Dérogations aux contrôles cryptographiques ISO 27001 : guide des éléments probants et des CER
L’échange d’audit que David redoutait le plus est arrivé trois semaines plus tôt que prévu. InnovatePay venait d’acquérir une société plus petite, QuickAcquire. L’opération était une réussite stratégique, mais, enfoui dans la pile technologique, se trouvait un module hérité de transfert de données utilisant une bibliothèque cryptographique qui ne respectait pas les standards approuvés par InnovatePay. Son remplacement représentait un projet de six mois. L’auditeur externe devait intervenir la semaine suivante.
Dans l’esprit de David, la scène était douloureusement claire. L’auditeur, calme et méthodique, repérerait la déviation et poserait la question qui transforme nous savons que c’est risqué en non-conformité : montrez-moi les éléments probants relatifs à la dérogation cryptographique et la manière dont vous avez décidé qu’elle était acceptable.
À ce moment-là, l’intention ne compte pas ; la maîtrise du contrôle, si. Sans processus de dérogation documenté, acceptation du risque par la direction, contrôles compensatoires, journaux de gestion des clés et plan de remédiation limité dans le temps, un auditeur traitera probablement le sujet comme une défaillance de contrôle ou une gouvernance du SMSI insuffisante. Ce guide de référence montre comment transformer cette situation en démonstration de maturité, en s’appuyant sur les boîtes à outils et politiques de Clarysec, sur la mesure A.8.24 Utilisation de la cryptographie d’ISO/IEC 27001:2022, et sur une approche de conformité croisée couvrant NIS2, DORA, GDPR, NIST et COBIT 2019.
Pourquoi les dérogations cryptographiques sont inévitables, et comment les auditeurs les évaluent
Les dérogations cryptographiques existent pour des raisons prévisibles. Dans les missions Clarysec, nous observons des schémas récurrents :
- Contraintes liées aux technologies héritées, par exemple des algorithmes, suites cryptographiques ou longueurs de clé non pris en charge.
- Dépendance fournisseur et délais de certification qui empêchent les mises à niveau rapides vers des mécanismes cryptographiques approuvés.
- Contraintes opérationnelles en réponse aux incidents ou en analyse forensique, nécessitant des déviations temporaires pour collecter des éléments de preuve ou maintenir la continuité de service.
- Périodes de migration, pendant lesquelles l’interopérabilité transitoire impose temporairement des paramètres moins robustes.
- Contraintes de partenaires ou de clients qui empêchent l’application de votre référentiel préféré.
Les auditeurs ISO/IEC 27001:2022 ne demandent pas la perfection ; ils demandent la maîtrise. Ils évaluent si le chiffrement est approprié et cohérent, si la gestion des clés est gouvernée et journalisée, et si vous identifiez et gérez activement les algorithmes obsolètes dans votre périmètre. La première étape consiste à aligner la gestion de vos dérogations sur ce que les auditeurs s’attendent à voir.
Ancrer la dérogation dans la politique et la gouvernance des risques
Un SMSI mature traite les dérogations comme des décisions de traitement des risques, et non comme une simple dette technique. Le mécanisme formel est la demande de dérogation cryptographique (CER), et la clause de politique qui l’impose constitue le point de bascule entre une dérogation maîtrisée et un constat d’audit.
La Politique relative aux contrôles cryptographiques d’entreprise de Clarysec exige : L’utilisation d’algorithmes cryptographiques non standard ou toute déviation temporaire par rapport aux pratiques approuvées du cycle de vie nécessite une demande de dérogation cryptographique documentée. Cette famille de politiques est directement liée au traitement des risques. La Politique de gestion des risques associée soutient l’appréciation des risques liés aux contrôles cryptographiques et documente la stratégie de traitement des risques applicable aux dérogations, à l’obsolescence des algorithmes ou aux scénarios de compromission de clé.
Une fois l’exigence formalisée dans la politique, chaque dérogation doit être traçable jusqu’à un CER, avec acceptation du risque par la direction, entrée liée dans le registre des risques, contrôles compensatoires et plan de sortie. Présentez ces livrables justificatifs avant qu’ils ne soient demandés, en guidant l’auditeur à travers votre gouvernance puis vers l’état technique, selon l’approche d’entretien et d’échantillonnage définie dans le Zenith Blueprint.
Construire le CER comme un enregistrement de contrôle prêt pour l’audit
Les commentaires de ticket ne sont pas des enregistrements de dérogation. Un CER doit être structuré, versionné et échantillonnable comme tout autre contrôle. Qu’il soit mis en œuvre dans un outil GRC ou dans un modèle maîtrisé, un CER robuste comprend :
- Résumé de la dérogation, ce qui n’est pas conforme et où.
