Une nouvelle version améliorée de la norme ISO/IEC 27001 pour renforcer la confiance numérique
Vous avez peut-être entendu parler de la norme internationale ISO/IEC 27001, mais de quoi s’agit-il ? Et surtout, que signifie-t-elle pour votre entreprise ?
ISO/IEC 27001 est une norme de système de management de la sécurité de l’information (SMSI) qui a été publiée pour la première fois en 2005. Elle fournit un framework permettant aux organisations de gérer et de protéger leurs actifs numériques. La norme a été révisée en 2013, puis en 2022, la dernière mise à jour datant d’octobre.
La nouvelle version, ISO/IEC 27001:2022, a pour but d’aider les organisations à répondre à la menace toujours plus grande des incidents de cybersécurité et de confidentialité. Elle comprend de nouvelles exigences en matière de gestion des risques, réponse aux incidents, protection des données, etc.
Si vous cherchez à améliorer la posture de cybersécurité de votre organisation, ISO/IEC 27001:2022 est une bonne norme à considérer.
Pourquoi ISO/IEC 27001 est importante ?
Un système de management de la sécurité de l’information (SMSI) est un ensemble de politiques et de procédures qui aide une organisation à protéger ses données sensibles contre tout accès, utilisation, divulgation ou destruction non autorisés, en identifiant et en atténuant les risques. Pour les lecteurs les plus curieux, nous avons publié un livre blanc sur la cyber gouvernance !
Vous vous demandez peut-être pourquoi c’est important. Eh bien, considérez le fait que nous vivons maintenant dans un monde numérique où presque tout ce que nous faisons est en ligne. Nous effectuons nos opérations bancaires en ligne, nos achats en ligne, nos échanges sociaux en ligne. Nous votons même en ligne. Et comme de plus en plus de nos vies se déroulent en ligne, le besoin d’une sécurité de l’information robuste devient de plus en plus critique.
C’est là qu’intervient la norme ISO/IEC 27001. En mettant en œuvre un SMSI basé sur cette norme, les organisations peuvent protéger leurs données d’éventuelles violations ou fuite qui peuvent être l’objet de cybercriminels. Celles-ci peuvent avoir des conséquences dévastatrices pour les individus et les entreprises.
Qu’est-ce qui a changé dans la nouvelle version de l’ISO/IEC 27001:2022 ?
Qu’y a-t-il de nouveau dans la norme ISO/IEC 27001:2022 ?
Pour commencer, le titre a changé afin de refléter le fait que la sécurité de l’information, la cybersécurité et la protection de la vie privée sont toutes d’une importance vitale dans le monde numérique d’aujourd’hui. La norme a également été mise à jour pour refléter les dernières technologies et menaces.
Résumé des principaux changements apportés à la norme ISO27001 :
1 Nouvelle clause
- ISO 27001:2022 Clause 6.3 Planification des changements :
« Lorsque l’organisme détermine qu’il est nécessaire d’apporter des changements au système de management de la sécurité de l’information, ces changements doivent être effectués de manière planifiée. »
5 Nouvelles sous-clauses
- ISO/IEC 27001:2022 Clause 9.2.1 General:
“The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system: a) conforms to 1) the organization’s own requirements for its information security management system; 2) the requirements of this document; b) is effectively implemented and maintained.”
- ISO/IEC 27001:2022 Clause 9.2.2 Internal audit programme:
“The organization shall plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits. The organization shall: a) define the audit criteria and scope for each audit; b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process; c) ensure that the results of the audits are reported to relevant management;
- ISO/IEC 27001:2022 Clause 9.3.1 General,
- ISO/IEC 27001:2022 Clause 9.3.2 Management review inputs,
- ISO/IEC 27001:2022 Clause 9.3.3 Management review results
→ Au lieu d’une seule clause, les éléments ont été divisés en 3 sous clauses pour une meilleure clarté.
2 clauses ont été échangées
- ISO/IEC 27001:2022 Clause 10.1 Continual improvement
- ISO/IEC 27001:2022 Clause 10.2 Nonconformity and corrective action
→ Les clauses restent les mêmes, mais le numéro a changé. 10.1 devient 10.2 et vice versa.
Le plus gros changement concerne l’annexe A de l’ISO/IEC 27001:2022 → ISO 27002:2022 nouvelle version.
Quels sont les avantages de la mise en œuvre de la norme ISO/CEI 27001:2022 ?
Alors, quels sont les avantages de la mise en œuvre de la norme ISO/CEI 27001:2022 ?
Bien plus qu’un exercice de conformité, elle peut vous aider à construire une confiance digitale avec vos clients et partenaires. En prouvant que vous avez mis en place un système robuste de mangement de la sécurité de l’information, vous démontrez que leurs données sont en sécurité chez vous.
Cette norme peut également vous aider à garder une longueur d’avance en matière de cybersécurité et de protection de la vie privée. Les menaces évoluant sans cesse, il est essentiel que votre organisation dispose d’un framework capable de s’adapter à ces changements.
L’ ISO/IEC 27001:2022 est également l’un des meilleurs moyens de se conformer au Règlement général sur la protection des données (RGPD) et à la Nouvelle loi fédérale sur la protection des données (nLPD) en Suisse. Donc si votre organisation cherche à se conformer au RGPD, ce cadre est fait pour vous !
Comment les organisations peuvent-elles commencer à mettre en œuvre ISO/IEC 27001:2022 ?
La meilleure façon de démarrer avec la norme ISO/IEC 27001:2022 est de s’associer à un consultant expérimenté et qualifié. Il peut vous aider à chaque étape du processus, de l’élaboration d’une politique de sécurité complète à la mise en œuvre des contrôles techniques requis.
Vous pouvez également acheter la norme vous-même et la lire. Voici quelques conseils de l’Organisation internationale de normalisation (ISO) sur la façon de mettre en place une telle norme :
- Créez une équipe ou un groupe de pilotage pour superviser et gérer le projet.
- Identifier les besoins de l’entreprise en matière de sécurité de l’information.
- Élaborer un plan d’action et un calendrier.
- Évaluez votre position actuelle en matière de sécurité.
- Mettez en œuvre les nouveaux contrôles et mesures de sécurité.
- Examiner et tester l’efficacité de vos mesures de sécurité.
- Maintenir votre certification ISO/IEC 27001:2022.
La nouvelle norme ISO/IEC 27001:2022 est une version remaniée de la norme originale qui tient compte des dernières avancées technologiques et des menaces pour la sécurité. Il s’agit d’une évolution avec très peu de changements. Il est important de noter que la norme n’est pas uniquement destinée aux grandes entreprises – toute entreprise peut bénéficier de son utilisation.
Nous fournissons un cockpit ISO27001 facile à mettre en œuvre qui vous permettra de surveiller et d’optimiser en permanence votre gestion des cyber risques. Ce cockpit dédié vous aidera à obtenir de meilleures performances et à atteindre vos objectifs de certification. Contactez-nous pour en savoir plus sur la façon dont nous pouvons vous aider à démarrer !