Les processus commerciaux à valeur ajoutée sont déterminés par les informations et les données. Sans échange d'informations, rien ne fonctionne dans notre économie numérique. Nos services de base reposent sur des infrastructures critiques dont la fonctionnalité dépend fortement de l'échange d'informations et de données. La sécurité de l'information s'étend loin dans la réalité de notre travail et de nos vies. Protéger les opérations quotidiennes axées sur l'information, les données critiques et la propriété intellectuelle contre les cybermenaces est donc impératif pour les entreprises de toutes tailles. En cette ère de cyberattaques industrialisées, l'adaptation aux risques de sécurité de l'information en constante évolution exige une approche opportune et flexible pour renforcer la résilience des entreprises.


Et c'est exactement là qu'intervient la nouvelle norme ISO/IEC 27001:2022, qui met l'accent sur l'orientation des processus dans la gestion de la sécurité de l'information. Depuis plus de deux décennies, la norme ISO 27001 est une base établie, mais vieillissante, pour les systèmes de gestion de la sécurité de l'information. Et malgré son âge, selon l'étude ISO, la norme a pu se développer avec une augmentation de 32 % des certificats au cours de la dernière année 2021. Dans le contexte d'une demande croissante pour un cadre contemporain d'évaluation de la sécurité de l'information, la nouvelle norme ISO/IEC 27001:2022 a été publiée le 25 octobre 2022. Que nous réserve l'avenir ?

Loading...

Aperçu des nouvelles caractéristiques de l'ISO 27001:2022

La norme ISO 27001 décrit le cadre d'un système de gestion de la sécurité de l'information (SGSI en abrégé) - et ce pour les entreprises, quelles que soient leur structure organisationnelle, leur taille ou leur orientation. La gestion des risques en est le pivot. L'évolution des cybermenaces exploite constamment de nouvelles vulnérabilités potentielles dans les entreprises dans le but d'attaquer et de compromettre les flux d'informations et donc les processus commerciaux. Les risques qui en découlent sur les trois objectifs essentiels de protection de la sécurité de l'information - confidentialité, intégrité et disponibilité - doivent être identifiés et gérés.

La mise à jour de la norme ISO/IEC 27001:2022 traite des meilleures pratiques pour gérer ces risques de sécurité de l'information. La liste des contrôles possibles de la sécurité de l'information dans l'annexe normative A de la nouvelle norme ISO/IEC 27001:2022 est identique à celle du guide ISO/IEC 27002:2022 révisé. Le guide de mise en œuvre a déjà été adopté en février de cette année avec une taxonomie plus simple et des contrôles de sécurité contemporains. Avec la publication de la nouvelle norme ISO/IEC 27001:2022, le tandem de normes ISO 27001/27002, avec ses précieuses mesures recommandées, est à nouveau à la pointe de la technologie.

CTA picture for FAQ ISO 27001
Loading...

ISO/IEC 27001:2022 Q&A

La nouvelle norme de sécurité de l'information: 38 questions et réponses

Ce qu'il faut savoir sur la "nouvelle norme" en matière de sécurité de l'information.

  • En quoi consistent les nouveaux contrôles ?
  • Quand devons-nous passer à la nouvelle norme ?
  • Où puis-je trouver une liste des correspondances entre l'ancienne et la nouvelle norme ?
  •  ... ainsi que 35 autres questions !

Un autre changement significatif dans la nouvelle norme ISO/IEC 27001:2022 est que, avec l'adaptation à la structure dite harmonisée, l'exigence longtemps attendue de l'orientation vers les processus est placée au centre d'un SMSI efficace. La base d'un système de gestion efficace est constituée de processus clairs et de leurs interactions, ainsi que de critères orientés vers les objectifs pour ces processus et leur contrôle.

Dans ce qui suit, nous allons examiner de plus près les trois domaines de changement de la nouvelle version de l'ISO 27001.

La structure de haut niveau devient une structure harmonisée

À partir de mai 2021, l'ancienne structure de haut niveau (HLS) sera remplacée par la structure harmonisée (HS). La SH est la structure de base et le modèle pour le développement de nouvelles et futures révisions des normes de systèmes de management ISO existantes. ISO/IEC 27001:2022 est l'une des premières normes de système de management à être adaptée à la SH. Diverses clarifications, ajouts, mais aussi suppressions dans le SH par rapport au HLS sont plutôt intéressants pour les utilisateurs qui sont familiers avec la norme.

