);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
f) toujours authentifier les demandeurs et toujours valider les demandes d'autorisation adressées aux
systèmes d'information en fonction des informations, y compris les informations d'authentification
(voir 5.17) et les identités des utilisateur (5.16), les données sur le terminal final de l’utilisateur
et la classification des données (voir 5.12), par exemple appliquer une authentification forte (par
exemple, multi-facteurs, voir 8.5).
Il convient que les principes d'ingénierie de sécurité établis soient appliqués, si possible, au
développement externalisé de systèmes d'information à travers des contrats et d’autres accords
exécutoires conclus entre l'organisation et le fournisseur auprès duquel l'organisation externalise le
développement. Il convient que l'organisation s'assure que les pratiques d'ingénierie de sécurité du
fournisseur sont en adéquation avec les besoins de l'organisation.
Il convient que les principes d'ingénierie de sécurité et les procédures d'ingénierie établies soient
révisés régulièrement pour s'assurer qu'ils contribuent de manière efficace à l'amélioration des
niveaux de sécurité dans le processus d'ingénierie. Il convient également de les réviser régulièrement
pour s'assurer qu'ils restent à jour pour combattre les éventuelles nouvelles menaces et pour rester
applicables par rapport aux avancées technologiques et aux solutions utilisées.
Les principes d'ingénierie de sécurité peuvent être appliqués à la conception ou à la configuration d’un
ensemble de techniques, telles que:
— la tolérance aux pannes ( fault tolerance) et autres techniques de résilience;
— le cloisonnement (par exemple, à travers la virtualisation ou la conteneurisation);
— l’inviolabilité (tamper resistance).
Les techniques de virtualisation sécurisées peuvent être utilisées pour éviter les interférences entre les
applications s’exécutant sur un même terminal physique. Si une instance virtuelle d'une application est
compromise par un attaquant, seule cette instance est affectée. L'attaque n'a aucun effet sur les autres
applications ou données.
Les techniques d'inviolabilité peuvent être utilisées pour détecter l’altération de conteneurs
d'informations, aussi bien physiques (par exemple, alarme anti-effraction) que logiques (par exemple,
fichier de données). Une caractéristique de ces techniques est qu’il existe d'un enregistrement de la
tentative d’altération du conteneur. De plus, la mesure de sécurité peut empêcher l'extraction réussie
des données en les détruisant (par exemple, la mémoire d’un terminal peut être effacée).
8.28 Codage sécurisé

de l'information
#Disponibilité
Il convient d'appliquer des principes de codage sécurisé au développement de logiciels.
Objectif
S'assurer que les logiciels sont développés de manière sécurisée afin de réduire le nombre d’éventuelles
vulnérabilités de sécurité de l'information dans les logiciels.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
Généralités
Il convient de définir des processus à l'échelle de l'organisation pour s'assurer de la bonne gouvernance
du codage sécurisé. Il convient d'établir et d'appliquer une base de référence sécurisée minimale. De
plus, il convient que ces processus et cette gouvernance soient étendus pour couvrir les composants
logiciels provenant de parties tierces et de logiciels open source.
Il convient que l'organisation surveille les menaces du monde réel et les conseils actualisés, ainsi que
les informations sur les vulnérabilités logicielles, pour orienter les principes de codage sécurisé de
l'organisation à travers l'amélioration et l'apprentissage continus. Cela peut contribuer à assurer que
des pratiques de codage sécurisé efficaces sont mises en œuvre pour combattre le paysage des menaces
en rapide évolution.
Planification et prérequis du codage
Il convient que des principes de codage sécurisé soient utilisés à la fois pour les nouveaux développements
et pour les cas de réutilisation. Il convient d'appliquer ces principes aux activités de développement
aussi bien au sein de l'organisation que pour les produits et services fournis par l'organisation à des
tiers. Il convient que la planification et les prérequis avant le codage incluent:
a) les attentes et principes approuvés spécifiques à l'organisation concernant le codage sécurisé, à
appliquer aux développements de codes effectués en interne et externalisés;
b) les pratiques de codage courantes et historiques et les défauts de codage qui entraînent des
vulnérabilités de sécurité de l'information;
c) la configuration des outils de développement, tels que les environnements de développement
intégrés (IDE, Integrated development environment), pour renforcer la création de codes sécurisés;
d) le suivi des recommandations émises par les fournisseurs d'outils de développement et
d'environnements d'exécution, si applicables;
e) la maintenance et utilisation d'outils de développement mis à jour (par exemple, les compilateurs);
f) la qualification des développeurs en écriture de codes sécurisés;
g) une conception et une architecture sécurisées, y compris modélisation des menaces;
h) des normes de codage sécurisé et, si nécessaire, obligation de les utiliser;
i) l’utilisation d'environnements contrôlés pour le développement.
Pendant le codage
Il convient de prendre en considération pendant le codage:
a) les pratiques de codage sécurisé spécifiques aux langages de programmation et techniques utilisés;
b) l’utilisation de techniques de programmation sécurisées, telles que la programmation en binôme, le
remaniement (refactoring), la révision par des pairs, les itérations de sécurité et le développement
piloté par les tests;
c) l’utilisation de techniques de programmation structurées;
d) la documentation du code et l’élimination des défauts de programmation qui peuvent permettre
l'exploitation de vulnérabilités de sécurité de l'information;
e) l’interdiction de l’utilisation de techniques de conception non sécurisées (par exemple, l’utilisation
de mots de passe codés en dur, d’échantillons de code non approuvés et de services web non
authentifiés).

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient de réaliser des tests pendant et après le développement (voir 8.29). Les processus statiques
de test de la sécurité des applications (SAST, Static application security testing) permettent d'identifier
les vulnérabilités de sécurité des logiciels.
Avant qu’un logiciel ne devienne opérationnel, il convient d'évaluer ce qui suit:
a) la surface d'attaque et le principe du moindre privilège;
b) la réalisation d'une analyse des erreurs de programmation les plus courantes et la documentation
de leur atténuation.
Révision et maintenance
Après que le code est devenu opérationnel:
a) il convient d’empaqueter et de déployer les mises à jour de façon sécurisée;
b) il convient de traiter les vulnérabilités de sécurité de l'information déclarées (voir 8.8);
c) il convient de journaliser les erreurs et les attaques suspectées et de passer régulièrement les
journaux en révision pour apporter des ajustements au code, si besoin;
d) il convient de protéger le code source contre les accès non autorisés et les altérations (par exemple,
en utilisant des outils de gestion de la configuration, qui comportent généralement des fonctions
telles que le contrôle d'accès et le contrôle des versions).
En cas d'utilisation d'outils et de bibliothèques externes, il convient que l'organisation prenne en
considération ce qui suit:
a) s’assurer que les bibliothèques externes sont gérées (par exemple, en tenant à jour un inventaire
des bibliothèques utilisées et de leurs versions) et régulièrement mises à jour avec des cycles de
versions;
b) sélection, autorisation et réutilisation des composants vérifiés, en particulier les composants
d'authentification et cryptographiques;
c) les licences, la sécurité et l’historique des composants externes;
d) s’assurer que le logiciel bénéficie d’une maintenance et fait l’objet d’un suivi et qu'il provient de
sources fiables et réputées;
e) disponibilité suffisante sur le long terme des ressources et artefacts de développement.
Lorsqu'un paquet de logiciels a besoin d’être modifié, il convient de prendre en considération les points
suivants:
a) le risque que les contrôles intégrés et les processus d'intégrité soient corrompus;
b) le besoin d'obtenir ou non le consentement du fournisseur;
c) la possibilité d'obtenir les changements nécessaires auprès du fournisseur, en tant que mises à jour
de programme standard;
d) les conséquences si l'organisation devient responsable de la maintenance future du logiciel suite à
des changements;
e) la compatibilité avec les autres logiciels utilisés.
Un principe fondamental est d’assurer que les codes relatifs à la sécurisé sont appelés en cas de besoin et
qu’ils sont inviolables. Les programmes installés à partir de codes binaires compilés ont également ces
propriétés, mais uniquement pour les données détenues par l'application. Pour les langages interprétés,

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
le concept fonctionne seulement lorsque le code est exécuté sur un serveur qui est par ailleurs
inaccessible par les utilisateurs et les processus qui l'utilisent et dont les données sont conservées
dans une base de données avec une protection similaire. Par exemple, le code interprété peut être
exécuté dans un service en nuage où l'accès au code lui-même nécessite des privilèges administrateur.
Il convient que des accès administrateur soient protégés par des mécanismes de sécurité tels que les
principes d'administration juste-à-temps et l'authentification forte. Si le propriétaire de l'application
peut accéder aux scripts par un accès distant direct au serveur, alors un attaquant peut également faire
de même, en principe. Dans ces cas, il convient de configurer les serveurs web de sorte pour empêcher
la navigation dans les répertoires.
Les codes d'applications sont mieux conçus en partant de l'hypothèse qu'ils font toujours l’objet
d’attaques, à travers des erreurs ou des actions malveillantes. De plus, les applications critiques
peuvent être conçues pour être tolérantes aux pannes internes. Par exemple, les données de sortie
d'un algorithme complexe peuvent être vérifiées pour assurer qu’elles se situent dans des limites sûres
avant qu’elles ne soient utilisées dans une application telle qu’une application critique sur de sûreté ou
financière. Le code qui effectue la vérification des limites est simple et il est donc beaucoup plus facile
de prouver l'exactitude.
Certaines applications web sont sujettes à un ensemble de vulnérabilités qui sont introduites par les
faiblesses de la conception et du codage, telles que les attaques par injection dans la base de données et
les attaques XSS («Cross-site scripting»). Dans ces attaques, les requêtes peuvent être manipulées pour
utiliser de manière abusive les fonctionnalités du serveur web.
Plus d’informations sur l'évaluation de la sécurité des TIC sont disponibles dans la série ISO/IEC 15408.
8.29 Tests de sécurité dans le développement et l'acceptation

de l'information
#Préventive #Confidentialité #Identifier #Sécurité_des_applications #Protection
#Intégrité #Assurance_de_sécurité_
#Disponibilité de_l'information
#Sécurité_système_et_réseau
Il convient que des processus pour les tests de sécurité soient définis et mis en œuvre au cours du cycle
de vie de développement.
Objectif
Valider le respect des exigences de sécurité de l'information lorsque des applications ou des codes sont
déployés dans l'environnement .
Recommandations
Il convient que les nouveaux systèmes d'information, les mises à niveau et les nouvelles versions soient
testés et vérifiés minutieusement pendant les processus de développement. Il convient que les tests de
sécurité fassent partie intégrante des tests des systèmes ou des composants.
Il convient de mener les tests de sécurité par rapport à un ensemble d'exigences qui peuvent être
exprimées comme fonctionnelles ou non fonctionnelles. Il convient que les tests de sécurité incluent les
tests:
a) des fonctions de sécurité [par exemple, l'authentification des utilisateurs (voir 8.5), les restrictions
d'accès (voir 8.3) et l'utilisation de la cryptographie (voir 8.24)];
b) du codage sécurisé (voir 8.28);

