#27002 : Une révision rafraîchissante de la norme avec une structure simplifiée, un nouveau contenu et une indexation contemporaine. La mise à jour de l'ISO/CEI 27002 a été publiée au premier trimestre de 2022, comme un signe avant-coureur de la révision de l'ISO/CEI 27001 attendue au quatrième trimestre de 2022. Lisez ici ce qui a changé dans la nouvelle norme ISO 27002:2022 - et ce que cela signifie pour la prochaine révision de l'ISO 27001:2022.

Loading...

ISO 27002 et ISO 27001

La norme ISO 27002 définit un large catalogue de mesures de sécurité générales qui devraient aider les entreprises à mettre en œuvre les exigences de l'annexe A de la norme ISO 27001 - et s'est imposée comme un guide standard pratique dans de nombreux départements informatiques et de sécurité en tant qu'outil reconnu. Au début de l'année 2022, la norme ISO 27002 a été entièrement révisée et mise à jour - une étape attendue depuis longtemps de l'avis de nombreux experts, compte tenu du développement dynamique de l'informatique au cours des dernières années et sachant que l'actualisation des normes est revue tous les 5 ans.

Pour les entreprises disposant d'un certificat ISO 27001 - ou les entreprises qui souhaitent s'attaquer à la certification dans un avenir proche - les innovations qui viennent d'être introduites sont pertinentes à deux égards : Premièrement, en ce qui concerne les mises à jour nécessaires de leurs propres mesures de sécurité ; mais deuxièmement, parce que ces changements auront un impact sur la mise à jour de la certification ISO 27001. ISO 27001 prévue à la fin de l'année et seront donc pertinentes pour toutes les certifications et recertifications futures. Une raison suffisante, donc, pour examiner de plus près la nouvelle norme ISO 27002.

Note : ISO/IEC 27002:2022 Sécurité de l'information, cybersécurité et protection de la vie privée - Contrôles de sécurité de l'information. La norme est actuellement publiée uniquement en anglais et peut être commandée sur le site Web de l'ISO.

Nouvelle structure et nouveaux sujets

Le premier changement évident dans l'ISO 27002:2022 est la structure actualisée et considérablement simplifiée de la norme : au lieu des 114 mesures de sécurité (contrôles) réparties dans 14 sections, l'ensemble de référence de la version actualisée de l'ISO 27002 comprend désormais 93 contrôles, qui sont clairement subdivisés et résumés dans 4 domaines :

  • 37 mesures de sécurité dans la section "Contrôles organisationnels".
  • 8 mesures de sécurité dans le domaine des "contrôles des personnes".
  • 14 mesures de sécurité dans le domaine des "contrôles physiques".
  • 34 mesures de sécurité dans le domaine des "contrôles technologiques".

Malgré la réduction du nombre de mesures de sécurité, seul le contrôle "Retrait des actifs" a été effectivement supprimé. La rationalisation est due au fait que 24 mesures de sécurité provenant de contrôles existants ont été combinées et restructurées afin de répondre aux objectifs de protection d'une manière plus ciblée. Par ailleurs, 58 autres mesures de sécurité ont été révisées et adaptées pour répondre aux exigences actuelles.

La nouvelle édition de l'ISO 27002 donne aux responsables de la sécurité de l'information un aperçu précis des changements qui deviendront la nouvelle norme de certification avec la nouvelle édition de l'ISO 27001.

Markus Jegelka Expert et auditeur DQS pour la sécurité de l'information

Nouvelles mesures de sécurité

En outre - et c'est probablement la partie la plus excitante de la mise à jour - la norme ISO 27002 a été complétée par 11 mesures de sécurité supplémentaires dans la nouvelle version. Aucune de ces mesures ne surprendra les experts en sécurité, mais prises dans leur ensemble, elles envoient un signal fort et aident les entreprises à armer leurs structures organisationnelles et leurs architectures de sécurité contre les scénarios de menace actuels et futurs en temps utile.

Les nouvelles mesures sont les suivantes :

Renseignements sur les menaces

La saisie, la consolidation et l'analyse des renseignements sur les menaces actuelles permettent aux organisations de rester à jour dans un environnement de menaces de plus en plus dynamique et évolutif. À l'avenir, l'analyse factuelle des informations sur les attaques jouera un rôle clé dans la sécurité de l'information pour développer les meilleures stratégies de défense possibles.