Pour ISO/IEC 27001:2022, cependant, une dérivation significative du SH est directement visible. À l'avenir, la clause 6.3 exigera que les changements apportés au SGSI soient mis en œuvre de manière planifiée. Cette exigence est familière à d'autres systèmes de gestion et exprime l'attente qu'un processus de changement lié au SGSI a été maîtrisé. Par exemple, la transition de l'ancienne norme ISO/IEC 27001:2013 à la nouvelle norme ISO/IEC 27001:2022 peut être comprise comme un changement du SMSI qui doit être mis en œuvre de manière planifiée avec tous ses effets et interactions.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Regardez-le maintenant : Ce qui change avec la nouvelle norme ISO/IEC 27001:2022

La nouvelle version de la norme ISO/IEC 27001, adaptée aux risques contemporains liés à l'information, a été publiée le 25 octobre 2022. Qu'est-ce que cela signifie pour les utilisateurs de la norme? Dans l'enregistrement de notre webinaire gratuit, vous découvrirez 

  • Les nouveautés de l'ISO/IEC 27001:2022 - Cadre et Annexe A 
  • ISO/IEC 27002:2022-02 - structure, contenu, attributs et hashtags 
  • Le calendrier de la transition et les prochaines étapes

Changements normatifs dans l'ISO/IEC 27001:2022

Un changement très significatif ajoute au contexte de l'organisation dans la clause 4.4 avec l'exigence d'identifier les processus nécessaires et leurs interactions au sein du SMSI qui sont requis pour sa mise en œuvre et sa maintenance. Cette exigence explicite met l'ISO/CEI 27001:2022 en conformité avec l'approche des meilleures pratiques des autres systèmes de management selon la SH (HLS). Le système de management de la sécurité de l'information doit être basé sur des processus établis, traçables et leurs interactions. Les contrôles de sécurité de l'information de l'annexe A sont ensuite conçus et adaptés autour de ces processus.

La prochaine modification pertinente de la clause 8.1 souligne également l'importance de l'orientation vers les processus, qui est commune à tous les systèmes de management basés sur la SH. Les organisations doivent réaliser des processus dans le cadre de leur planification et de leur contrôle opérationnels pour mettre en œuvre les mesures de gestion des risques liés à la sécurité de l'information. Ce qui est nouveau, c'est que les critères des processus doivent maintenant être définis. Le contrôle des processus doit être mis en œuvre conformément à ces critères.

En outre, des clarifications et des spécifications plutôt mineures ont été apportées dans les clauses suivantes :

  • La clause 5.3 est complétée par l'exigence explicite que les responsabilités et les autorités des rôles liés à la sécurité de l'information soient connues au sein de l'organisation.
  • La clause 7.4 réglemente la nécessité d'une communication interne et externe concernant le SGSI. En plus des dispositions toujours applicables sur le sujet, le moment et le destinataire, le mode de communication est une simplification pratique par rapport aux exigences précédentes.
  • Les clauses 9.2 Audit interne et 9.3 Revue de direction ont été adaptées à la structure harmonisée. La clause 9.2 est maintenant subdivisée en 9.2.1 et 9.2.2, et la clause 9.3 est divisée en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.
  • L'ordre dans lequel les clauses 10.1 et 10.2 sont structurées a été adapté à la structure harmonisée. L'aspect de l'amélioration continue prospective précède désormais le traitement rétrospectif des non-conformités et des actions correctives de la clause 10.2 dans la clause 10.1 sans autre changement de contenu. Cette adaptation souligne l'importance du processus d'amélioration continue (PAC).

Une autre clarification concerne la sélection des mesures de traitement des risques de sécurité de l'information (clause 6.1.3 c)). Celles-ci doivent être définies en tenant compte des résultats de l'évaluation des risques et comparées aux contrôles de l'annexe A. L'approche reste inchangée. Toutefois, la note explicative de la précédente norme ISO 27001 faisait référence à l'annexe A avec l'exigence plutôt obsessionnelle qu'elle contienne une liste exhaustive des objectifs et des contrôles.

Dans la nouvelle norme ISO/IEC 27001:2022, cette référence à l'annexe A peut être comprise comme une liste de contrôles possibles de la sécurité de l'information qui est plus ouverte et donc applicable de manière plus flexible.

En bref, l'annexe A de l'ISO/CEI 27001:2022 doit toujours être considérée comme un tout dans le cadre de l'exigence obligatoire de la clause 6.1.3 c), mais l'ensemble des mesures individuelles de sécurité de l'information qu'elle contient peut être sélectionné, conçu et étendu par l'utilisateur de manière plus flexible. La nouvelle version d'ISO/IEC 27001 souligne ici l'ouverture du cadre du système de management pour des ensembles de contrôles spécifiques à l'organisation.

 

La nouvelle annexe A de l'ISO/IEC 27001:2022

La liste des contrôles de sécurité de l'information (SI) possibles dans l'annexe A normative de l'ISO/CEI 27001:2022 est dérivée à l'identique de l'ISO/CEI 27002:2022. Le catalogue des contrôles généraux de sécurité a été publié en février 2022. Par conséquent, les changements apportés à l'annexe A de l'ISO/CEI 27001:2022 étaient prévisibles depuis un certain temps. Auparavant, l'annexe A comprenait un total de 114 contrôles pouvant être utilisés pour traiter les risques de sécurité de l'information dans le cadre de 35 objectifs de contrôle organisés en 14 clauses.