- Périmètre, types de données concernés et indication de l’impact sur les données au repos, les données en transit, ou les deux.
- Justification métier, c’est-à-dire la raison rattachée aux contraintes de service ou aux contraintes opérationnelles.
- Évaluation de l’impact sécurité, avec des scénarios de menace réalistes tels que le risque d’affaiblissement d’algorithme, l’homme du milieu, le hachage faible ou la compromission de clé.
- Contrôles compensatoires, par exemple segmentation, certificats client, durée de session courte, règles WAF, authentification renforcée, surveillance renforcée.
- Cotation du risque avant et après contrôles compensatoires, alignée sur votre matrice des risques.
- Propriétaire, à savoir un propriétaire du risque responsable côté métier.
- Approbations, sécurité, propriétaire du système et acceptation du risque par la direction.
- Date d’expiration et fréquence de revue, sans durée indéfinie.
- Plan de sortie, feuille de route, dépendances, jalons et dates d’échéance.
- Références aux éléments probants, liens vers les configurations, journaux, résultats de tests, déclarations des fournisseurs et approbations de changement.
Dans le cas de David, la dérogation QuickAcquire est passée d’un passif caché à une décision auditable lorsqu’il a présenté le CER dès la réunion d’ouverture, fourni le dossier d’éléments probants et invité l’auditeur à procéder par échantillonnage.
Le dossier minimal d’éléments probants pour une dérogation cryptographique
Les auditeurs attendent davantage qu’un instantané technique. Pour les dérogations, ils recherchent une preuve de gouvernance et de maîtrise opérationnelle. Un dossier d’éléments probants pragmatique comprend :
- Le CER complété, avec approbations et date d’expiration.
- L’appréciation des risques liée et la décision de traitement.
- Les procédures de gestion des clés pour le système concerné, avec les journaux de génération, distribution, rotation, accès et destruction des clés.
- Les enregistrements de changement relatifs aux paramètres cryptographiques, ainsi que les éléments probants de test montrant que les changements ont été validés ou que les contraintes ont été vérifiées.
- Les éléments probants de surveillance et de détection associés aux contrôles compensatoires, y compris les règles SIEM et les tests d’alertes.
- Les enregistrements de communication montrant que le personnel concerné a été informé et formé sur la déviation et les exigences de surveillance.
- Un plan de sortie limité dans le temps, avec jalons, dates, budget le cas échéant, et responsables.
- L’historique des revues de politique démontrant la mise à jour du référentiel cryptographique et la gestion du cycle de vie des algorithmes.
Ces types d’éléments probants s’alignent sur les lignes directrices d’ISO/IEC 27002:2022 relatives à la cryptographie et au contrôle des changements.
Utiliser le Zenith Blueprint pour collecter et présenter les éléments probants
La méthode de gestion des éléments probants du Zenith Blueprint est directe et adaptée à l’audit : entretien, revue, observation et échantillonnage. Appliquez-la aux dérogations :
- Entretien avec le propriétaire du système et le responsable de la sécurité. Pourquoi la dérogation est-elle nécessaire, qu’est-ce qui a changé depuis la dernière revue et quelle est la prochaine étape du plan de sortie ?
- Revue du CER, de l’enregistrement de risque, de la clause de politique et des contraintes du fournisseur ou du partenaire. Confirmez les dates d’expiration et de revue.
- Observation de l’état technique, c’est-à-dire la configuration exacte, l’endroit où la dérogation est appliquée et les points d’application des contrôles compensatoires.
- Échantillonnage de plusieurs dérogations, généralement trois à cinq, afin de démontrer la cohérence de la structure, des approbations, des revues, de la journalisation et du traitement des expirations.
Exemple pratique : rendre auditable une dérogation TLS héritée
Scénario : Une intégration B2B critique pour le chiffre d’affaires nécessite une ancienne suite cryptographique TLS, car le terminal partenaire ne peut pas négocier vos paramètres approuvés. Interrompre la connexion n’est pas envisageable.
Rendez la dérogation auditable en quatre actions :
- Créer le CER et le rattacher au risque. Fixez une expiration à 90 jours avec revues tous les 30 jours, joignez la correspondance avec le partenaire et liez le CER à une entrée du registre des risques détenue par le métier.
- Choisir des contrôles compensatoires qui produisent des éléments probants. Restreignez les adresses IP sources aux plages du partenaire au moyen d’enregistrements de changement de pare-feu. Appliquez le TLS mutuel si possible et conservez les enregistrements d’émission de certificats. Renforcez la surveillance des anomalies de négociation TLS et conservez les définitions de règles SIEM et les tests d’alertes.
