La nouvelle norme ISO/IEC 27001:2022 - changements clés

• Les nouvelles caractéristiques de l'ISO 27001:2022 en un coup d'œil
• La structure de haut niveau devient une structure harmonisée
• Changements normatifs dans ISO/IEC 27001:2022
• La nouvelle Annexe A de l'ISO/CEI 27001:2022
• Que signifie cette mise à jour pour votre certification ?
• La nouvelle norme ISO/IEC 27001:2022 - Conclusion

Aperçu des nouvelles caractéristiques de l'ISO 27001:2022

Lanorme ISO 27001 décrit le cadre d'un système de gestion de la sécurité de l'information (SGSI en abrégé) - et ce pour les entreprises, quelles que soient leur structure organisationnelle, leur taille ou leur orientation. La gestion des risques en est le pivot. L'évolution des cybermenaces exploite constamment de nouvelles vulnérabilités potentielles dans les entreprises dans le but d'attaquer et de compromettre les flux d'informations et donc les processus commerciaux. Les risques qui en découlent sur les trois objectifs essentiels de protection de la sécurité de l'information - confidentialité, intégrité et disponibilité - doivent être identifiés et gérés.

La mise à jour de la norme ISO/IEC 27001:2022 traite des meilleures pratiques pour gérer ces risques de sécurité de l'information. La liste des contrôles possibles de la sécurité de l'information dans l'annexe normative A de la nouvelle norme ISO/IEC 27001:2022 est identique à celle du guide ISO/IEC 27002:2022 révisé. Le guide de mise en œuvre a déjà été adopté en février de cette année avec une taxonomie plus simple et des contrôles de sécurité contemporains. Avec la publication de la nouvelle norme ISO/IEC 27001:2022, le tandem de normes ISO 27001/27002, avec ses précieuses mesures recommandées, est à nouveau à la pointe de la technologie.

Un autre changement significatif dans la nouvelle norme ISO/IEC 27001:2022 est que, avec l'adaptation à la structure dite harmonisée, l'exigence longtemps attendue de l'orientation vers les processus est placée au centre d'un SMSI efficace. La base d'un système de gestion efficace est constituée de processus clairs et de leurs interactions, ainsi que de critères orientés vers les objectifs pour ces processus et leur contrôle.

Dans ce qui suit, nous allons examiner de plus près les trois domaines de changement de la nouvelle version de l'ISO 27001.

La structure de haut niveau devient une structure harmonisée

À partir de mai 2021, l'ancienne structure de haut niveau (HLS) sera remplacée par la structure harmonisée (HS). La SH est la structure de base et le modèle pour le développement de nouvelles et futures révisions des normes de systèmes de management ISO existantes. ISO/IEC 27001:2022 est l'une des premières normes de système de management à être adaptée à la SH. Diverses clarifications, ajouts, mais aussi suppressions dans le SH par rapport au HLS sont plutôt intéressants pour les utilisateurs qui sont familiers avec la norme.

Pour ISO/IEC 27001:2022, cependant, une dérivation significative du SH est directement visible. À l'avenir, la clause 6.3 exigera que les changements apportés au SGSI soient mis en œuvre de manière planifiée. Cette exigence est familière à d'autres systèmes de gestion et exprime l'attente qu'un processus de changement lié au SGSI a été maîtrisé. Par exemple, la transition de l'ancienne norme ISO/IEC 27001:2013 à la nouvelle norme ISO/IEC 27001:2022 peut être comprise comme un changement du SMSI qui doit être mis en œuvre de manière planifiée avec tous ses effets et interactions.

Changements normatifs dans l'ISO/IEC 27001:2022

Un changement très significatif ajoute au contexte de l'organisation dans la clause 4.4 avec l'exigence d'identifier les processus nécessaires et leurs interactions au sein du SMSI qui sont requis pour sa mise en œuvre et sa maintenance. Cette exigence explicite met l'ISO/CEI 27001:2022 en conformité avec l'approche des meilleures pratiques des autres systèmes de management selon la SH (HLS). Le système de management de la sécurité de l'information doit être basé sur des processus établis, traçables et leurs interactions. Les contrôles de sécurité de l'information de l'annexe A sont ensuite conçus et adaptés autour de ces processus.

La prochaine modification pertinente de la clause 8.1 souligne également l'importance de l'orientation vers les processus, qui est commune à tous les systèmes de management basés sur la SH. Les organisations doivent réaliser des processus dans le cadre de leur planification et de leur contrôle opérationnels pour mettre en œuvre les mesures de gestion des risques liés à la sécurité de l'information. Ce qui est nouveau, c'est que les critères des processus doivent désormais être définis. Le contrôle des processus doit être mis en œuvre conformément à ces critères.

En outre, des clarifications et des spécifications plutôt mineures ont été apportées dans les clauses suivantes :

• La clause 5.3 est complétée par l'exigence explicite que les responsabilités et les autorités des rôles liés à la sécurité de l'information soient connues au sein de l'organisation.
• La clause 7.4 réglemente la nécessité d'une communication interne et externe concernant le SGSI. En plus des dispositions toujours applicables sur le sujet, le moment et le destinataire, le mode de communication est une simplification pratique par rapport aux exigences précédentes.
• Les clauses 9.2 Audit interne et 9.3 Revue de direction ont été adaptées à la structure harmonisée. La clause 9.2 est maintenant subdivisée en 9.2.1 et 9.2.2, et la clause 9.3 est divisée en trois subdivisions : 9.3.1, 9.3.2 et 9.3.3.
• L'ordre dans lequel les clauses 10.1 et 10.2 sont structurées a été adapté à la structure harmonisée. L'aspect de l'amélioration continue prospective précède désormais le traitement rétrospectif des non-conformités et des actions correctives de la clause 10.2 dans la clause 10.1 sans autre changement de contenu. Cette adaptation souligne l'importance du processus d'amélioration continue (PAC).