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
c) des configurations sécurisées (voir 8.9, 8.20 et 8.22), y compris celles des systèmes d'exploitation,
des pare-feu et autres composants de sécurité.
Il convient de déterminer des plans de test en se basant sur un ensemble de critères. Il convient que la
portée des tests soit proportionnelle à l'importance, à la nature du système et à l'impact potentiel du
changement introduit. Il convient que le plan de test inclue:
a) un programme détaillé des activités et des tests;
b) les données d'entrée et les données de sorties attendues sous un ensemble de conditions;
c) les critères pour évaluer les résultats;
d) la décision de mener des actions supplémentaires, si besoin.
L'organisation peut tirer profit des outils automatisés, tels que les outils d'analyse de codes ou les
scanneurs de vulnérabilités, et il convient qu'elle vérifie la correction des défauts de sécurité.
Dans le cas des développements réalisés en interne dans l’organisation, il convient que ces tests soient
d’abord réalisés par l'équipe de développement. Il convient que des tests d’acceptation indépendants
soient ensuite réalisés pour assurer que le système fonctionne comme prévu et seulement comme prévu
(voir 5.8). Il convient de prendre en considération ce qui suit:
a) réaliser les activités d’analyse des codes pour en tant qu’élément important pour tester les failles
de sécurité, y compris des données d’entrée et des conditions non anticipées;
b) réaliser une analyse des vulnérabilités pour identifier les configurations non sécurisées et les
vulnérabilités du système;
c) réaliser des tests de pénétration pour identifier les codes et les conception non sécurisés.
Dans le cas des développements externalisés et de l'achat de composants, il convient de suivre un
processus d’acquisition. Il convient que les contrats conclus avec le fournisseur traitent les exigences de
sécurité identifiées (voir 5.20). Il convient que les produits et les services soient évalués par rapport à
ces critères avant l’acquisition.
Il convient de réaliser les tests dans un environnement de test ressemblant le plus possible à
l'environnement opérationnel cible pour assurer que le système n'introduit pas de vulnérabilités dans
l'environnement de l'organisation et que les tests sont fiables (voir 8.31).
Plusieurs environnements de test peuvent être mis en place et utilisés pour différents types de tests
(par exemple, tests fonctionnels et de performance). Ces différents environnements peuvent être
virtuels, avec des configurations individuelles pour simuler plusieurs environnements opérationnels.
Les tests et la surveillance des environnements, outils et technologies de test ont aussi besoin d’être pris
en considération pour assurer des tests efficaces. Il en va de même pour la surveillance des systèmes
de surveillance déployés dans les paramètres de développement, de test et opérationnels. Un jugement
est nécessaire en fonction de la sensibilité des systèmes et des données, pour déterminer le nombre de
couches de méta-tests nécessaire.
8.30 Développement externalisé

#Préventive #Confidentialité #Identifier #Sécurité_système_et_réseau #Gouvernance_
#Détective #Intégrité #Protéger #Sécurité_des_applications et_Écosystème
#Disponibilité #Détecter #Sécurité_des_relations_fournisseurs #Protection

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient que l'organisation dirige, contrôle et vérifie les activités relatives au développement
externalisé des systèmes.
Objectif
S'assurer que les mesures de sécurité de l'information requises par l'organisation sont mises en œuvre
dans le cadre du développement externalisé des systèmes.
Recommandations
Lorsque le développement des systèmes est externalisé, il convient que l'organisation communique et
se mette d’accord sur les exigences et les attentes, et qu'elle surveille et vérifie de manière continue si la
livraison du travail externalisé répond à ces attentes. Il convient de prendre en considération les points
suivants à travers toute la chaîne d'approvisionnement externe de l'organisation:
a) les accords de licence, la propriété du code et les droits de propriété intellectuelle relatifs au
contenu externalisé (voir 5.32);
b) les exigences contractuelles pour la conception, le codage et les pratiques de tests sécurisés
(voir 8.25 à 8.29);
c) la fourniture des modèles de menaces à prendre en considération par les développeurs externes à;
d) les tests d'acceptation pour assurer la qualité et l'exactitude des livrables (voir 8.29);
e) la fourniture de preuves montrant que les niveaux minimaux acceptables de sécurité et les moyens
de protection de la vie privée sont mis en place (par exemple, rapports d'assurance);
f) la fourniture de preuves montrant que des tests suffisants ont été réalisés pour protéger contre la
présence de contenus malveillants (intentionnelle ou non intentionnelle) à la livraison;
g) la fourniture de preuves montrant que des tests suffisants ont été réalisés pour protéger contre la
présence de vulnérabilités connues;
h) les accords de séquestre concernant le code source du logiciel (par exemple, si le fournisseur cesse
son activité);
i) le droit contractuel de procéder à un audit des processus et des contrôles de développement;
j) les exigences de sécurité relatives à l'environnement de développement (voir 8.31);
k) la prise en compte de la législation applicable (par exemple, sur la protection des données à
caractère personnel).
Plus d’informations sur les relations avec les fournisseurs sont disponibles dans la série ISO/IEC 27036.
8.31 Séparation des environnements de développement, de test et opérationnels

#Disponibilité
Il convient de séparer et de sécuriser les environnements de développement, de test et opérationnels.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
Protéger l'environnement opérationnel et les données correspondantes contre les compromissions qui
pourraient être dues aux activités de développement et de test.
Recommandations
Il convient de déterminer et de mettre en œuvre le niveau de séparation nécessaire entre les
environnements de développement, de test et opérationnels afin d'empêcher les problèmes
opérationnels.
Il convient de prendre en considération les éléments suivants:
a) séparer de façon adéquate les systèmes de développement et de production et les faire fonctionner
dans des domaines différents (par exemple, dans des environnements physiques ou virtuels
distincts);
b) définir, documenter et mettre en œuvre les règles et autorisations pour le déploiement de logiciels
depuis le développement jusqu'à l'état de production;
c) tester les modifications apportées aux systèmes et aux applications opérationnels dans un
environnement de test ou de simulation avant de les appliquer aux systèmes opérationnels
(voir 8.29);
d) ne pas réaliser de tests dans des environnements opérationnels sauf dans des circonstances
définies et approuvées;
e) rendre inaccessibles les compilateurs, éditeurs et autres outils de développement ou programmes
utilitaires depuis les systèmes opérationnels lorsqu'ils ne sont pas nécessaires;
f) afficher les marques d'identification de l'environnement appropriées dans les menus afin de réduire
les risques d'erreur;
g) ne pas copier d'informations sensibles dans les environnements des systèmes de développement
et de test sauf si des mesures de sécurité équivalentes sont mises en place pour les systèmes de
développement et de test.
Dans tous les cas, il convient de protéger les environnements de développement et de test en prenant en
considération:
a) l’application de correctifs et de mises à jour sur tous les outils de développement, d'intégration et
de test (y compris les générateurs, les intégrateurs, les compilateurs, les systèmes de configuration
et les bibliothèques);
b) la configuration sécurisée des systèmes et des logiciels;
c) le contrôle de l'accès aux environnements;
d) la surveillance des changements apportés à l'environnement et au code qui s’y trouve;
e) la surveillance sécurisée des environnements;
f) les sauvegardes des environnements.
Il convient qu'une personne seule n'ait pas la possibilité d'apporter de changements au niveau
du développement et de la production sans vérification et approbation préalables. Cela peut être
réalisé, par exemple, à travers la séparation des droits d'accès ou à travers des règles soumises à une
surveillance. Dans les situations exceptionnelles, il convient que des mesures supplémentaires telles
que la journalisation détaillée et la surveillance en temps réel soient mises en œuvre afin de détecter et
d'agir sur les changements non autorisés.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
En l'absence de mesures et de procédures adéquates, les développeurs et les testeurs disposant
d'un accès aux systèmes de production peuvent introduire des risques significatifs (par exemple,
la modification indésirable de fichiers ou de l'environnement du système, la défaillance du système,
l’exécution d'un code non autorisé et non testé dans les systèmes de production, la divulgation de
données confidentielles, les problèmes liés à l'intégrité et à la disponibilité des données). Il est nécessaire
de maintenir un environnement stable et connu dans lequel des tests importants sont réalisés et
d'empêcher les accès inappropriés de développeurs à l'environnement de production.
Les mesures et procédures incluent des fonctions attribuées avec attention parallèlement à la mise en
œuvre d'exigences de séparation des tâches et la mise en place de processus de surveillance adéquats.
Le personnel en charge du développement et des tests représente également une menace pour la
confidentialité des informations opérationnelles. Les activités de développement et de test peuvent
entraîner des changements involontaires aux logiciels ou aux informations si elles partagent le
même environnement informatique. La séparation des environnements de développement, de test et
opérationnels est donc souhaitable pour réduire les risques de changements accidentels ou d'accès non
autorisé aux logiciels en production et aux données opérationnelles (voir 8.33 pour la protection des
informations de test).
Dans certains cas, la distinction entre les environnements de développement, de test et de production
peut être délibérément floue et les tests peuvent alors être menés dans un environnement de
développement ou à travers des déploiements contrôlés à destination d'utilisateurs ou de serveurs
opérationnels (par exemple, un petit nombre d'utilisateurs pilotes). Dans certains cas, les tests de
produits peuvent avoir lieu lors de l'utilisation du produit en mode opérationnel au sein de l'organisation.
De plus, pour réduire les temps d'arrêt des déploiements en production, deux environnements de
production identiques peuvent être pris en charge, dont un seul est opérationnel à tout moment.
Les processus support pour l’utilisation de données de production dans les environnements de
développement et de test (8.33) sont nécessaires.
Les organisations peuvent également à prendre en considération les lignes directrices données dans
la présente section pour les environnements de formation lors de la réalisation de formations pour les
utilisateurs finaux.
8.32 Gestion des changements

