Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

27002:2021 Quoi de neuf ?

octobre 2021 par Gilles FAVIER, TrustHQ

En 2021 le référentiel phare des mesures de sécurité de l’information, l’annexe A de l’ISO 27001, évolue et poursuit ainsi la démarche engagée depuis sa première mouture originelle de 1995.

L’annexe A s’adapte et propose une nouvelle approche à l’épineuse problématique de la mise en place d’un "pilotage transverse et efficient" de la sécurité.

La version 2013 nous avait apporté une nouvelle répartition du contenu, notamment en intégrant la cryptographie et les relations avec les fournisseurs dans des thématiques de sécurité spécifiques. Sa prochaine version, l’ISO 27002:2021 apporte elle aussi son lot de nouveautés, tant sur le fond que sur la forme.

De nombreux changements, déjà visibles dans le draft, ne seront pas sans conséquences pour les RSSI. Ils font écho à l’inflation normative observée ces dernières années et méritent une analyse approfondie.

Les invariants 2013 > 2017 > 2021

Cette nouvelle version 2021 apporte beaucoup de modifications sur la forme, les invariants identifiés sont peu nombreux :
• Le document conserve son organisation en thématiques – mais celles-ci sont intégralement remaniées
• Les mesures (ou « controls » en anglais) sont désormais accompagnées de « préconisations de mise en œuvre » et « d’informations complémentaires »
• Certaines mesures reprennent les formulations précédentes étoffées d’informations complémentaires, d’autres sont regroupées en une seule mesure.

Le faible nombre d’invariants nous autorise à penser que nous ne sommes pas dans une révision partielle ou un remaniement, comme ce fut le cas entre les versions de 2005 et 2013.

Les évolutions de l’Annexe A

L’esprit de l’annexe A est conservé mais l’organisation, la forme et les propriétés des mesures ont été revues en profondeur :
• Structure générale,
• Articles,
• Attributs

Structure générale

L’index permet d’identifier plusieurs changements importants :
• Les 14 thématiques (catégories) de sécurité disparaissent du « chapitrage » de la norme (ils seront repris sous une autre forme)
• Les 114 mesures sont amputées de 21 éléments. Les 93 restantes sont largement inspirées des versions existantes mais elles sont aussi très étoffées.

Articles / Thématiques

Un constat immédiat, les 14 Articles (ou thématiques) très connus de l’ISO disparaissent. Ils ne sont plus que 4 :
1. Mesures organisationnelles
2. Mesures sur les personnes
3. Mesures physiques
4. Mesures techniques / technologiques

Cette nouvelle organisation est quelque peu déroutante à première vue mais à l’usage on finit par se rendre compte de son intérêt et de la flexibilité qu’elle apporte.

Mesures de sécurité

Contenu et propriétés
Les mesures de sécurité sont enrichies et contextualisées. Ont été ajoutés :
• Un champ « finalité » qui définit l’objectif et la raison de ce contrôle
• De nombreux Attributs (ou #Tags), issus de termes prédéfinis qui visent à mieux comprendre la portée ou le domaine d’application.

Tableau récapitulatif des écarts sur le contenu d’une mesure :

Emploi des « Attributs » des mesures

Les mesures sont enrichies d’« Attributs », ceci permet de prendre en compte le caractère multidimensionnel des mesures de sécurité. En effet, l’ancienne organisation en 14 articles de sécurité avait l’avantage de clarifier l’ensemble des thématiques à traiter mais posait une limite importante : chaque mesure ne pouvait appartenir qu’à une seule thématique. Le fait de ne plus imposer aux mesures de sécurité d’être cantonnées à un chapitre permet de clarifier la norme autant que d’étendre sa portée :

• Une même mesure peut contribuer à plusieurs thématiques de sécurité. Un exemple très simple : « 8.31 Separation of development, test and production environments » concerne deux capacités opérationnelles : #Application_security #System_and_network_security
• Il n’est plus nécessaire de répéter une mesure dans tous les domaines de cybersécurité, ce qui va également contribuer à alléger la lecture et la révision.

Capacités opérationnelles Les 15 capacités sont proches des thématiques de l’ISO 2700:2013, une nouveauté #Information_Security_Assurrance

Domaines sécurité #Governance_and_Ecosystem, #Protection, #Defence, #Resilience

Cette nouvelle version de la norme nous libère de contraintes qu’elle avait générées en souhaitant structurer l’approche de la cybersécurité. Il est maintenant possible et même recommandé de construire notre propre vue des mesures de sécurité et des plans de remédiation des risques sur la base des tags proposés ou de tags propres à l’organisation : #bureautique, #industriel, #SIIV, #certifié… pour ne citer que quelques exemples. Nous entrons dans une vision beaucoup plus matricielle et multidimensionnelle de la sécurité. Cette approche est beaucoup plus flexible et plus riche de possibilités. Reste pour chaque organisation, à définir son modèle et son point d’équilibre entre exhaustivité, efficacité et pérennité. Excel pourrait ne plus suffire à gérer les nouvelles caractéristiques du modèle de sécurité.

Protection de la vie privée

Guidée par l’influence du RGPD et des nombreuses initiatives en faveur de la protection des données personnelles et de la vie privée, l’annexe A reprend cette thématique plus directement. Elle change de dénomination :
• 2013 – « Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information »
• 2021 – « Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information »

Le référentiel de mesures intègre aussi les acronymes associés :
• PIA privacy impact assessment
• PII personally identifiable information
• PIN personal identification number

Termes, définitions et Acronymes

Les « termes et définitions » et « acronymes » ne sont plus relayés dans l’ISO 27000. Essentiels dans la compréhension et l’utilisation du référentiel de mesures, ils sont désormais intégrés à l’Annexe A.

Intérêt et bénéfices de l’ISO 27002:2021 ou « v3 »

Cette nouvelle version va forcément demander un temps d’adaptation. Elle s’inscrit dans la démarche d’amélioration défendue par toutes les normes de qualité et de sécurité. On peut noter plusieurs réussites dans le processus de simplification et de normalisation :
• Le maintien de la cohérence avec la version précédente de la part des rédacteurs, via l’utilisation des Tags « capacités opérationnelles ». Cette mesure facilitera la transition pour les habitués des deux versions précédentes.
• La convergence avec le NIST via les Tags « Concepts Cybersécurité ». Ce choix élargit le spectre d’application de l’ISO dans des contextes régis par le NIST plus que par l’ISO.
• La flexibilité et même l’incitation de la norme à s’approprier et à adapter le système de tags (Attributs) à chaque contexte. Il est déjà possible d’intégrer ces évolutions dans nos politiques et plans d’action de sécurité. Il serait même intéressant de l’anticiper pour toutes les missions d’audits organisationnels ou de mise en place de politiques de sécurité en cours.

Conclusion

Les évolutions de l’annexe A offrent plus de flexibilité dans l’utilisation de la norme et de ses préceptes. Il est intéressant d’anticiper leurs conséquences pour les projets de gouvernance et de certification : mise à jour des certifications existantes et certifications créées à partir de cette nouvelle structure.

Un effort de transposition du cadre 2013 dans le cadre 2021 est à prévoir pour toutes les parties prenantes côté sécurité.

Cette évolution de l’annexe A est une opportunité pour changer de paradigme cybersécurité :
• revoir nos politiques SSI et intégrer une approche multidimensionnelle,
• prendre en compte l’hétérogénéité des contextes sans complexifier nos référentiels internes,
• doter l’organisation de capacités de pilotage des risques et de la conformité adaptées.




Voir les articles précédents

    

Voir les articles suivants