Sécurité de l'information pour l'utilisation des services en nuage

De nombreuses organisations s'appuient aujourd'hui sur des services en nuage. Ce phénomène s'accompagne de nouveaux vecteurs d'attaque, de changements et de surfaces d'attaque beaucoup plus grandes. À l'avenir, les entreprises devront envisager des mesures de protection appropriées pour leur introduction, leur utilisation, leur administration et les rendre contraignantes dans leurs règles contractuelles avec les fournisseurs de services en nuage.

Préparation des TIC à la continuité des activités

La disponibilité des technologies de l'information et des communications (TIC) et de leurs infrastructures est essentielle à la poursuite des activités des entreprises. Les organisations résilientes se fondent sur des objectifs de continuité des activités planifiés et sur les exigences de continuité des TIC qui en découlent, mises en œuvre et vérifiées. Les exigences relatives à la récupération technique et en temps voulu des TIC après une défaillance établissent des concepts viables de continuité des activités.

Surveillance de la sécurité physique

Les effractions au cours desquelles des données sensibles ou des supports de données sont volés à l'entreprise ou compromis représentent un risque important pour les entreprises. Les contrôles techniques et les systèmes de surveillance se sont avérés efficaces pour dissuader les intrus potentiels ou détecter immédiatement leur intrusion. À l'avenir, ils seront des composants standard des concepts de sécurité holistiques pour détecter et dissuader les accès physiques non autorisés.

Gestion de la configuration

Les attaquants peuvent abuser de systèmes mal configurés pour accéder à des ressources critiques. Alors qu'elle était auparavant considérée comme un sous-ensemble de la gestion du changement, la gestion systématique de la configuration est désormais considérée comme une mesure de sécurité à part entière. Elle exige des organisations qu'elles contrôlent la bonne configuration du matériel, des logiciels, des services et des réseaux, et qu'elles renforcent leurs systèmes de manière appropriée.

Suppression des informations

Depuis l'entrée en vigueur du règlement général sur la protection des données, les organisations doivent disposer de mécanismes appropriés pour supprimer les données personnelles sur demande et veiller à ce qu'elles ne soient pas conservées plus longtemps que nécessaire. Cette exigence est étendue à toutes les informations dans la norme ISO 27002. Les informations sensibles ne doivent pas être conservées plus longtemps que nécessaire pour éviter le risque de divulgation indésirable.

Masquage des données

L'objectif de cette mesure de sécurité est de protéger les données ou les éléments de données sensibles (par exemple, les données personnelles) par le masquage, la pseudonymisation ou l'anonymisation. Le cadre pour la mise en œuvre appropriée de ces mesures techniques est fourni par les exigences légales, statutaires, réglementaires et contractuelles.

Prévention des fuites de données

Des mesures de sécurité préventives sont nécessaires pour atténuer le risque de divulgation et d'extraction non autorisées de données sensibles à partir de systèmes, de réseaux et d'autres dispositifs. Les canaux potentiels de fuite incontrôlée de ces informations identifiées et classifiées (par exemple, le courrier électronique, les transferts de fichiers, les dispositifs mobiles et les dispositifs de stockage portables) doivent être surveillés et, si nécessaire, soutenus techniquement par des mesures de prévention actives (par exemple, la mise en quarantaine du courrier électronique).

Activités de surveillance

Les systèmes de surveillance des anomalies dans les réseaux, les systèmes et les applications font désormais partie du répertoire standard des services informatiques. De même, l'obligation d'utiliser des systèmes de détection des attaques a trouvé sa place dans les exigences légales et réglementaires actuelles. La surveillance continue, la collecte automatique et l'évaluation de paramètres et de caractéristiques appropriés à partir des opérations informatiques en cours sont indispensables à une cyberdéfense proactive et continueront à stimuler les technologies dans ce domaine.

Filtrage du Web

De nombreux sites Web non fiables infectent les visiteurs avec des logiciels malveillants ou lisent leurs données personnelles. Le filtrage avancé des URL peut être utilisé pour filtrer automatiquement les sites Web potentiellement dangereux afin de protéger les utilisateurs finaux. Les mesures et solutions de sécurité visant à protéger contre les contenus malveillants sur les sites Web externes sont essentielles dans un monde des affaires connecté à l'échelle mondiale.

Codage sécurisé

Les vulnérabilités du code développé en interne ou des composants open source constituent un dangereux point d'attaque, permettant aux cybercriminels d'accéder facilement aux données et aux systèmes critiques. Des directives de développement de logiciels actualisées, des procédures de test automatisées, des procédures de publication des modifications de code, une gestion des connaissances pour les développeurs, mais aussi des stratégies de correction et de mise à jour bien pensées augmentent considérablement le niveau de protection.