de l'information
#Disponibilité
Il convient que les changements apportés aux moyens de traitement de l'information et aux systèmes
d'information soient soumis à des procédures de gestion des changements.
Objectif
Préserver la sécurité de l'information lors de l'exécution des changements.
Recommandations
Il convient que l'introduction de nouveaux systèmes et de changements importants apportés aux
systèmes existants suivent les règles convenues et un processus formel de documentation, de
spécification, de tests, de contrôle qualité et de mise en œuvre gérée. Il convient que des responsabilités
et des procédures de management soient mises en place pour assurer un contrôle satisfaisant de tous
les changements.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Il convient que les procédures de contrôle des changements soient documentées et appliquées afin
d'assurer la confidentialité, l'intégrité et la disponibilité des informations dans les moyens de traitement
de l'information et les systèmes d'information, pendant le cycle de vie de développement de tout le
système, depuis les étapes de conception initiales jusqu'aux activités de maintenance ultérieures.
Si possible, il convient que les procédures de contrôle des changements pour l'infrastructure TIC et les
logiciels soient intégrées.
Il convient que les procédures de contrôle des changements incluent:
a) la planification et l’évaluation des impacts potentiels des changements en prenant en compte toutes
les dépendances;
b) l’autorisation des changements;
c) la communication des changements aux parties intéressées pertinentes;
d) les tests et l’acceptation des tests relatifs aux changements (voir 8.29);
e) la mise en œuvre des changements, y compris les plans de déploiement;
f) les considérations d'urgence et de secours, y compris les procédures de repli;
g) le maintien à jour des enregistrements des changements, qui incluent tout ce qui précède;
h) l’assurance que la documentation de fonctionnement (voir 5.37) et les procédures utilisateurs sont
modifiées autant que nécessaire pour rester appropriées;
i) l’assurance que les plans de continuité des TIC et les procédures de réponse et de reprise (voir 5.30)
sont modifiés autant que nécessaire pour rester appropriés.
Le contrôle inapproprié des changements apportés aux moyens de traitement de l'information et aux
systèmes d'information représente une cause courante des défaillances du système ou de sécurité.
Les changements apportés à l'environnement opérationnel, en particulier lors du transfert de logiciels
depuis l'environnement de développement vers l'environnement opérationnel, peuvent impacter
l'intégrité et la disponibilité des applications.
Les changements de logiciels peuvent impacter l'environnement opérationnel et inversement.
Les bonnes pratiques recommandent entre autres de tester les composants TIC dans un environnement
séparé des environnements opérationnels et de développement (voir 8.31). Cela constitue un moyen de
garder le contrôle des nouveaux logiciels et d'ajouter des protections supplémentaires aux informations
opérationnelles utilisées à des fins de tests. Il convient que cela inclue les correctifs logiciels, les «service
packs» et d’autres mises à jour.
L'environnement opérationnel inclut les systèmes d'exploitation, les bases de données et les plateformes
de middleware. Il convient que la mesure de sécurité s'applique aux changements apportés aux
applications et aux infrastructures.
8.33 Informations de test

de l'information
#Intégrité tions
Il convient que les informations de test soient sélectionnées, protégées et gérées de manière appropriée.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Objectif
Assurer la pertinence des tests et la protection des informations opérationnelles utilisées pour les tests.
Recommandations
Il convient que les informations de test soient sélectionnées afin d’assurer la fiabilité des résultats des
tests et la confidentialité des informations opérationnelles associées. Il convient que les informations
sensibles (y compris les données à caractère personnel) ne soient pas copiées dans les environnements
de développement et de test (voir 8.31).
Il convient que les recommandations suivantes soient appliquées afin protéger les copies d’informations
opérationnelles lorsqu’elles sont utilisées à des fins de tests, quel que soit l’emplacement de
l'environnement de test, en interne de l’organisation ou dans un service en nuage:
a) appliquer les mêmes procédures de contrôle d'accès aux environnements de test qu'aux
environnements opérationnels;
b) obtenir une nouvelle autorisation à chaque fois que des informations opérationnelles sont copiées
dans un environnement de test;
c) journaliser la copie et l’utilisation des informations opérationnelles, pour assurer un système de
traçabilité;
d) protéger les informations sensibles en les supprimant ou en les masquant (voir 8.11) si elles sont
utilisées à des fins de tests;
e) supprimer correctement (voir 8.10) les informations opérationnelles de l'environnement de
test immédiatement après la fin des tests pour prévenir contre l'utilisation non autorisée des
informations de test.
Il convient que les informations de test soient stockées de manière sécurisée (pour empêcher les
altérations qui peuvent mener à des résultats invalides) et qu’elles soient utilisées seulement à des fins
de tests.
Les tests de systèmes et d’acceptation peuvent nécessiter des volumes importants d'informations de
test qui soient aussi proches que possible des informations opérationnelles.
8.34 Protection des systèmes d'information pendant les tests d'audit

de l'information
#Préventive #Confidentialité #Protéger #Sécurité_système_et_réseau #Gouvernance_
#Intégrité #Protection_des_informa- et_Écosystème
#Disponibilité tions #Protection
Il convient que les tests d'audit et autres activités d'assurance impliquant l’évaluation des systèmes
opérationnels soient planifiés et convenus entre le testeur et le niveau approprié du management.
Objectif
Minimiser l'impact des activités d'audit et autres activités d'assurance sur les systèmes opérationnels
et les processus métier.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Recommandations
a) convenir des demandes d'audit pour l'accès aux systèmes et aux données avec le niveau approprié
du management;
b) convenir et contrôler le périmètre des tests d'audit techniques;
c) limiter les tests d'audit à un accès en lecture seule aux logiciels et aux données. Si l'accès en
lecture seule ne permet pas d’obtenir les informations nécessaires, faire réaliser le test par un
administrateur expérimenté qui bénéficie des droits d'accès nécessaires, pour le compte de
l'auditeur;
d) si l'accès est accordé, établir et vérifier les exigences de sécurité (par exemple, les antivirus
et l’application de correctifs) des terminaux utilisés pour accéder aux systèmes (par exemple,
ordinateurs portables ou tablettes) avant de permettre l'accès;
e) autoriser les accès autres qu'en lecture seule seulement pour les copies isolées de fichiers système.
Les supprimer lorsque l'audit terminé, ou les protéger de manière appropriée s’il existe une
obligation de garder ces fichiers selon les exigences de documentation de l'audit;
f) identifier et convenir des demandes de traitements spéciaux ou supplémentaires, tels que
l'exécution d'outils d'audit;
g) exécuter les tests d'audit qui peuvent impacter la disponibilité du système en dehors des heures de
travail;
h) surveiller et journaliser tous les accès à des fins d'audit et de test.
Les tests d'audit et autres activités d'assurance peuvent également avoir lieu sur des systèmes de
développement et de test, dans lesquels ces tests peuvent impacter, par exemple, l'intégrité du code ou
mener à la divulgation d'informations sensibles détenues dans ces environnements.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Annexe A
(informative)
Utilisation des attributs
A.1 Généralités
Cette annexe fournit un tableau pour montrer l'utilisation des attributs en tant que moyen de créer
différentes vues des mesures de sécurité. Les cinq exemples d’attributs sont (voir 4.2):
a) Types de mesures de sécurité (#Préventive, #Détective, #Corrective)
b) Propriétés de sécurité de l'information (#Confidentialité, #Intégrité, #Disponibilité)
c) Concepts de cybersécurité (#Identifier, #Protéger, #Détecter, #Répondre, #Rétablir)
d) Capacités opérationnelles (#Gouvernance, #Gestion_des_actifs, #Protection_des_informations,
#Sécurité_des_ressources_humaines, #Sécurité_physique, #Sécurité_système_et_réseau,
#Sécurité_des_applications, #Configuration_sécurisée, #Gestion_des_identités_et_des_accès,
#Gestion_des_menaces_et_des_vulnérabilités, #Continuité, #Sécurité_des_relations_fournisseurs,
#Réglementation_et_conformité, #Gestion_des_événements_de_sécurité_de_l'information,
#Assurance_de_sécurité_de_l'information)
e) Domaines de sécurité (#Gouvernance_et_Écosystème, #Protection, #Défense, #Résilience)
Le Tableau A.1 contient une matrice de toutes les mesures de sécurité qui figurent dans le présent
document avec leurs valeurs d'attributs.
Le filtrage ou le tri de la matrice peut être réalisé en utilisant un outil tel qu'un simple tableur ou une
base de données, qui peuvent inclure plus d’informations comme le texte de la mesure de sécurité, les
recommandations, les recommandations ou les attributs spécifiques à l'organisation (voir A.2).
Tableau A.1 — Matrice des mesures de sécurité et valeurs d'attributs

Identifiant
Nom de la Type de Propriétés de Concepts de
de moyen Capacités Domaines de
mesure de mesure de sécurité de cybersécu-
dans l'ISO/ opérationnelles sécurité
sécurité sécurité l'information rité
IEC 27002
#Gouver-
Politiques de #Confidentia-
nance_et_Éco-
5.1 sécurité de #Préventive lité #Intégrité #Identifier #Gouvernance
système
l'information #Disponibilité
#Résilience
#Gouver-
Fonctions et res-
#Confidentia- nance_et_Éco-
ponsabilités liées
5.2 #Préventive lité #Intégrité #Identifier #Gouvernance système
à la sécurité de
l'information
#Résilience
#Gouvernance
#Confidentia- #Gouver-
Séparation des #Gestion_des_
5.3 #Préventive lité #Intégrité #Protéger nance_et_Éco-
tâches identités_et_des_
#Disponibilité système
accès
Responsabilités
5.4 #Préventive lité #Intégrité #Identifier #Gouvernance nance_et_Éco-
de la direction

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
#Identifier
#Confidentia-
Contacts avec les #Préventive #Protéger #Défense
5.5 lité #Intégrité #Gouvernance
autorités #Corrective #Répondre #Résilience
#Disponibilité
#Rétablir
Contacts avec des #Confidentia- #Protéger
#Préventive
5.6 groupes d’intérêt lité #Intégrité #Répondre #Gouvernance #Défense
#Corrective
spécifiques #Disponibilité #Rétablir
#Préventive #Confidentia- #Identifier #Gestion_des_me-
Renseignements #Défense
5.7 #Détective lité #Intégrité #Détecter naces_et_des_vul-
sur les menaces #Résilience
#Corrective #Disponibilité #Répondre nérabilités
Sécurité de #Gouver-
#Confidentia-
l'information #Identifier nance_et_Éco-
5.8 #Préventive lité #Intégrité #Gouvernance
dans la gestion de #Protéger système
#Disponibilité
projet #Protection
Inventaire des #Gouver-
#Confidentia-
informations et #Gestion_des_ac- nance_et_Éco-
5.9 #Préventive lité #Intégrité #Identifier
autres actifs asso- tifs système
#Disponibilité
ciés #Protection
Utilisation cor- #Gouver-
#Confidentia- #Gestion_des_ac-
recte des infor- nance_et_Éco-
5.10 #Préventive lité #Intégrité #Protéger tifs #Protection_
mations et autres système
#Disponibilité des_informations
actifs associés #Protection
#Confidentia-
Restitution des #Gestion_des_ac-
5.11 #Préventive lité #Intégrité #Protéger #Protection
actifs tifs
#Disponibilité
#Confidentia-
Classification des #Protection_des_ #Protection
informations informations #Défense
#Disponibilité
#Confidentia-
Marquage des #Protection_des_ #Défense
5.13 #Préventive lité #Intégrité #Protéger
informations informations #Protection
#Disponibilité
Transfert des
5.14 #Préventive lité #Intégrité #Protéger tifs #Protection_ #Protection
informations
#Confidentia- #Gestion_des_
5.15 Contrôle d'accès #Préventive lité #Intégrité #Protéger identités_et_des_ #Protection
#Disponibilité accès
Gestion des iden-
5.16 #Préventive lité #Intégrité #Protéger identités_et_des_ #Protection
tités
Informations
d'authentification
5.18 Droits d'accès #Préventive lité #Intégrité #Protéger identités_et_des_ #Protection
Sécurité de l'in- #Gouver-
#Confidentia- #Sécurité_des_re-
formation dans nance_et_Éco-
5.19 #Préventive lité #Intégrité #Identifier lations_fournis-
les relations avec système
#Disponibilité seurs
les fournisseurs #Protection

