CER norm ISO 27001

News

Principaux changements ISO 27001

déc. 13 2022

En novembre 2022, une nouvelle version de la norme ISO 27001:2022 a été publiée. Les entreprises certifiées conformément à la norme ISO 27001 remarqueront ces changements principalement dans les contrôles de sécurité de l’Annexe A. La norme ISO 27002 avait déjà été mise à jour le 15 février 2022. Cette mise à jour sert de base aux changements apportés à l’Annexe A de la norme ISO 27001:

Source : https://www.iso.org/fr/standard/82875.html

L’Annexe A de la norme ISO 27001 ne fournit que des exigences pour les contrôles de sécurité et n’explique pas comment ils peuvent être mis en œuvre. La norme ISO 27002 couvre les mêmes lignes directrices, mais explique en outre comment les déployer. L’Annexe A peut être considérée comme un « index » de la norme ISO 27002:2022. 

Les mises à jour de 2022 s’appliquent aux contrôles de sécurité de la norme ISO 27002. L’Annexe A de la norme ISO 27001 a également été mise à jour pour refléter ces changements.

La norme ISO 27001 aide les entreprises ou organisations à protéger la confidentialité, l’intégrité et la disponibilité de leurs informations. Ces trois éléments constituent la base d’une bonne sécurité de l’information. La norme ISO 27001 permet de protéger les informations sous toutes leurs formes. La cybersécurité, qui protège les informations numériques, joue un rôle important à cet égard.

Mais pourquoi la norme a-t-elle été mise à jour ?

Toutes les normes ISO font l’objet d’un processus de révision au moins une fois tous les cinq ans, mais chaque révision n’apporte pas de changements majeurs. Dans le cas de la norme ISO 27002, une révision récente a toutefois apporté quelques mises à jour importantes. 

Il est vrai que près d'une décennie s’est écoulée depuis la dernière grande révision. En dix ans, ce domaine a connu de nombreuses évolutions. Les raisons de cette mise à jour ne manquent donc pas. La nature des cybermenaces a évolué et est devenue plus complexe. De nouvelles technologies ont fait leur apparition et de plus en plus d’entreprises travaillent en mode dématérialisé avec des applications dans le cloud. 

La sécurité de l’information en 2022 n’est tout simplement plus la même qu’en 2013. Elle exige en effet plus de vigilance et de diligence que jamais auparavant. Les modifications apportées à l’Annexe A de la norme ISO 27002 peuvent donc nécessiter un effort supplémentaire. 

Qu’est-ce qui a changé ?

Bien que les clauses de la norme ISO 27001 n’aient pas changé, la norme de soutien ISO 27002 a été révisée en profondeur. Ces changements sont reflétés dans l’Annexe A de la norme ISO 27001.

Les contrôles de sécurité de l’Annexe A représentent une grande partie du travail technique nécessaire à la mise en œuvre de la norme ISO 27001. Par conséquent, bien que seule l’Annexe A ait été modifiée, la mise à jour concerne l’ensemble du système de management.

La version précédente de l’Annexe A (ISO 27001:2013) contenait 114 contrôles répartis en 14 chapitres. La nouvelle version contient 93 contrôles articulés entre 4 chapitres. D’un point de vue technique, la nouvelle version contient moins de contrôles, mais une grande partie de cette réduction résulte de la suppression ou de la fusion de contrôles redondants.

En fait, la norme ISO 27002:2022 ajoute 11 nouveaux contrôles à l’Annexe A, qui ajoutent de nouvelles couches de sécurité de l’information à la norme :

  • Renseignements sur les menaces (A.5.7 Renseignements sur les menaces)
  • Sécurité des informations lors de l’utilisation de services dans le cloud (A.5.23 Sécurité des informations lors de l’utilisation de services dans le cloud)
  • Préparation des TIC à la continuité des activités (A.5.30 Préparation des TIC à la continuité des activités)
  • Surveillance de la sécurité physique (A.7.4 Surveillance de la sécurité physique)
  • Gestion de la configuration (A.8.9 Gestion de la configuration)
  • Suppression d’informations (A.8.10 Suppression d’informations)
  • Masquage des données (A.8.11 Masquage des données)
  • Prévention de la fuite de données (A.8.12 Prévention de la fuite de données)
  • Activités de suivi (A.8.16 Activités de suivi)
  • Filtrage web (A.8.23 Filtrage web)
  • Codage sécurisé (A.8.28 Codage sécurisé)

En outre, la version actualisée de la norme exige des procédures opérationnelles documentées, alors que la version précédente n’exigeait qu’une politique. Une politique fournit à une entreprise ou organisation des objectifs et des indicateurs pour son système de management de la sécurité de l’information. Les procédures, quant à elles, comprennent les mesures opérationnelles qu’elle prendra pour atteindre ces objectifs. Forte de ces nouvelles procédures requises, la partie « documentation » du processus de certification est également plus détaillée.

Pour l’instant, il peut sembler que les changements n’ont fait qu’accroître l’exhaustivité de l’Annexe A, mais ces importantes mises à jour se traduisent également par des lignes directrices plus claires.

La version actualisée propose également un nouvel organigramme de contrôle. Les contrôles de sécurité sont désormais classés sur la base de cinq attributs :

  1. Types de contrôle
  2. Concepts de cybersécurité
  3. Propriétés de la sécurité de l’information
  4. Capacités opérationnelles
  5. Domaines de la sécurité

Ces nouveaux attributs aident les entreprises à hiérarchiser les contrôles adéquats en fonction de leur contexte. Par exemple, si votre principale préoccupation est la confidentialité, vous pouvez utiliser ces attributs pour classer les contrôles en fonction d’un seul attribut de sécurité des informations.

En résumé, les mises à jour de 2022 ajoutent des responsabilités supplémentaires à la certification ISO 27001, mais clarifient également l’accompagnement et l’organisation.