Outre le fait que la nouvelle norme ISO/IEC 27001:2022 élimine les objectifs de contrôle, les contrôles de sécurité de l'information de l'annexe A ont été révisés, mis à jour, complétés et réorganisés avec de nouveaux contrôles.

Les 14 clauses précédentes de l'annexe A sont maintenant concentrées sur les 4 sujets suivants :

A.5 Contrôles organisationnels (avec 37 contrôles).

A.6 Contrôles personnels (avec 8 contrôles).

A.7 Contrôles physiques (avec 14 contrôles)

A.8 Contrôles techniques (avec 34 contrôles).

L'annexe A de la nouvelle version de l'ISO/IEC 27001:2022 comprend maintenant un total de 93 contrôles, dont les 11 contrôles suivants sont nouveaux :

A.5.7 Renseignements sur les menaces

A.5.23 Sécurité de l'information pour l'utilisation des services en nuage (cloud)

A.5.30 Préparation des TIC pour la continuité des activités

A.7.4 Surveillance de la sécurité physique

A.8.9 Gestion de la configuration

A.8.10 Suppression d'informations

A.8.11 Masquage des données

A.8.12 Prévention des fuites de données

A.8.16 Surveillance de l'activité

A.8.23 Filtrage Web

A.8.28 Codage sécurisé

Alors que l'annexe A de l'ISO/CEI 27001:2022 se limite à nommer les contrôles, le guide de mise en œuvre de l'ISO/CEI 27002:2022 offre des options supplémentaires pour les catégoriser. Dans ce guide, cinq attributs sont assignés à chaque contrôle, ce qui permet d'avoir différents points de vue et perspectives sur ces contrôles. Les attributs ou leurs valeurs d'attribut peuvent être utilisés pour filtrer, trier ou afficher pour différentes vues organisationnelles.

Les cinq attributs sont les suivants :

Type de contrôle est un attribut permettant de visualiser les contrôles du point de vue du moment et de la manière dont une mesure modifie le risque lié à la survenue d'un incident de sécurité de l'information.

Lespropriétés de la sécurité de l'information est un attribut permettant de voir les contrôles du point de vue de l'objectif de protection que la mesure est censée soutenir.

Cybersecurity Concepts examine les contrôles du point de vue de leur correspondance avec le cadre de cybersécurité décrit dans ISO/IEC TS 27110.

Operational Capability considère les contrôles du point de vue de leurs capacités opérationnelles de sécurité de l'information et soutient une vision pratique des mesures par les utilisateurs.

Domaines de sécurité est un attribut qui permet de considérer les contrôles du point de vue de quatre domaines de sécurité de l'information.

Que signifie la mise à jour pour votre certification ?

La nouvelle version améliorée de la norme ISO/IEC 27001 a été publiée le 25 octobre 2022. Il en résulte les délais de transition et les échéances suivantes pour les utilisateurs de la norme :

  • Préparation à la certification selon ISO/IEC 27001:2022
    -> probablement de février à avril 2023
    (selon l'organisme d'accréditation allemand DAkkS)
  • Date limite pour les audits initiaux de re-certification selon l'ancienne norme ISO 27001:2013
    -> 18 mois après la publication de la nouvelle norme ISO/IEC 27001:2022.
  • Transition de tous les certificats existants vers la nouvelle norme ISO/IEC 27001:2022
    -> 3 ans, liés au dernier jour du mois de publication de
    ISO/IEC 27001:2022 (octobre 2025)

Les délais pour la transition sont des normes ISO.

ISO 27001 - Système de gestion de la sécurité de l'information

Système de management holistique selon la norme ISO ★ Mise en œuvre effective d'un processus de gestion des risques ★ Amélioration continue du niveau de sécurité.

Plus d'informations sur l'ISO 27001

La nouvelle norme ISO/IEC 27001:2022 - Conclusion

La nouvelle norme ISO/IEC 27001:2022 est disponible. Elle marque le début de la période de transition de 3 ans.

En résumé, les principales nouveautés sont les suivantes :

  • Conformité du système de management avec la structure harmonisée.
  • Accent mis sur l'orientation processus, ses interactions et ses critères.
  • Catégorisation simplifiée et rationalisée des contrôles en blocs thématiques.
  • Mesures contemporaines alignées sur les méthodes organisationnelles actuelles et les menaces associées.
  • Attributs permettant d'aligner les contrôles sur diverses méthodes de gestion des risques, notamment les cadres mondiaux de cybersécurité.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Avez-vous des questions ?

Contactez nous !

Sans obligation et gratuitement.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs de longue date. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous envoyer un e-mail.

Auteur
Markus Jegelka

Expert DQS pour les systèmes de gestion de la sécurité de l'information (SGSI) et auditeur de longue date pour les normes ISO 9001, ISO/IEC 27001 et le catalogue de sécurité informatique conformément au paragraphe 11.1a de la loi allemande sur l'industrie de l'énergie (EnWG).

Loading...