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
Prise en compte
de la sécurité #Gouver-
#Confidentia- #Sécurité_des_re-
de l'information nance_et_Éco-
5.20 #Préventive lité #Intégrité #Identifier lations_fournis-
dans les accords système
#Disponibilité seurs
conclus avec les #Protection
fournisseurs
Gestion de la
#Gouver-
sécurité de l'in- #Confidentia- #Sécurité_des_re-
nance_et_Éco-
5.21 formation dans la #Préventive lité #Intégrité #Identifier lations_fournis-
système
chaîne d'approvi- #Disponibilité seurs
#Protection
sionnement TIC
#Sécurité_des_re-
Surveillance, ré- lations_fournis- #Gouver-
vision et gestion #Confidentia- seurs nance_et_Éco-
5.22 des changements #Préventive lité #Intégrité #Identifier système
des services four- #Disponibilité #Assurance_ #Protection
nisseurs de_sécurité_ #Défense
de_l'information
Sécurité de
#Gouver-
l'information #Confidentia- #Sécurité_des_re-
nance_et_Éco-
5.23 dans l'utilisation #Préventive lité #Intégrité #Protéger lations_fournis-
système
de services en #Disponibilité seurs
#Protection
nuage
Planification et #Gouvernance
préparation de la #Confidentia- #Gestion_des_
#Répondre
5.24 gestion des inci- #Corrective lité #Intégrité événements_ #Défense
#Rétablir
dents de sécurité #Disponibilité de_sécurité_
de l'information de_l'information
Appréciation
#Gestion_des_
des événements #Confidentia-
#Détecter événements_
5.25 de sécurité de #Détective lité #Intégrité #Défense
#Répondre de_sécurité_
l'information et #Disponibilité
de_l'information
prise de décision
#Gestion_des_
Réponse aux inci- #Confidentia-
#Répondre événements_
5.26 dents de sécurité #Corrective lité #Intégrité #Défense
#Rétablir de_sécurité_
de l'information #Disponibilité
de_l'information
Tirer des ensei-
#Gestion_des_
gnements des #Confidentia-
#Identifier événements_
5.27 incidents de sécu- #Préventive lité #Intégrité #Défense
#Protéger de_sécurité_
rité de l'informa- #Disponibilité
de_l'information
tion
#Gestion_des_
#Confidentia-
Recueil de #Détecter événements_
5.28 #Corrective lité #Intégrité #Défense
preuves #Répondre de_sécurité_
#Disponibilité
de_l'information
Sécurité de l'in- #Confidentia-
#Préventive #Protéger #Protection
5.29 formation durant lité #Intégrité #Continuité
#Corrective #Répondre #Résilience
une perturbation #Disponibilité
Préparation des
5.30 TIC pour la conti- #Corrective #Disponibilité #Répondre #Continuité #Résilience
nuité d'activité

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
Exigences légales, #Gouver-
#Confidentia-
statutaires, #Réglementation_ nance_et_Éco-
réglementaires et et_conformité système
#Disponibilité
contractuelles #Protection
Droits de proprié- #Réglementation_
5.32 #Préventive lité #Intégrité #Identifier nance_et_Éco-
té intellectuelle et_conformité
#Réglementation_
#Confidentia- et_conformité
Protection des #Identifier
5.33 #Préventive lité #Intégrité #Gestion_des_ac- #Défense
enregistrements #Protéger
#Disponibilité tifs #Protection_
des_informations
#Protection_des_
#Confidentia-
Vie privée et pro- #Identifier informations
5.34 #Préventive lité #Intégrité #Protection
tection des DCP #Protéger #Réglementation_
#Disponibilité
et_conformité
Révision indépen-
#Confidentia- #Assurance_ #Gouver-
dante de la sécu- #Préventive #Identifier
5.35 lité #Intégrité de_sécurité_ nance_et_Éco-
rité de l'informa- #Corrective #Protéger
#Disponibilité de_l'information système
tion
Conformité #Réglementa-
aux politiques, #Confidentia- tion_et_confor- #Gouver-
#Identifier
5.36 règles et normes #Préventive lité #Intégrité mité #Assurance_ nance_et_Éco-
#Protéger
de sécurité de #Disponibilité de_sécurité_ système
l'information de_l'information
#Gestion_des_
actifs #Sécu-
rité_physique
#Sécurité_sys-
tème_et_réseau
#Sécurité_des_
applications
#Configuration_ #Gouver-
Procédures #Confidentia- sécurisée #Ges- nance_et_Éco-
#Préventive #Protéger
5.37 d'exploitation lité #Intégrité tion_des_identi- système
#Corrective #Rétablir
documentées #Disponibilité tés_et_des_accès #Protection
#Gestion_des_ #Défense
menaces_et_des_
vulnérabilités
#Continuité
#Gestion_des_
événements_
de_sécurité_
de_l'information
#Confidentia- #Sécurité_des_ #Gouver-
6.1 Présélection #Préventive lité #Intégrité #Protéger ressources_hu- nance_et_Éco-
#Disponibilité maines système
Conditions géné-
6.2 #Préventive lité #Intégrité #Protéger ressources_hu- nance_et_Éco-
rales d'embauche

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
Sensibilisation,
apprentissage #Confidentia- #Sécurité_des_ #Gouver-
6.3 et formation à #Préventive lité #Intégrité #Protéger ressources_hu- nance_et_Éco-
la sécurité de #Disponibilité maines système
l'information
Processus disci- #Préventive #Protéger
6.4 lité #Intégrité ressources_hu- nance_et_Éco-
plinaire #Corrective #Répondre
Responsabilités
#Sécurité_des_
consécutivement #Confidentia- #Gouver-
ressources_hu-
6.5 à la fin ou au #Préventive lité #Intégrité #Protéger nance_et_Éco-
maines #Gestion_
changement d’un #Disponibilité système
des_actifs
emploi
#Sécurité_des_
Engagements de ressources_hu-
#Gouver-
confidentialité ou #Confidentia- maines #Protec-
6.6 #Préventive #Protéger nance_et_Éco-
de non-divulga- lité tion_des_informa-
système
tion tions #Relations_
fournisseurs
#Gestion_des_ac-
tifs #Protection_
#Confidentia- des_informations
6.7 Travail à distance #Préventive lité #Intégrité #Protéger #Sécurité_phy- #Protection
#Disponibilité sique #Sécu-
rité_système_et_
réseau
Déclaration des #Gestion_des_
#Confidentia-
événements événements_
6.8 #Détective lité #Intégrité #Détecter #Défense
de sécurité de de_sécurité_
#Disponibilité
l'information de_l'information
#Confidentia-
Périmètres de #Sécurité_phy-
sécurité physique sique
#Disponibilité
#Sécurité_phy-
#Confidentia-
sique #Gestion_
7.2 Accès physique #Préventive lité #Intégrité #Protéger #Protection
des_identités_et_
#Disponibilité
des_accès
Sécurisation des
#Confidentia- #Sécurité_phy-
bureaux, des
7.3 #Préventive lité #Intégrité #Protéger sique #Gestion_ #Protection
salles et des équi-
#Disponibilité des_actifs
pements
#Confidentia-
Surveillance de la #Préventive #Protéger #Sécurité_phy- #Protection
7.4 lité #Intégrité
sécurité physique #Détective #Détecter sique #Défense
#Disponibilité
Protection contre
#Confidentia-
les menaces #Sécurité_phy-
physiques et envi- sique
#Disponibilité
ronnementales
#Confidentia-
Travail dans les #Sécurité_phy-
zones sécurisées sique
#Disponibilité
Bureau propre et #Confidentia- #Sécurité_phy-
7.7 #Préventive #Protéger #Protection
écran vide lité sique

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
Emplacement et #Confidentia- #Sécurité_phy-
7.8 protection du #Préventive lité #Intégrité #Protéger sique #Gestion_ #Protection
matériel #Disponibilité des_actifs
Sécurité des #Confidentia- #Sécurité_phy-
7.9 actifs hors des #Préventive lité #Intégrité #Protéger sique #Gestion_ #Protection
locaux #Disponibilité des_actifs
Supports de stoc-
7.10 #Préventive lité #Intégrité #Protéger sique #Gestion_ #Protection
kage
Services géné- #Préventive #Intégrité #Protéger #Sécurité_phy-
7.11 #Protection
raux #Détective #Disponibilité #Détecter sique
#Confidentia-
Sécurité du #Sécurité_phy-
7.12 #Préventive lité #Disponi- #Protéger #Protection
câblage sique
bilité
Maintenance du #Protection
7.13 #Préventive lité #Intégrité #Protéger sique #Gestion_
matériel #Résilience
Mise au rebut
#Sécurité_phy-
ou recyclage #Confidentia-
7.14 #Préventive #Protéger sique #Gestion_ #Protection
sécurisé(e) du lité
des_actifs
matériel
Terminaux finaux
8.1 #Préventive lité #Intégrité #Protéger tifs #Protection_ #Protection
des utilisateurs
Droits d'accès
privilégiés
Restriction #Confidentia- #Gestion_des_
8.3 d'accès à l'infor- #Préventive lité #Intégrité #Protéger identités_et_des_ #Protection
mation #Disponibilité accès
#Gestion_des_
identités_et_des_
#Confidentia-
Accès au code accès #Sécurité_
source des_applications
#Disponibilité
#Configuration_
sécurisée
Authentification
sécurisée
#Gouver-
#Identifier
Dimensionne- #Préventive #Intégrité nance_et_Éco-
8.6 #Protéger #Continuité
ment #Détective #Disponibilité système
#Détecter
#Protection
#Sécurité_sys-
Protection contre #Préventive #Confidentia-
#Protéger tème_et_réseau #Protection
8.7 les programmes #Détective lité #Intégrité
#Détecter #Protection_des_ #Défense
malveillants #Corrective #Disponibilité
informations
#Gouver-
Gestion des #Confidentia- #Gestion_des_me- nance_et_Éco-
#Identifier
8.8 vulnérabilités #Préventive lité #Intégrité naces_et_des_vul- système
#Protéger
techniques #Disponibilité nérabilités #Protection
#Défense