- Démontrer la discipline de gestion des clés. Présentez les journaux d’accès KMS, les attributions RBAC, les enregistrements d’accès d’urgence et les comptes rendus de revues périodiques des accès. Pour les programmes de plus petite taille, votre exigence de référence est explicite dans la Politique relative aux contrôles cryptographiques pour PME : Tous les accès aux clés cryptographiques doivent être journalisés et conservés pour revue d’audit, avec des revues d’accès régulières.
- Constituer le dossier de dérogation. Constituez un dossier unique d’éléments probants ou un PDF comprenant le CER, l’enregistrement de risque, l’instantané de configuration de la passerelle, les tickets de changement de pare-feu, les journaux KMS, des exemples de règles et d’événements SIEM, les enregistrements de tests et les communications adressées aux équipes d’exploitation.
Agilité cryptographique : prouver que les dérogations sont temporaires par conception
ISO/IEC 27002:2022 encourage l’agilité cryptographique, c’est-à-dire la capacité à mettre à jour les algorithmes et les suites sans reconstruire des systèmes complets. Les auditeurs recherchent des éléments probants d’agilité, pas des promesses :
- Cadence de revue des politiques mettant à jour les algorithmes et pratiques acceptables, avec journaux des modifications versionnés.
- Enregistrements de tests des mises à jour cryptographiques démontrant des chemins de déploiement sécurisés.
- Communications informant le personnel des changements cryptographiques et de leurs impacts opérationnels.
- Éléments de backlog montrant une progression de livraison rattachée aux dates d’expiration des dérogations.
Quand la gouvernance des dérogations rencontre l’analyse forensique
Les dérogations peuvent compliquer les investigations, en particulier lorsque le chiffrement ou des équipements non pris en charge bloquent la collecte des éléments de preuve. La Politique de collecte des preuves et d’investigation forensique de Clarysec traite ce sujet avec des considérations explicites relatives aux éléments de preuve requis depuis des appareils non pris en charge ou chiffrés. La version PME, la Politique de collecte des preuves et d’investigation forensique pour PME, anticipe les modes de défaillance pratiques, par exemple lorsque les éléments de preuve ne peuvent pas être collectés conformément à la politique en raison d’un crash système ou d’un support corrompu.
Prévoyez ce point dans vos CER. Incluez l’impact forensique potentiel, séquestrez les clés nécessaires et définissez les exigences d’accès d’urgence et de journalisation.
Cartographie de conformité croisée : une dérogation, plusieurs lectures
Dans les environnements réglementés ou multi-référentiels, la même dérogation sera examinée sous différents angles. Utilisez le guide Zenith Controls pour maintenir la cohérence de votre dossier d’éléments probants.
| Livrable justificatif | Angle ISO/IEC 27001:2022 | Angle NIST | Angle COBIT 2019 | Angle réglementaire |
|---|---|---|---|---|
| CER avec approbations et expiration | Annexe A mesure A.8.24, gouvernance des politiques A.5.1, traçabilité du traitement des risques | SC-13 protection cryptographique, alignement POA&M, autorisation du risque | APO12 gestion des risques, DSS01 exploitation, droits de décision et supervision | Responsabilité, remédiation limitée dans le temps pour NIS2 et DORA, sécurité du traitement au titre de GDPR |
| Entrée du registre des risques liée au CER | Clause 6.1.3 traitement des risques, acceptation du risque résiduel | RA-3 appréciation des risques, cotations des risques, réponse au risque | EDM03 optimisation des risques, reporting | Impact sur le service et la résilience, risque pour les services essentiels et les données à caractère personnel |
| Journaux d’accès aux clés et revues d’accès | Gestion maîtrisée des clés, journalisation, moindre privilège | AU-6 revue d’audit, contrôles CM pour les référentiels de configuration, éléments probants du cycle de vie des clés | MEA02 surveiller, évaluer et apprécier, performance des contrôles | Responsabilité démontrable des accès pour GDPR, traçabilité pour DORA |
| Journal des modifications de revue de la politique cryptographique | Maîtrise documentaire, amélioration continue, cycle de vie des algorithmes | CM-3 contrôle des changements de configuration, maintien des référentiels | APO01 gestion du cadre de management informatique | Éléments probants de mise à jour face aux menaces et aux normes |
| Enregistrements de tests des changements cryptographiques | Vérification des changements et des résultats, adéquation | SA-11 tests et évaluations par les développeurs, contrôles de non-régression | BAI07 gestion de l’acceptation et de la transition des changements | Réduction de la vraisemblance d’impact d’incident et de régression |
| Communications au personnel sur les changements cryptographiques | Adoption opérationnelle et sensibilisation au titre des contrôles de ressources A.7 | IR-4 préparation à la gestion des incidents, préparation opérationnelle | APO07 gestion des ressources humaines, sensibilisation | Préparation et mesures organisationnelles, responsabilité explicite |
| (Remarque : tableau adapté de la méthodologie de cartographie croisée Zenith Controls) |
Comment les différents auditeurs vont investiguer, et comment répondre
Même dans un seul audit, les styles varient. Préparez chaque style et maîtrisez le récit :
- L’auditeur ISO/IEC 27001:2022 demandera où se trouve la politique de cryptographie, où le processus de dérogation est défini, à quelle fréquence les dérogations sont revues, et souhaitera procéder par échantillonnage. Commencez par vos CER et un registre maîtrisé.