Les exigences clés et sans ambiguïté de l'ISO/CEI 27001 qui font référence à l'ensemble des contrôles de l'annexe A sont, selon le point 6.1.3 c), le processus de comparaison entre les contrôles de sécurité de l'information propres à l'organisation et ceux de l'annexe A et, selon le point 6.1.3 d), la préparation d'une déclaration d'applicabilité (SoA). Ces exigences fondamentales restent inchangées !

Les explications dans les notes informatives (non normatives) de l'article 6.1.3 c) avec la référence à l'annexe A comme liste des contrôles de sécurité des informations possibles indiquent la possibilité de sélectionner des mesures supplémentaires à partir d'autres sources complémentaires à l'annexe A.

La nouvelle annexe A de l'ISO/CEI 27001:2022

La liste des contrôles de sécurité de l'information (SI) possibles dans l'Annexe A normative de l'ISO/IEC 27001:2022 est dérivée de manière identique de l'ISO/IEC 27002:2022. Le catalogue des contrôles généraux de sécurité a été publié en février 2022. Par conséquent, les changements apportés à l'annexe A de l'ISO/CEI 27001:2022 étaient prévisibles depuis un certain temps. Auparavant, l'annexe A comprenait un total de 114 contrôles pouvant être utilisés pour traiter les risques de sécurité de l'information dans le cadre de 35 objectifs de contrôle organisés en 14 clauses.

Outre le fait que la nouvelle norme ISO/IEC 27001:2022 élimine les objectifs de contrôle, les contrôles de sécurité de l'information de l'annexe A ont été révisés, mis à jour, complétés et réorganisés avec de nouveaux contrôles.

Les 14 clauses précédentes de l'annexe A sont maintenant concentrées sur les 4 sujets suivants :

A.5 Contrôles organisationnels (avec 37 contrôles).

A.6 Contrôles personnels (avec 8 contrôles).

A.7 Contrôles physiques (avec 14 contrôles)

A.8 Contrôles techniques (avec 34 contrôles).

L'annexe A de la nouvelle version de l'ISO/IEC 27001:2022 comprend maintenant un total de 93 contrôles, dont les 11 contrôles suivants sont nouveaux :

A.5.7 Renseignements sur les menaces

A.5.23 Sécurité de l'information pour l'utilisation des services en nuage (cloud)

A.5.30 Préparation des TIC pour la continuité des activités

A.7.4 Surveillance de la sécurité physique

A.8.9 Gestion de la configuration

A.8.10 Suppression d'informations

A.8.11 Masquage des données

A.8.12 Prévention des fuites de données

A.8.16 Surveillance de l'activité

A.8.23 Filtrage Web

A.8.28 Codage sécurisé

Alors que l'annexe A de l'ISO/CEI 27001:2022 se limite à nommer les contrôles, le guide de mise en œuvre de l'ISO/CEI 27002:2022 offre des options supplémentaires pour les catégoriser. Dans ce guide, cinq attributs sont assignés à chaque contrôle, ce qui permet d'avoir différents points de vue et perspectives sur ces contrôles. Les attributs ou leurs valeurs d'attribut peuvent être utilisés pour filtrer, trier ou afficher pour différentes vues organisationnelles.

Les cinq attributs sont les suivants :

Type de contrôle est un attribut permettant de visualiser les contrôles du point de vue du moment et de la manière dont une mesure modifie le risque lié à la survenue d'un incident de sécurité de l'information.

Les propriétés de la sécurité de l'information est un attribut permettant de voir les contrôles du point de vue de l'objectif de protection que la mesure est censée soutenir.

Cybersecurity Concepts examine les contrôles du point de vue de leur correspondance avec le cadre de cybersécurité décrit dans ISO/IEC TS 27110.

Operational Capability considère les contrôles du point de vue de leurs capacités opérationnelles de sécurité de l'information et soutient une vision pratique des mesures par les utilisateurs.

Domaines de sécurité est un attribut qui permet de considérer les contrôles du point de vue de quatre domaines de sécurité de l'information.

Que signifie la mise à jour pour votre certification ?

La nouvelle version améliorée de la norme ISO/IEC 27001 a été publiée le 25 octobre 2022. Il en résulte les délais de transition et les échéances suivantes pour les utilisateurs de la norme :

Date limite pour les audits initiaux et/ ou de re-certification selon l'ancienne norme ISO 27001:2013

• Après le 30 avril 2024, DQS France réalisera des audits initiaux et de re-certification uniquement selon la nouvelle norme ISO/IEC 27001:2022
• Transition de tous les certificats existants selon "l'ancienne" ISO/IEC 27001:2013 vers la nouvelle norme ISO/IEC 27001:2022
• Il y a une période de transition de 3 ans à compter du 31 octobre 2022
• Les certificats délivrés selon ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 sont valables jusqu'au 31 octobre 2025 au plus tard ou doivent être retirés à cette date.

La nouvelle norme ISO/IEC 27001:2022 - Conclusion

La nouvelle norme ISO/IEC 27001:2022 est disponible. Elle marque le début de la période de transition de 3 ans.

En résumé, les principales nouveautés sont les suivantes :

• Conformité du système de management avec la structure harmonisée.
• Accent mis sur l'orientation processus, ses interactions et ses critères.
• Catégorisation simplifiée et rationalisée des contrôles en blocs thématiques.
• Mesures contemporaines alignées sur les méthodes organisationnelles actuelles et les menaces associées.
• Attributs permettant d'aligner les contrôles sur diverses méthodes de gestion des risques, notamment les cadres mondiaux de cybersécurité.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs de longue date. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous envoyer un e-mail.