ISO 27001 et EASM : une alliance naturelle
ISO 27001:2022, dans sa dernière version, a significativement renforcé les exigences sur la gestion des actifs numériques et la sécurité du cloud. L'EASM s'aligne naturellement avec plusieurs contrôles clefs de l'Annexe A.
Les contrôles ISO 27001:2022 que l'EASM supporte
A.5.9 — Inventaire des actifs informationnels
ISO 27001 exige que les actifs informationnels soient identifiés, inventoriés et leur propriétaire désigné.
Contribution EASM : Découverte et inventaire automatiques de tous les actifs exposés, avec classification par type, technologie et niveau de risque.
A.8.8 — Gestion des vulnérabilités techniques
Les vulnérabilités doivent être identifiées, évaluées et traitées dans des délais définis.
Contribution EASM : Scan continu des CVE, priorisation CVSS, suivi de la remédiation avec horodatage — essentiel pour les auditeurs.
A.8.22 — Ségregéation des réseaux
Les réseaux doivent être segmentés et les services exposés justifiés.
Contribution EASM : Détection des services exposés non nécessaires (RDP, Telnet, bases de données directement accessibles).
A.5.19 — Sécurité de la chaîne d'approvisionnement
Les risques liés aux fournisseurs doivent être évalués et gérés.
Contribution EASM : Surveillance de la surface d'attaque de vos prestataires critiques.
A.8.9 — Gestion de la configuration
Les configurations systèmes doivent être gérées et surveillées.
Contribution EASM : Détection des mauvaises configurations exposées (headers HTTP, certificats, ports ouverts).
Le nouveau contrôle A.8.23 (2022) : Filtrage Web
ISO 27001:2022 a introduit de nouveaux contrôles spécifiquement liés au cloud et à l'exposition externe, dont A.8.23 sur le filtrage et la surveillance des accès web — directement adressé par l'EASM.
Tableau de correspondance EASM / ISO 27001:2022
| Contrôle ISO 27001:2022 | Fonctionnalité EASM |
|---|---|
| A.5.9 Inventaire actifs | Découverte automatique |
| A.8.8 Gestion vulns | Scan CVE continu |
| A.8.22 Ségrégation réseaux | Détection services exposés |
| A.5.19 Sécurité fournisseurs | Surveillance tiers |
| A.8.9 Gestion configs | Détection misconfigs |
| A.5.23 Sécurité cloud | Surveillance actifs cloud |
L'EASM dans les audits de certification
Lors d'un audit ISO 27001, les auditeurs demandent généralement :
- La liste des actifs exposés sur Internet
- La preuve que les vulnérabilités sont scannées régulièrement
- Les délais de remédiation par niveau de criticité
- La surveillance des prestataires
L'EASM génère ces preuves automatiquement, réduisant considérablement le travail de préparation à l'audit.
Conclusion
ISO 27001:2022 et EASM sont des partenaires naturels. L'EASM automatise la production de preuves pour plusieurs contrôles clés de l'Annexe A, réduisant la charge de conformité tout en améliorant la sécurité réelle.
Mots-clés : ISO 27001 EASM, ISO 27001:2022 contrôles actifs, SMSI surface attaque, ISO 27001 gestion vulnérabilités, certification ISO 27001 EASM preuves