- L’auditeur orienté NIST recherchera des référentiels de suites cryptographiques, des protections contre l’affaiblissement d’algorithme, des procédures de génération et de destruction des clés, ainsi que des journaux avec mécanisme d’alerte. Préparez les journaux KMS, les règles SIEM et les tests de validation.
- L’auditeur COBIT ou ISACA se concentrera sur le propriétaire du risque, la personne qui l’a accepté, la cadence de revue et les indicateurs montrant la réduction progressive des dérogations. Préparez les comptes rendus du comité de pilotage et les rapports d’ancienneté des dérogations.
- Le réviseur orienté réglementation demandera comment la dérogation affecte la disponibilité et l’intégrité des services critiques, et si le risque d’exposition des données à caractère personnel a augmenté. Fournissez les livrables de planification de résilience et un calendrier ferme de remédiation.
Pièges fréquents qui créent des non-conformités
- Dérogations sans date d’expiration, interprétées comme un risque non maîtrisé.
- Absence d’acceptation du risque par la direction, lorsqu’un ingénieur a validé dans un ticket sans responsabilité attribuée.
- Contrôles compensatoires décrits mais non étayés par des éléments probants, par exemple des affirmations de surveillance sans règles SIEM.
- Journaux de gestion des clés manquants ou inaccessibles.
- Décalage entre la politique et la pratique, par exemple lorsque des CER sont requis mais non utilisés.
Liste de contrôle du jour d’audit pour les dérogations cryptographiques
- Un registre à jour recense toutes les dérogations cryptographiques avec identifiants CER, propriétaires, approbations, dates de revue et dates d’expiration.
- Chaque dérogation est liée à un enregistrement de risque et à une décision de traitement documentée.
- Au moins deux contrôles compensatoires par dérogation disposent d’éléments probants tangibles.
- Les accès aux clés sont journalisés, les journaux sont conservés et les revues d’accès sont réalisées.
- L’historique des revues de la politique cryptographique est disponible, avec les changements versionnés.
- Vous pouvez échantillonner au moins trois dérogations et présenter un récit cohérent.
- Une feuille de route montre la réduction des dérogations dans le temps.
Contraintes fournisseurs et partenaires
De nombreuses dérogations proviennent d’éléments hors de votre contrôle direct. Les partenaires imposent des suites cryptographiques, les fournisseurs prennent du retard sur leurs feuilles de route, ou les systèmes acquis apportent une dette existante. Traitez les contraintes externes comme un élément de votre gouvernance, et non comme des excuses. Exigez des déclarations fournisseurs sur les feuilles de route cryptographiques, incluez des clauses contractuelles définissant les référentiels cryptographiques, et inscrivez les dépendances externes dans votre registre des risques.
Prochaines étapes : construire votre programme de dérogations en un sprint
- Inventorier toutes les dérogations cryptographiques, y compris celles qui sont cachées dans les services en périphérie.
- Créer ou régulariser des CER pour chaque dérogation, avec approbations, expiration et plans de sortie.
- Lier chaque CER à une entrée du registre des risques avec un propriétaire responsable.
- Assembler un modèle standard de dossier d’éléments probants de dérogation et répéter l’échantillonnage d’audit.
- Valider la préparation à la conformité croisée avec le guide Zenith Controls.
Transformez l’anxiété liée aux dérogations cryptographiques en confiance lors de l’audit. Réservez une session de travail avec Clarysec. En une mission, nous mettons en œuvre un flux de traitement des CER, un registre des dérogations et une structure de dossier d’éléments probants prête pour l’audit. Le résultat : des audits plus rapides, moins de constats récurrents et des dérogations cryptographiques qui démontrent la gouvernance plutôt que l’improvisation.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
