La nouvelle révision de la norme ISO 27002:2022 aura-t-elle des conséquences sur votre organisation ?
La norme internationale ISO/IEC 27002 concerne la sécurité de l’information. Elle a été publiée initialement en 2005 et révisée en 2013. Il s’agit d’un code de bonnes pratiques pour le management de la sécurité de l’information. Son nombre de mesures était fixé à 114.
Nous parlons donc d’un rapport très lourd, parfois difficile à exploiter et à faire vivre. Ainsi, la révision de cette norme le 15 février dernier a eu pour but de la rafraîchir et de la moderniser en abaissant le nombre de contrôles à 93 tout en réorganisant ses thèmes afin de se rapprocher du modèle de gestion des risques NIST, un framework très utilisé par les Responsables de la Sécurité des systèmes d’information (RSSI) dans la gestion des risques cyber.
Réorganisation des thèmes de la norme ISO 27002
Lors de la révision de la norme ISO 27002 en 2013, les mesures de sécurité étaient regroupées dans 14 chapitres reprenant entre autres les politiques de sécurité des informations, l’organisation de la sécurité de l’information, la sécurité des ressources humaines, la gestion d’actifs, le contrôle d’accès… jusqu’à la gestion des incidents de sécurité de l’information et de la continuité des activités.
Désormais, on retrouve 4 thèmes ainsi que deux annexes :
- Mesures organisationnelles
- Mesures sur les personnes
- Mesures physiques
- Mesures techniques/technologiques
- Annexe A – Utilisation des attributs et mise en œuvre des contrôles basée sur la norme ISO 27001
- Annexe B – Correspondance avec ISO/IEC 27002:2013
Cette nouvelle structure facilite la compréhension de l’applicabilité des contrôles notamment avec l’utilisation des attributs. Les contrôles de la nouvelle version de l’ISO 27002 ont désormais deux nouveaux éléments dans leur structure : la table attributaire et l’objectif. Ils facilitent grandement la recherche d’informations, le tri et la justification de l’utilisation d’un champ.
Une meilleure compréhension des pratiques en matière de sécurité
Comme expliqué plus tôt dans notre introduction, le nombre de mesures de sécurité passe de 114 à 93. Ainsi, les mesures restantes sont beaucoup plus détaillées que dans la version précédente ce qui nous permet de mieux appréhender leurs objectifs. En bref, ce sont 58 mesures de sécurité qui n’ont pas ou peu changé, 57 mesures qui ont été fusionnées et 11 mesures nouvellement créées.
Ces 11 nouvelles mesures s’intitulent :
- 5.23 Information security for use of cloud services
- 5.30 ICT readiness for business continuity
- 7.4 Physical security monitoring
- 8.9 Configuration management
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage prevention
- 8.16 Monitoring activities
- 8.23 Web filtering
- 8.28 Secure coding
Ces changements permettent de conserver l’accent d’ores et déjà mis sur les aspects de sécurité de l’information des processus et des activités de l’entreprise, réduisant ainsi l’effort de mise en œuvre et de maintenance du système de gestion de la sécurité de l’information.
Un moyen standardisé de trier et de filtrer les contrôles
Par ailleurs, la table attributaire, qui constitue un des changements les plus valorisants de cette norme, permet de faire des regroupements parmi les mesures de sécurité et de ne plus dédoubler l’information d’un contrôle vers un autre. On note donc une volonté d’ouverture de la norme vers d’autres standards disponibles comme le framework NIST par l’utilisation de #tags :
- Types de contrôle : #Preventive, #Detective, #Corrective
- Concepts de cybersécurité : #Identify, #Protect, #Detect, #Respond, #Recover
- Propriétés de sécurité de l’information : #Confidentiality, #Integrity, #Availability
- Capacités opérationnelles : #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security,#Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance,#Information_security_event_management, #Information_security_assurance
- Domaines de sécurité : #Governance_and_Ecosystem, #Protection, #Defence, #Resilience
Des changements à venir pour votre Système de management de la sécurité de l’information
Si vous êtes déjà certifiés ISO 27001, nous vous conseillons d’avancer dans une démarche proactive en commençant dès à présent à mettre à jour votre système de management de la sécurité de l’information (SMSI). En effet, il y aura une période de transition de 2 ans qui vous permettra de vous aligner sur ces nouveaux contrôles. Elle débutera après la mise à jour officielle de l’ISO 27001.
Afin de vous conformer, vous devrez ajuster vos risques et leur traitement pour vous assurer qu’ils sont alignés sur cette nouvelle structure et numérotation des contrôles. Il sera notamment judicieux de revoir la déclaration d’applicabilité. Enfin, il faudra mettre à jour les politiques et les directives afin d’ajouter les nouvelles mesures de sécurité. Ce changement de la norme impliquera également un travail de documentation plus important en lien avec ces nouveaux contrôles.
À noter que cette norme est relative à votre méthode d’appréciation des risques. Par conséquent, vous aurez toujours la possibilité de choisir uniquement les éléments appropriés pour votre organisation parmi de nombreuses bonnes pratiques actualisées, ainsi qu’un nouvel ensemble d’attributs à utiliser pour rendre la sélection des contrôles plus facile et plus efficace.
Retrouvez la norme ISO/IEC 27002:2022 sur le site ISO.org.
En savoir plus sur la solution de gouvernance smartcockpit
La solution smartcockpit propose un cockpit préformaté ISO 27001 qui vous aidera dans la mise en place votre gouvernance. Notre solution facilite le reporting et permet de générer automatiquement vos documentations. Elle représente un gain de temps considérable pour nos clients.
Pour vous aider à comprendre les enjeux liés à la gouvernance digitale et à la gestion des cyber risques, vous pouvez télécharger notre livre blanc réalisé en collaboration avec Abilène Advisors.