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
#Confidentia-
Gestion de la #Configuration_
configuration sécurisée
#Disponibilité
#Protection_des_
Suppression #Confidentia- informations
d'information lité #Réglementation_
et_conformité
Masquage des #Confidentia- #Protection_des_
données lité informations
Prévention de la #Préventive #Confidentia- #Protéger #Protection_des_ #Protection
8.12
fuite de données #Détective lité #Détecter informations #Défense
Sauvegarde des #Intégrité
8.13 #Corrective #Rétablir #Continuité #Protection
informations #Disponibilité
Redondance des
moyens de traite- #Continuité #Ges- #Protection
8.14 #Préventive #Disponibilité #Protéger
ment de l'infor- tion_des_actifs #Résilience
mation
#Gestion_des_
#Confidentia-
événements_ #Protection
8.15 Journalisation #Détective lité #Intégrité #Détecter
de_sécurité_ #Défense
#Disponibilité
de_l'information
#Gestion_des_
#Confidentia-
Activités de sur- #Détective #Détecter événements_
8.16 lité #Intégrité #Défense
veillance #Corrective #Répondre de_sécurité_
#Disponibilité
de_l'information
#Gestion_des_
Synchronisation #Protéger événements_ #Protection
8.17 #Détective #Intégrité
des horloges #Détecter de_sécurité_ #Défense
de_l'information
#Sécurité_sys-
Utilisation de tème_et_réseau
#Confidentia-
programmes #Configura-
utilitaires à privi- tion_sécurisée
#Disponibilité
lèges #Sécurité_des_ap-
plications
Installation de #Configura-
#Confidentia-
logiciels sur des tion_sécurisée
systèmes en #Sécurité_des_ap-
#Disponibilité
exploitation plications
#Confidentia-
Sécurité des #Préventive #Protéger #Sécurité_sys-
8.20 lité #Intégrité #Protection
réseaux #Détective #Détecter tème_et_réseau
#Disponibilité
#Confidentia-
Sécurité des ser- #Sécurité_sys-
vices réseau tème_et_réseau
#Disponibilité
#Confidentia-
Cloisonnement #Sécurité_sys-
des réseaux tème_et_réseau
#Disponibilité
#Confidentia-
#Sécurité_sys-
8.23 Filtrage Internet #Préventive lité #Intégrité #Protéger #Protection
tème_et_réseau
#Disponibilité

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.1 (suite)

Identifiant
IEC 27002
#Confidentia-
Utilisation de la #Configuration_
cryptographie sécurisée
#Disponibilité
#Sécurité_des_
Cycle de vie de #Confidentia-
applications
8.25 développement #Préventive lité #Intégrité #Protéger #Protection
#Sécurité_sys-
sécurisé #Disponibilité
tème_et_réseau
#Sécurité_des_
Exigences de #Confidentia-
applications #Protection
8.26 sécurité des #Préventive lité #Intégrité #Protéger
#Sécurité_sys- #Défense
applications #Disponibilité
tème_et_réseau
Principes d'ingé- #Sécurité_des_
#Confidentia-
nierie et d'archi- applications
tecture système #Sécurité_sys-
#Disponibilité
sécurisée tème_et_réseau
#Sécurité_des_
#Confidentia-
applications
8.28 Codage sécurisé #Préventive lité #Intégrité #Protéger #Protection
#Sécurité_sys-
#Disponibilité
tème_et_réseau
#Sécurité_des_
applications
Tests de sécurité
#Confidentia- #Assurance_
dans le dévelop-
8.29 #Préventive lité #Intégrité #Identifier de_sécurité_ #Protection
pement et l'accep-
#Disponibilité de_l'information
tation
#Sécurité_sys-
tème_et_réseau
#Sécurité_sys-
tème_et_réseau
#Gouver-
#Confidentia- #Identifier #Sécurité_des_
Développement #Préventive nance_et_Éco-
8.30 lité #Intégrité #Protéger applications
externalisé #Détective système
#Disponibilité #Détecter #Sécurité_des_re-
#Protection
lations_fournis-
seurs
Séparation des
#Sécurité_des_
environnements #Confidentia-
applications
8.31 de développe- #Préventive lité #Intégrité #Protéger #Protection
#Sécurité_sys-
ment, de test et #Disponibilité
tème_et_réseau
de production
#Sécurité_des_
#Confidentia-
Gestion des chan- applications
gements #Sécurité_sys-
#Disponibilité
tème_et_réseau
Informations
#Confidentia- #Protection_des_
8.33 relatives aux #Préventive #Protéger #Protection
lité #Intégrité informations
tests
Protection des #Sécurité_sys- #Gouver-
#Confidentia-
systèmes d'infor- tème_et_réseau nance_et_Éco-
8.34 #Préventive lité #Intégrité #Protéger
mation en cours #Protection_des_ système
#Disponibilité
de test d'audit informations #Protection
Le Tableau A.2 montre un exemple de manière de créer une vue en filtrant selon une valeur d'attribut
particulière, dans le cas présent #Corrective.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.2 — Vue des mesures de sécurité #Corrective

Identifiant Type de Propriétés
Nom de la Concepts de Domaines
de moyen mesure de sécurité
mesure de cybersécu- Capacités opérationnelles de
dans l'ISO/ de de l'infor-
sécurité rité sécurité
IEC 27002 sécurité mation
#Confi-
#Identifier
Contacts #Préven- dentialité
#Protéger #Défense
5.5 avec les auto- tive #Cor- #Intégrité #Gouvernance
#Répondre #Résilience
rités rective #Disponibi-
#Rétablir
lité
Contacts #Confi-
avec des #Préven- dentialité #Protéger
5.6 groupes tive #Cor- #Intégrité #Répondre #Gouvernance #Défense
d’intérêt rective #Disponibi- #Rétablir
spécifiques lité
#Pré- #Confi-
Renseigne- ventive dentialité #Identifier
#Gestion_des_menaces_et_ #Défense
5.7 ments sur les #Détec- #Intégrité #Détecter
des_vulnérabilités #Résilience
menaces tive #Cor- #Disponibi- #Répondre
rective lité
Planification
et prépara- #Confi-
tion de la dentialité #Gouvernance #Gestion_
#Correc- #Répondre
5.24 gestion des #Intégrité des_événements_de_sécu- #Défense
tive #Rétablir
incidents de #Disponibi- rité_de_l'information
sécurité de lité
l'information
#Confi-
Réponse aux
dentialité
incidents de #Correc- #Répondre #Gestion_des_événements_
5.26 #Intégrité #Défense
sécurité de tive #Rétablir de_sécurité_de_l'information
#Disponibi-
l'information
lité
#Confi-
dentialité
Recueil de #Correc- #Détecter #Gestion_des_événements_
5.28 #Intégrité #Défense
preuves tive #Répondre de_sécurité_de_l'information
#Disponibi-
lité
#Confi-
Sécurité de
#Préven- dentialité #Protec-
l'information #Protéger
5.29 tive #Cor- #Intégrité #Continuité tion #Rési-
durant une #Répondre
rective #Disponibi- lience
perturbation
lité
Préparation
des TIC pour #Correc- #Disponibi-
5.30 #Répondre #Continuité #Résilience
la continuité tive lité
d'activité
Révision in- #Confi-
#Gouver-
dépendante #Préven- dentialité
#Identifier #Assurance_de_sécurité_ nance_et_
5.35 de la sécurité tive #Cor- #Intégrité
#Protéger de_l'information Écosys-
de l'informa- rective #Disponibi-
tème
tion lité

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau A.2 (suite)

Identifiant Type de Propriétés
Nom de la Concepts de Domaines
de moyen mesure de sécurité
mesure de cybersécu- Capacités opérationnelles de
dans l'ISO/ de de l'infor-
sécurité rité sécurité
IEC 27002 sécurité mation
#Gestion_des_actifs #Sé-
curité_physique #Sécu-
rité_système_et_réseau
#Gouver-
#Confi- #Sécurité_des_applications
Procédures nance_et_
#Préven- dentialité #Configuration_sécurisée
d'exploita- #Protéger Écosystème
5.37 tive #Cor- #Intégrité #Gestion_des_identités_et_
tion docu- #Rétablir #Pro-
rective #Disponibi- des_accès #Gestion_des_me-
mentées tection
lité naces_et_des_vulnérabilités
#Défense
#Continuité #Gestion_des_
événements_de_sécurité_
de_l'information
#Confi-
#Gouver-
#Préven- dentialité
Processus #Protéger #Sécurité_des_ressources_ nance_et_
6.4 tive #Cor- #Intégrité
disciplinaire #Répondre humaines Écosys-
rective #Disponibi-
tème
lité
#Pré- #Confi-
Protection
ventive dentialité #Sécurité_système_et_réseau #Pro-
contre les #Protéger
8.7 #Détec- #Intégrité #Protection_des_informa- tection
programmes #Détecter
tive #Cor- #Disponibi- tions #Défense
malveillants
rective lité
Sauvegarde #Intégrité
#Correc- #Protec-
8.13 des informa- #Disponibi- #Rétablir #Continuité
tive tion
tions lité
#Confi-
#Détec- dentialité
Activités de #Détecter #Gestion_des_événements_
8.16 tive #Cor- #Intégrité #Défense
surveillance #Répondre de_sécurité_de_l'information
rective #Disponibi-
lité
A.2 Vues organisationnelles

