Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Mise à jour des normes 27001 et 27002 : quels impacts opérationnels pour la maturité cyber des entreprises ?

décembre 2022 par Julia Juvigny-Nalpas, consultant cybersécurité GRC chez Synetis

Fer de lance des métiers de la Gouvernance et du Management du risque, la publication de la nouvelle version de la norme 27001 - le 25 octobre 2022 - s’inscrit dans une démarche itérative comme pour l’ensemble des normes de la famille ISO (revues tous les 5 ans). En effet, les changements apportés se fondent sur les nouveaux enjeux de cybersécurité auxquels sont confrontés les entreprises, notamment la protection des données personnelles, comme en témoigne le nouveau titre de la norme « Sécurité de l’information, cybersécurité et protection de la vie privée », corrélée aux nouvelles réglementations mises en œuvre depuis la révision de la précédente norme - en 2017, notamment le RGPD. Mais quels sont les changements introduits par cette version remasterisée ? Et qu’est-ce que cela implique, concrètement, pour les entreprises ?

 

 

27001 :2022 : des changements mineurs

 

Si la structure de la norme reste inchangée au niveau des 10 chapitres qui la compose, certaines clauses ont été réorganisées - en sous-parties distinctes - permettant une meilleure lisibilité des exigences. Du contenu a toutefois été ajouté pour certaines clauses. Les modifications introduites au sein des autres clauses mettent un point d’honneur à rappeler aux organisations, la nécessité de documenter les procédures et politiques de sécurité, ainsi que de planifier régulièrement tout changement devant être mis en place au sein du Système de Management de la Sécurité de l’Information (SMSI). Les véritables changements ont eu lieu au sein de l’Annexe A de la norme ISO/IEC 27001, constituant la norme 27002.

 

27002 :2022 : une norme épurée mais plus opérationnelle

 

Une refonte de la classification des mesures de sécurité en quatre thématiques complémentaires - contrôles organisationnels, du personnel, physiques et techniques - vise à améliorer l’intelligibilité de la norme en responsabilisant les entreprises sur les principaux aspects de la sécurité informatique. Cette nouvelle répartition s’accompagne d’une réduction du nombre d’exigences, passant de 114 à 93, réparties de la manière suivante : 35 mesures n’ont pas subi de changements, 23 mesures ont vu leur nom ou contenu modifié pour les rendre plus cohérentes, 57 mesures ont été mergées dans 24 nouvelles mesures (dont le contenu a été réadapté), et enfin 11 nouvelles mesures de sécurité ont été ajoutées.

 

Parmi celles-ci, l’accent a été particulièrement mis sur la protection des données personnelles (8.10 - Suppression des informations, 8.11 Données en cache, 8.12 Prévention contre la fuite de données). La sortie du RGPD - en mai 2018 - corrobore ce changement, notamment en mettant l’accent sur la responsabilisation des acteurs traitant les données, thématique redondante au sein de la norme. Outre le RGPD, la norme fait également référence à la méthodologie EBIOS RM (définition des évènements redoutés et des sources de risques) pour la partie renseignement sur la menace. La nouvelle mesure concernant l’application des principes de codage sécurisé fait notamment écho au top 10 de l’Open Web Application Security Project (OWASP), qui définit les différentes mesures de sécurité à implémenter pour un codage sécurisé. Enfin, parmi les changements introduits par la norme, la mesure relative à la sécurité du Cloud apparaît comme l’une des plus pertinentes étant donné les enjeux de sécurité intrinsèques qui en découlent, au regard du respect de la législation relative à la protection des données personnelles, notamment depuis la publication du Cloud Act américain - en 2018.

 

Par ailleurs, si l’édition 2022 comprend moins de contrôles et a combiné des éléments, ne nous y trompons pas, la nouvelle version est plus développée dans la mesure où pour chaque exigence figure une description complète du contrôle. En effet, des caractéristiques associées sous forme de mots-clés ont été ajoutés. Ceci permet ainsi d’accélérer le processus de vérification de la conformité. Ces nouveaux attributs accordés aux mesures de sécurité de l’ISO/IEC 27001 :2022 font écho aux cinq fonctions du référentiel américain NIST permettant d’organiser les activités basiques de cybersécurité : identifier, protéger, détecter, répondre et rétablir.

 

Les limites de cette nouvelle version

 

Si cette nouvelle version se veut plus opérationnelle et plus fluide que les précédentes - notamment grâce aux attributs de sécurité permettant une cartographie rapide des mesures à mettre en œuvre - il convient de souligner la redondance de certaines mesures de sécurité d’une catégorie à une autre. En effet, certains contrôles organisationnels sont également abordés dans la partie contrôles physiques et/ou contrôles techniques. Il existe également des « doublons » de mesures de sécurité qui abordent la même thématique.

 

Si l’objectif des mesures de sécurité diffère selon leur catégorisation et s’adresse à des publics différents (RSSI, responsable architecture réseau, services généraux, etc.), il convient de regrouper les mesures connexes ensemble afin d’apporter plus de fluidité lors des audits.

 

Quels changements pour les entreprises certifiées ?

 

La mise en application des exigences de la nouvelle norme 27001 repose sur le niveau de maturité cyber des entreprises. En ce sens, les délais de mise à jour sont extrêmement variables étant donné certains critères tels que le budget alloué à la sécurité, les objectifs de la certification, les ressources disponibles, etc. Une entreprise peu mature - et non certifiée - aura une feuille de route SSI qui s’étalera dans la durée (compter entre 6 mois et 2 ans selon le niveau de maturité). A l’inverse, une entreprise déjà certifiée pourra s’aligner sur les nouvelles exigences de sécurité en l’espace d’un trimestre.

 

Il convient de souligner que l’exigence 6.1.3 (Traitement des risques de sécurité de l’information) laisse la porte ouverte pour continuer à se faire auditer sur la version de 2013, si les entreprises la jugent plus appropriée. Dans ce cas, il faudra le mentionner au sein de la Déclaration d’Applicabilité (DdA). Par ailleurs, il convient de souligner que les nouveautés apportées, au sein de la norme 27001, s’accompagnent intrinsèquement d’une restructuration de la DdA et d’une réorganisation des preuves demandées par l’auditeur, par l’ajout de nouvelles mesures de sécurité ou leur complétion. Ainsi, certaines mesures de sécurité devront être documentées via des processus, procédures, politiques ou encore des enregistrements.

 

Au fil de son évolution, la norme ISO/IEC 27001 est devenue plus intelligible pour les entreprises. Fondée sur le triptyque « Prévention – Détection – Correction », l’intention de la norme ISO/IEC 27001:2022 et de son Annexe A est de servir de socle de sécurité pour toute entreprise et organisation. Cette nouvelle version, proposant une description complète des contrôles de sécurité, permettra aux entreprises de concevoir leur SMSI de façon optimisée afin de réduire leur exposition aux risques. Cela induit une maîtrise de leur patrimoine informationnel, une communication renforcée entre les différentes parties prenantes du SMSI ainsi que la mise en place de mesures techniques pour faire face aux nouvelles menaces cyber.

 


Voir les articles précédents

    

Voir les articles suivants