Dans la mesure où les attributs sont utilisés pour créer différentes vues des mesures de sécurité, les
organisations peuvent ignorer les exemples d'attributs proposés dans le présent document et créer
leurs propres attributs avec des valeurs différentes pour répondre à des besoins spécifiques de
l'organisation. De plus, les valeurs attribuées à chaque attribut peuvent différer d'une organisation
à une autre dans la mesure où les organisations peuvent avoir différentes visions sur l'utilisation ou
l'applicabilité d'une mesure de sécurité ou des valeurs associées à un attribut (lorsque les valeurs
sont spécifiques au contexte de l'organisation). La première étape consiste à comprendre la raison
pour laquelle un attribut spécifique à l'organisation est souhaitable. Par exemple, si une organisation
a élaboré ses plans de traitement des risques [voir l'ISO/IEC 27001:2013, 6.1.3 e)] par rapport à des
événements, elle peut souhaiter associer un attribut de scénario de risque à chaque mesure de sécurité
du présent document.
L’avantage d’un tel attribut est d'accélérer le processus de réponse à l'exigence de l'ISO/IEC 27001
relative au traitement des risques, qui est de comparer les mesures de sécurité déterminées à travers
le processus de traitement des risques (qualifiées de mesures de sécurité «nécessaires») avec celles de
l'ISO/IEC 27001:2013, Annexe A (qui sont issues du présent document) pour s'assurer qu'aucune mesure
de sécurité nécessaire n'a été omise.
Une fois que l’objectif et les avantages sont connus, l’étape suivante consiste à déterminer les valeurs de
l'attribut. Par exemple, l'organisation pourrait identifier 9 événements:
1) perte ou vol d’un terminal mobile;

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
2) perte ou vol dans les locaux de l'organisation;

3) force majeure, vandalisme et terrorisme;
4) défaillance de logiciels, de matériels, de fourniture d’électricité, d'Internet et des communications;
5) fraude;
6) piratage;
7) divulgation;
8) violation de la loi;
9) ingénierie sociale.
La deuxième étape peut donc être réalisée en attribuant des identifiants à chaque événement (par
exemple, E1, E2, ..., E9).
La troisième étape consiste à copier les identifiants des mesures de sécurité et les noms de mesures
de sécurité du présent document dans un tableur ou une base de données et d'associer les valeurs
d'attributs à chaque mesure de sécurité, en gardant à l'esprit que chaque mesure de sécurité peut avoir
plusieurs valeurs d'attributs.
La dernière étape consiste à trier la feuille de calcul ou à interroger la base de données pour extraire les
informations requises.
D’autres exemples d'attributs de l’organisation (et de valeurs possibles) sont:
a) maturité (valeurs de la série ISO/IEC 33000 ou autres modèles de maturité);
b) état de mise en œuvre (à faire, en cours, partiellement mis en œuvre, entièrement mis en œuvre);
c) priorité (1, 2, 3, etc.);
d) secteurs de l’organisation concernés (sécurité, TIC, ressources humaines, direction générale, etc.);
e) événements;
f) actifs concernés;
g) développer et exécuter, pour différencier les mesures de sécurité utilisées dans les différentes
étapes du cycle de vie du service;
g) autres cadres que l'organisation utilise ou dont elle peut être issue.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Annexe B
(informative)
Correspondance de l’ISO/IEC 27002:2022 (le présent document)

avec l'ISO/IEC 27002:2013
L’objectif de la présente annexe est de proposer une rétrocompatibilité avec l'ISO/IEC 27002:2013

aux organisations qui utilisent actuellement cette norme et souhaitent maintenant passer à l'édition
actuelle.
Le Tableau B.1 fournit la correspondance des mesures de sécurité indiquées dans les Articles 5 à 8 avec
celles de l'ISO/IEC 27002:2013.
Tableau B.1 — Correspondance entre les mesures de sécurité du présent document et les

mesures de sécurité de l'ISO/IEC 27002:2013
Identifiant de la Identifiant de la Nom de la mesure de sécurité
mesure de mesure de
sécurité dans sécurité dans
l'ISO/ l'ISO/IEC 27002:2013
IEC 27002:2022
5.1 05.1.1, 05.1.2 Politiques de sécurité de l'information
5.2 06.1.1 Fonctions et responsabilités liées à la sécurité de l'information
5.3 06.1.2 Séparation des tâches
5.4 07.2.1 Responsabilités de la direction
5.5 06.1.3 Contacts avec les autorités
5.6 06.1.4 Contacts avec des groupes d’intérêt spécifiques
5.7 Nouveau Renseignements sur les menaces
5.8 06.1.5, 14.1.1 Sécurité de l'information dans la gestion de projet
5.9 08.1.1, 08.1.2 Inventaire des informations et autres actifs associés
5.10 08.1.3, 08.2.3 Utilisation correcte des informations et autres actifs associés
5.11 08.1.4 Restitution des actifs
5.12 08.2.1 Classification des informations
5.13 08.2.2 Marquage des informations
5.14 13.2.1, 13.2.2, 13.2.3 Transfert des informations
5.15 09.1.1, 09.1.2 Contrôle d'accès
5.16 09.2.1 Gestion des identités
5.17 09.2.4, 09.3.1, 09.4.3 Informations d'authentification
5.18 09.2.2, 09.2.5, 09.2.6 Droits d'accès
5.19 15.1.1 Sécurité de l'information dans les relations avec les fournisseurs
Prise en compte de la sécurité de l'information dans les accords
5.20 15.1.2
conclus avec les fournisseurs
Gestion de la sécurité de l'information dans la chaîne d'approvi-
5.21 15.1.3
sionnement TIC
Surveillance, révision et gestion des changements des services
5.22 15.2.1, 15.2.2
fournisseurs
5.23 Nouveau Sécurité de l'information dans l'utilisation de services en nuage

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.1 (suite)

mesure de mesure de
IEC 27002:2022
Planification et préparation de la gestion des incidents de sécu-
5.24 16.1.1
rité de l'information
Appréciation des événements de sécurité de l'information et
5.25 16.1.4
prise de décision
5.26 16.1.5 Réponse aux incidents de sécurité de l'information
Tirer des enseignements des incidents de sécurité de l'informa-
5.27 16.1.6
tion
5.28 16.1.7 Recueil de preuves
5.29 17.1.1, 17.1.2, 17.1.3 Sécurité de l'information durant une perturbation
5.30 Nouveau Préparation des TIC pour la continuité d'activité
5.31 18.1.1, 18.1.5 Exigences légales, statutaires, réglementaires et contractuelles
5.32 18.1.2 Droits de propriété intellectuelle
5.33 18.1.3 Protection des enregistrements
5.34 18.1.4 Vie privée et protection des DCP
5.35 18.2.1 Révision indépendante de la sécurité de l'information
Conformité aux politiques, règles et normes de sécurité de l'infor-
5.36 18.2.2, 18.2.3
mation
5.37 12.1.1 Procédures d'exploitation documentées
6.1 07.1.1 Présélection
6.2 07.1.2 Conditions générales d'embauche
Sensibilisation, apprentissage et formation à la sécurité de
6.3 07.2.2
l'information
6.4 07.2.3 Processus disciplinaire
Responsabilités consécutivement à la fin ou au changement d’un
6.5 07.3.1
emploi
6.6 13.2.4 Engagements de confidentialité ou de non-divulgation
6.7 06.2.2 Travail à distance
6.8 16.1.2, 16.1.3 Déclaration des événements de sécurité de l'information
7.1 11.1.1 Périmètres de sécurité physique
7.2 11.1.2, 11.1.6 Accès physique
7.3 11.1.3 Sécurisation des bureaux, des salles et des équipements
7.4 Nouveau Surveillance de la sécurité physique
7.5 11.1.4 Protection contre les menaces physiques et environnementales
7.6 11.1.5 Travail dans les zones sécurisées
7.7 11.2.9 Bureau propre et écran vide
7.8 11.2.1 Emplacement et protection du matériel
7.9 11.2.6 Sécurité des actifs hors des locaux
08.3.1, 08.3.2, 08.3.3,
7.10 Supports de stockage
11.2.5
7.11 11.2.2 Services généraux
7.12 11.2.3 Sécurité du câblage
7.13 11.2.4 Maintenance du matériel
7.14 11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.1 (suite)

mesure de mesure de
IEC 27002:2022
8.1 06.2.1, 11.2.8 Terminaux finaux des utilisateurs
8.2 09.2.3 Droits d'accès privilégiés
8.3 09.4.1 Restriction d'accès à l'information
8.4 09.4.5 Accès au code source
8.5 09.4.2 Authentification sécurisée
8.6 12.1.3 Dimensionnement
8.7 12.2.1 Protection contre les programmes malveillants
8.8 12.6.1, 18.2.3 Gestion des vulnérabilités techniques
8.9 Nouveau Gestion de la configuration
8.10 Nouveau Suppression d'information
8.11 Nouveau Masquage des données
8.12 Nouveau Prévention de la fuite de données
8.13 12.3.1 Sauvegarde des informations
8.14 17.2.1 Redondance des moyens de traitement de l'information
8.15 12.4.1, 12.4.2, 12.4.3 Journalisation
8.16 Nouveau Activités de surveillance
8.17 12.4.4 Synchronisation des horloges
8.18 09.4.4 Utilisation de programmes utilitaires à privilèges
8.19 12.5.1, 12.6.2 Installation de logiciels sur des systèmes en exploitation
8.20 13.1.1 Sécurité des réseaux
8.21 13.1.2 Sécurité des services réseau
8.22 13.1.3 Cloisonnement des réseaux
8.23 Nouveau Filtrage Internet
8.24 10.1.1, 10.1.2 Utilisation de la cryptographie
8.25 14.2.1 Cycle de vie de développement sécurisé
8.26 14.1.2, 14.1.3 Exigences de sécurité des applications
8.27 14.2.5 Principes d'ingénierie et d'architecture système sécurisée
8.28 Nouveau Codage sécurisé
8.29 14.2.8, 14.2.9 Tests de sécurité dans le développement et l'acceptation
8.30 14.2.7 Développement externalisé
Séparation des environnements de développement, de test et de
8.31 12.1.4, 14.2.6
production
12.1.2, 14.2.2, 14.2.3,
8.32 Gestion des changements
14.2.4
8.33 14.3.1 Informations relatives aux tests
8.34 12.7.1 Protection des systèmes d'information en cours de test d'audit
Le Tableau B.2 fournit la correspondance des mesures de sécurité figurant dans l'ISO/IEC 27002:2013

avec celles du présent document.

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.2 — Correspondance entre les mesures de sécurité de l'ISO/IEC 27002:2013 et les

mesures de sécurité du présent document
Identifiant de la mesure Identifiant de la Nom de la mesure de sécurité selon l'ISO/IEC 27002:2013
de sécurité dans l'ISO/ mesure de
IEC 27002:2013 sécurité
dans l'ISO/
IEC 27002:2022
5 Politiques de sécurité de l'information
5.1 Orientations de la direction en matière de sécurité de l'informa-
tion
5.1.1 5.1 Politiques de sécurité de l'information
5.1.2 5.1 Révision des politiques de sécurité de l'information
6 Organisation de la sécurité de l'information
6.1 Organisation interne
6.1.1 5.2 Fonctions et responsabilités liées à la sécurité de l'information
6.1.2 5.3 Séparation des tâches
6.1.3 5.5 Contacts avec les autorités
6.1.4 5.6 Contacts avec des groupes d’intérêt spécifiques
6.1.5 5.8 Sécurité de l'information dans la gestion de projet
6.2 Appareils mobiles et télétravail
6.2.1 8.1 Politique en matière d'appareils mobiles
6.2.2 6.7 Télétravail
7 Sécurité des ressources humaines
7.1 Avant l'embauche
7.1.1 6.1 Présélection
7.1.2 6.2 Conditions générales d'embauche
7.2 Pendant la durée du contrat
7.2.1 5.4 Responsabilités de la direction
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de
6.3
l'information
7.2.3 6.4 Processus disciplinaire
7.3 Rupture, terme ou modification du contrat de travail
7.3.1 Achèvement ou modification des responsabilités associées au
6.5
contrat de travail
8 Gestion des actifs
8.1 Responsabilités relatives aux actifs
8.1.1 5.9 Inventaire des actifs
8.1.2 5.9 Propriété des actifs
8.1.3 5.10 Utilisation correcte des actifs
8.1.4 5.11 Restitution des actifs
8.2 Classification de l'information
8.2.1 5.12 Classification de l'information
8.2.2 5.13 Marquage des informations
8.2.3 5.10 Manipulation des actifs
8.3 Manipulation des supports
8.3.1 7.10 Gestion des supports amovibles
8.3.2 7.10 Mise au rebut des supports
8.3.3 7.10 Transfert physique des supports

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.2 (suite)

dans l'ISO/
IEC 27002:2022
9 Contrôle d'accès
9.1 Exigences métier en matière de contrôle d'accès
9.1.1 5.15 Politique de contrôle d'accès
9.1.2 5.15 Accès aux réseaux et aux services réseau
9.2 Gestion de l'accès utilisateur
9.2.1 5.16 Enregistrement et désinscription des utilisateurs
9.2.2 5.18 Maîtrise de la gestion des accès utilisateur
9.2.3 8.2 Gestion des droits d’accès privilégiés
9.2.4 Gestion des informations secrètes d'authentification des utili-
5.17
sateurs
9.2.5 5.18 Révision des droits d'accès utilisateur
9.2.6 5.18 Suppression ou adaptation des droits d'accès
9.3 Responsabilités des utilisateurs
9.3.1 5.17 Utilisation d'informations secrètes d'authentification
9.4 Contrôle de l'accès au système et aux applications
9.4.1 8.3 Restriction d'accès à l'information
9.4.2 8.5 Sécuriser les procédures de connexion
9.4.3 5.17 Système de gestion des mots de passe
9.4.4 8.18 Utilisation de programmes utilitaires à privilèges
9.4.5 8.4 Contrôle d'accès au code source des programmes
10 Cryptographie
10.1 Moyens cryptographiques
10.1.1 8.24 Politique d'utilisation des moyens cryptographiques
10.1.2 8.24 Gestion des clés
11 Sécurité physique et environnementale
11.1 Zones sécurisées
11.1.1 7.1 Périmètre de sécurité physique
11.1.2 7.2 Contrôles physiques des accès
11.1.3 7.3 Sécurisation des bureaux, des salles et des équipements
11.1.4 Protection contre les menaces extérieures et environnemen-
7.5
tales
11.1.5 7.6 Travail dans les zones sécurisées
11.1.6 7.2 Zones de livraison et de chargement
11.2 Matériels
11.2.1 7.8 Emplacement et protection du matériel
11.2.2 7.11 Services généraux
11.2.3 7.12 Sécurité du câblage
11.2.4 7.13 Maintenance du matériel
11.2.5 7.10 Sortie des actifs
11.2.6 7.9 Sécurité du matériel et des actifs hors des locaux
11.2.7 7.14 Mise au rebut ou recyclage sécurisé(e) du matériel

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.2 (suite)

dans l'ISO/
IEC 27002:2022
11.2.8 8.1 Matériel utilisateur laissé sans surveillance
11.2.9 7.7 Politique du bureau propre et de l'écran vide
12 Sécurité liée à l'exploitation
12.1 Procédures et responsabilités liées à l'exploitation
12.1.1 5.37 Procédures d'exploitation documentées
12.1.2 8.32 Gestion des changements
12.1.3 8.6 Dimensionnement
12.1.4 Séparation des environnements de développement, de test et
8.31
d'exploitation
12.2 Protection contre les programmes malveillants
12.2.1 8.7 Moyens contre les programmes malveillants
12.3 Sauvegarde
12.3.1 8.13 Sauvegarde des informations
12.4 Journalisation et surveillance
12.4.1 8.15 Journalisation des événements
12.4.2 8.15 Protection de l'information journalisée
12.4.3 8.15 Journaux administrateur et opérateur
12.4.4 8.17 Synchronisation des horloges
12.5 Maîtrise des logiciels en exploitation
12.5.1 8.19 Installation de logiciels sur des systèmes en exploitation
12.6 Gestion des vulnérabilités techniques
12.6.1 8.8 Gestion des vulnérabilités techniques
12.6.2 8.19 Restrictions liées à l'installation de logiciels
12.7 Considérations sur l'audit du système d'information
12.7.1 8.34 Moyens relatifs à l'audit des systèmes d'information
13 Sécurité des communications
13.1 Installations de gestion de la sécurité des réseaux
13.1.1 8.20 Moyens liés aux réseaux
13.1.2 8.21 Sécurité des services réseau
13.1.3 8.22 Cloisonnement des réseaux
13.2 Transfert des informations
13.2.1 5.14 Politiques et procédures de transfert des informations
13.2.2 5.14 Accords en matière de transfert des informations
13.2.3 5.14 Messagerie électronique
13.2.4 6.6 Engagements de confidentialité ou de non-divulgation
14 Acquisition, développement et maintenance des systèmes
d'information
14.1 Exigences de sécurité applicables aux systèmes d'information
14.1.1 Analyse et spécification des exigences de sécurité de l'informa-
5.8
tion
14.1.2 8.26 Sécurisation des services d'application sur les réseaux publics
14.1.3 8.26 Protection des transactions liées aux services d'application

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.2 (suite)

dans l'ISO/
IEC 27002:2022
14.2 Sécurité des processus de développement et d'assistance tech-
nique
14.2.1 8.25 Politique de développement sécurisé
14.2.2 8.32 Procédures de contrôle des changements apportés au système
14.2.3 Révision technique des applications après changement apporté
8.32
à la plateforme d'exploitation
14.2.4 8.32 Restrictions relatives aux changements apportés aux progiciels
14.2.5 8.27 Principes d'ingénierie de la sécurité des systèmes
14.2.6 8.31 Environnement de développement sécurisé
14.2.7 8.30 Développement externalisé
14.2.8 8.29 Phase de test de la sécurité du système
14.2.9 8.29 Test de conformité du système
14.3 Données de test
14.3.1 8.33 Protection des données de test
15 Relations avec les fournisseurs
15.1 Sécurité de l'information dans les relations avec les fournis-
seurs
15.1.1 Politique de sécurité de l'information dans les relations avec les
5.19
fournisseurs
15.1.2 5.20 La sécurité dans les accords conclus avec les fournisseurs
15.1.3 5.21 Chaîne d'approvisionnement informatique
15.2 Gestion de la prestation du service
15.2.1 5.22 Surveillance et révision des services des fournisseurs
15.2.2 Gestion des changements apportés dans les services des four-
5.22
nisseurs
16 Gestion des incidents de sécurité de l'information
16.1 Gestion des incidents de sécurité de l'information et améliora-
tions
16.1.1 5.24 Responsabilités et procédures
16.1.2 6.8 Déclaration des événements de sécurité de l'information
16.1.3 6.8 Déclaration des failles liées à la sécurité de l'information
16.1.4 Appréciation des événements de sécurité de l'information et
5.25
prise de décision
16.1.5 5.26 Réponse aux incidents de sécurité de l'information
16.1.6 Tirer des enseignements des incidents de sécurité de l'informa-
5.27
tion
16.1.7 5.28 Recueil de preuves
17 Aspects de la sécurité de l'information dans la gestion de la
continuité d'activité
17.1 Continuité de la sécurité de l'information
17.1.1 5.29 Organisation de la continuité de la sécurité de l'information
17.1.2 5.29 Mise en œuvre de la continuité de la sécurité de l'information
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l'infor-
5.29
mation

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Tableau B.2 (suite)

dans l'ISO/
IEC 27002:2022
17.2 Redondances
17.2.1 8.14 Disponibilité des moyens de traitement de l'information
18 Conformité
18.1 Conformité aux obligations légales et réglementaires
18.1.1 Identification de la législation et des exigences contractuelles
5.31
applicables
18.1.2 5.32 Droits de propriété intellectuelle
18.1.3 5.33 Protection des enregistrements
18.1.4 Protection de la vie privée et protection des données à carac-
5.34
tère personnel
18.1.5 5.31 Réglementation relative aux moyens cryptographiques
18.2 Révision de la sécurité de l'information
18.2.1 5.35 Révision indépendante de la sécurité de l'information
18.2.2 5.36 Conformité aux politiques et normes de sécurité
18.2.3 5.36, 8.8 Examen de la conformité technique

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
Bibliographie
[1] ISO 9000, Systèmes de management de la qualité — Principes essentiels et vocabulaire

[2] ISO 55001, Gestion d'actifs — Systèmes de management — Exigences
[3] ISO/IEC 11770 (toutes les parties), Sécurité de l’information — Gestion de clés
[4] ISO/IEC 15408 (toutes les parties), Technologies de l’information — Techniques de sécurité —
Critères d’évaluation pour la sécurité TI
[5] ISO 15489 (toutes les parties), Information et documentation — Gestion des documents d’activité
[6] ISO/IEC 17788, Technologies de l'information — Informatique en nuage — Vue d'ensemble et
vocabulaire
[7] ISO/IEC 17789, Technologies de l'information — Informatique en nuage — Architecture de référence
[8] ISO/IEC 19086 (toutes les parties), Informatique en nuage — Cadre de travail de l’accord du niveau
de service
[9] ISO/IEC 19770 (toutes les parties), Technologies de l’information — Gestion des actifs logiciels
[10] ISO/IEC 19941, Technologies de l'information — Informatique en nuage — Interopérabilité et
portabilité
[11] ISO/IEC 20889, Terminologie et classification des techniques de dé-identification de données pour la
protection de la vie privée
[12] ISO 21500, Management des projets, programmes et portefeuilles — Contexte et concepts
[13] ISO 21502, Management de projets, programmes et portefeuilles — Recommandations sur le
management de projets
[14] ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d'activité —
Exigences
[15] ISO 22313, Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes
directrices sur l'utilisation de l'ISO 22301
[16] ISO/TS 22317, Sécurité et résilience — Systèmes de management de la continuité d'activité —
Lignes directrices pour le bilan d'impact sur l'activité
[17] ISO 22396, Sécurité et résilience — Résilience des communautés — Lignes directrices pour l’échange
d’informations entre les organismes
[18] ISO/IEC TS 23167, Information technology — Cloud computing — Common technologies and
techniques
[19] ISO/IEC 23751, Information technology — Cloud computing and distributed platforms — Data
sharing agreement (DSA) framework
[20] ISO/IEC 24760 (toutes les parties), Sécurité IT et confidentialité — Cadre pour la gestion de
l’identité
[21] ISO/IEC 27001:2013, Technologies de l'information — Techniques de sécurité — Systèmes de
management de la sécurité de l'information — Exigences
[22] ISO/IEC 27005, Technologies de l’information — Techniques de sécurité — Gestion des risques liés à
la sécurité de l’information

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
[23] ISO/IEC 27007, Sécurité de l'information, cybersécurité et protection des données privées — Lignes
directrices pour l'audit des systèmes de management de la sécurité de l'information
[24] ISO/IEC TS 27008, Technologies de l'information — Techniques de sécurité — Lignes directrices
pour les auditeurs des contrôles de sécurité de l'information
[25] ISO/IEC 27011, Technologies de l’information — Techniques de sécurité — Code de bonne pratique
pour les contrôles de la sécurité de l’information fondés sur l’ISO/IEC 27002 pour les organismes de
télécommunications
[26] ISO/IEC TR 27016, Technologies de l'information — Techniques de sécurité — Management de la
sécurité de l'information — Économie organisationnelle
[27] ISO/IEC 27017, Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques
pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage
[28] ISO/IEC 27018, Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques
pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage
public agissant comme processeur de PII
[29] ISO/IEC 27019, Technologies de l'information — Techniques de sécurité — Mesures de sécurité de
l'information pour l'industrie des opérateurs de l'énergie
[30] ISO/IEC 27031, Technologies de l'information — Techniques de sécurité — Lignes directrices pour
la préparation des technologies de la communication et de l'information pour la continuité d'activité
Sécurité de réseau
[32] ISO/IEC 27034 (toutes les parties), Technologies de l’information — Sécurité des applications
Gestion des incidents de sécurité de l’information
Sécurité d’information pour la relation avec le fournisseur
l'identification, la collecte, l'acquisition et la préservation de preuves numériques
[36] ISO/IEC 27040, Technologies de l’information — Techniques de sécurité — Sécurité de stockage
[37] ISO/IEC 27050 (toutes les parties), Technologies de l’information — Découverte électronique
[38] ISO/IEC/TS 27110, Sécurité de l'information, cybersécurité et protection de la vie privée — Lignes
directrices relatives à l'élaboration d'un cadre en matière de cybersécurité
[39] ISO/IEC 27701, Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC 27002 au
management de la protection de la vie privée — Exigences et lignes directrices
[40] ISO 27799, Informatique de santé — Management de la sécurité de l'information relative à la santé
en utilisant l'ISO/IEC 27002
[41] ISO/IEC 29100, Technologies de l'information — Techniques de sécurité — Cadre privé
[42] ISO/IEC 29115, Technologies de l'information — Techniques de sécurité — Cadre d'assurance de
l'authentification d'entité
l'étude d'impacts sur la vie privée
[44] ISO/IEC 29146, Technologies de l'information — Techniques de sécurité — Cadre pour gestion
d'accès

AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
[45] ISO/IEC 29147, Technologies de l'information — Techniques de sécurité — Divulgation de

vulnérabilité
[46] ISO 30000, Navires et technologie maritime — Systèmes de management de recyclage des navires
— Spécifications relatives aux systèmes de management pour les chantiers de recyclage des navires,
sûrs et non polluants
[47] ISO/IEC 30111, Technologies de l'information — Techniques de sécurité — Processus de traitement
de la vulnérabilité
[48] ISO 31000:2018, Management du risque — Lignes directrices
[49] IEC 31010, Management du risque — Techniques d'appréciation du risque
[50] ISO/IEC 22123 (toutes les parties), Technologies de l’information — Informatique en nuage
[51] ISO/IEC 27555, Sécurité de l’information, cybersécurité et protection de la vie privée — Lignes
directrices relatives à la suppression des informations personnellement identifiables
[52] Information Security Forum (ISF). Standard of Good Practice for Information Security 2020
de l'ISF, août 2018. Disponible à l'adresse: 1)
[53] ITIL® Foundation, ITIL 4 édition, AXELOS, février 2019, ISBN: 9780113316076
[54] National Institute of Standards and Technology (NIST). SP 800‑37, Risk Management
Framework for Information Systems and Organizations: A System Life Cycle Approach for
Security and Privacy, Révision 2. Décembre 2018 [consulté le 2020-07-31]. Disponible à l'adresse:
https://doi.org/10.6028/NIST.SP.800-37r2
[55] Open Web Application Security Project (OWASP). OWASP Top Ten — 2017, The Ten Most
Critical Web Application Security Risks, 2017 [consulté le 2020-07-31]. Disponible à l'adresse
https://owasp.org/w ww-project-top-ten/OWASP_Top_Ten_ 2017/
[56] Open Web Application Security Project (OWASP). OWASP Developer Guide, [en ligne]
[consulté le 2020-10-22]. Disponible à l'adresse https://g ithub.com/OWASP/DevGuide
[57] National Institute of Standards and Technology (NIST). SP 800‑63B, Digital Identity
Guidelines; Authentication and Lifecycle Management. Février 2020 [consulté le 2020-07-31].
Disponible à l'adresse: https://doi.org/10.6028/NIST.SP.800-63b
[58] OASIS, Structured Threat Information Expression. Disponible à l'adresse https://w ww.oasis
-open.org/standards#stix2.0
[59] OASIS, Trusted Automated Exchange of Indicator Information. Disponible à l'adresse https://
www.oasis-open.org/standards#taxii2.0
1) https://www.securityforum.org/tool/standard-of-good-practice-for-information-security-2020/

AFNOR ISO/IEC 27002:20222022-02
AFNOR ISO/IEC 27002:20222022-02
ISO/IEC 27002:2022(F)
ICS 35.030
Prix basé sur 152 pages
© ISO/IEC 2022 – Tous droits réservés

Iso/iec 27002:2022: Février 2022

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Iso/iec 27002:2022: Février 2022

Transféré par

Droits d'auteur :

Formats disponibles

ISO/IEC 27002:2022

Ce document est à usage exclusif et non collectif des clients AFNOR.

Identité: CLOAREC PATRICK

DOCUMENT PROTÉGÉ PAR COPYRIGHT

ii ﻿ © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés ﻿ iii

6.3 Sensibilisation, enseignement et formation en sécurité de l'information....................................... 66

iv ﻿ © ISO/IEC 2022 – Tous droits réservés

Annexe B (informative) Correspondance de l’ISO/IEC 27002:2022 (le présent document)

© ISO/IEC 2022 – Tous droits réservés ﻿ v

vi ﻿ © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés ﻿ vii

viii ﻿ © ISO/IEC 2022 – Tous droits réservés

0.6 Considérations relatives au cycle de vie

© ISO/IEC 2022 – Tous droits réservés ﻿ ix

NORME INTERNATIONALE ISO/IEC 27002:2022(F)

Sécurité de l'information, cybersécurité et protection de la

3 Termes, définitions et abréviations

3.1 Termes et définitions

— les actifs essentiels:

— processus (3.1.27) et activités métier;

© ISO/IEC 2022 – Tous droits réservés ﻿ 1

[SOURCE: ISO/IEC 27050‑1:2019, 3.1, modifié — Ajout d'une Note 1 à l'article]

[SOURCE: ISO 31000:2018, 3.8, modifié]

2 ﻿ © ISO/IEC 2022 – Tous droits réservés

[SOURCE: ISO/IEC 24760‑1:2019, 3.1.1]

© ISO/IEC 2022 – Tous droits réservés ﻿ 3

[SOURCE: ISO/IEC 29100:2011/Amd.1:2018, 2.9]

[SOURCE: ISO/IEC 29100:2011, 2.11]

4 ﻿ © ISO/IEC 2022 – Tous droits réservés

[SOURCE: ISO 15489‑1:2016, 3.14, modifié — Ajout d'une note 1 à l'article]

© ISO/IEC 2022 – Tous droits réservés ﻿ 5

AIA analyse d'impact sur l'activité

CPU unité centrale de traitement [central processing unit]

DAC contrôle d'accès discrétionnaire [discretionary access control]

DNS système de nom de domaine [domain name system]

GPS système mondial de localisation [global positioning system]

6 ﻿ © ISO/IEC 2022 – Tous droits réservés

IDE environnement de développement intégré [integrated development environment]

IDS système de détection des intrusions [intrusion detection system]

IoT Internet des Objets [internet of things]

IP protocole Internet [Internet Protocol]

IPS système de prévention d'intrusion [intrusion prevention system]

IT technologies de l'information [information technology]

LCA liste de contrôle d'accès

MAC contrôle d'accès obligatoire [mandatory access control]

NTP protocole de synchronisation réseau [network time protocol]

OPR objectif de point de reprise

PIA étude d'impact sur la vie privée [privacy impact assessment]

PII information personnelle identifiable [personally identifiable information]

PIN numéro d'identification personnel [personal identification number]

PKI infrastructure de clé publique [public key infrastructure]

PTP protocole de synchronisation de précision [precision time protocol]

SAST essais statiques de sécurité d'application [static application security testing]

SD numérique sécurisé [secure digital]

SDN réseaux définis par logiciels [software-defined networking]

SD-WAN réseau étendu à définition logicielle [software-defined wide area network]

SMS service de messagerie courte [short message service]

SMSI système de management de la sécurité de l'information [information security management

SQL langage de requêtes structuré [structured query language]

SSO signature unique [single sign-on]

SWID identification logicielle [software identification]

TIC Technologies de l'Information et de la Communication

ii © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés iii

iv © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés v

vi © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés vii

viii © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés ix

© ISO/IEC 2022 – Tous droits réservés 1

2 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 3

4 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 5

6 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 7

8 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 9

10 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 11

12 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 13

14 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 15

16 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 17

18 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 19

20 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 21

22 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 23

24 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 25

26 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 27

28 © ISO/IEC 2022 – Tous droits réservés

© ISO/IEC 2022 – Tous droits réservés 29

30 © ISO/IEC 2022 – Tous droits réservés