Attributs et valeurs d'attributs

Une autre innovation a été introduite pour la première fois dans la norme ISO 27002:2022 pour aider les responsables de la sécurité à s'y retrouver dans le large éventail de mesures : Dans l'annexe A de la norme, cinq attributs avec des valeurs d'attribut associées sont stockés pour chaque mesure.

Les attributs et les valeurs d'attribut sont les suivants :

Types de contrôle

  • Effet sur le risque Résultat d'un incident SI
  • #préventif #détectif #correctif

Propriétés de la sécurité de l'information

  • Effet sur les objectifs de protection de la sécurité de l'information
  • #confidentialité, intégrité, disponibilité.

Concepts de cybersécurité

  • Classification dans le cadre de cybersécurité du NIST
  • #Identifier Protéger Détecter Répondre Récupérer

Capacités opérationnelles

  • Capacités opérationnelles
  • #Sécurité des applications #Gestion des actifs #Continuité #Protection des données #Gouvernance #Sécurité des ressources humaines #Gestion des identités et des accès #Gestion des événements de sécurité de l'information #Juridique et conformité #Sécurité physique #Configuration sécurisée #Assurance de la sécurité #Sécurité des relations avec les fournisseurs #Sécurité des systèmes et des réseaux #Gestion des menaces et des vulnérabilités

Domaines de sécurité

  • Domaines de sécurité du NIS (ENISA)
  • #Gouvernance_et_Ecosystème #Protection #Défense #Résilience

Les valeurs d'attribut marquées par des hashtags ont pour but de permettre aux responsables de la sécurité de s'orienter plus facilement dans le vaste catalogue de mesures du guide standard, de les rechercher et de les évaluer de manière ciblée.

Changements dans la norme ISO 27002 : Une conclusion

La nouvelle édition de l'ISO 27002 offre aux responsables de la sécurité de l'information un aperçu précis des changements qui deviendront la nouvelle norme de certification avec la nouvelle édition de l'ISO 27001. En même temps, les innovations restent dans un cadre gérable : La restructuration du catalogue de mesures rend la norme plus transparente et constitue sans aucun doute un pas dans la bonne direction compte tenu de la complexité croissante et de la transparence décroissante des architectures de sécurité. Les nouvelles mesures incluses ne surprendront pas non plus les experts en sécurité expérimentés et modernisent considérablement la norme ISO obsolète.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification selon ISO 27001

Combien d'efforts devez-vous déployer pour faire certifier votre SMSI selon la norme ISO 27001 ? Obtenez des informations gratuitement et sans engagement.

Nous nous réjouissons d'en discuter avec vous.

Ce que la mise à jour signifie pour votre certification

Les entreprises certifiées ISO 27001 ne doivent pas craindre les prochains audits de certification ou de recertification : Au fond, la norme familière reste intacte, et beaucoup des nouvelles mesures sont probablement déjà intégrées dans les meilleures pratiques de l'entreprise de toute façon. Néanmoins, comme pour toute autre certification, les équipes ont tout intérêt à planifier suffisamment à l'avance et à se préparer soigneusement à l'audit du système de gestion de la sécurité de l'information (SGSI). Il n'y a pas de pression temporelle : après la publication de la norme (qui devrait avoir lieu au quatrième trimestre de 2022), il y aura 36 mois pour effectuer la transition vers la nouvelle norme ISO 27001:2022.

DQS : La qualité en toute simplicité

Nos audits de certification vous apportent de la clarté. La vision globale et neutre de l'extérieur sur les personnes, les processus, les systèmes et les résultats montre l'efficacité de votre système de gestion, sa mise en œuvre et sa maîtrise. Il est important pour nous que vous perceviez notre audit non pas comme un test, mais comme un enrichissement pour votre système de gestion.

Notre demande commence toujours là où les listes de contrôle d'audit se terminent. Nous demandons spécifiquement "pourquoi", car nous voulons comprendre les motifs qui vous ont conduit à choisir une certaine façon de mettre en œuvre. Nous nous concentrons sur le potentiel d'amélioration et encourageons un changement de perspective. De cette façon, vous pouvez identifier des options d'action avec lesquelles vous pouvez améliorer continuellement votre système de gestion.

Auteur
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...

Articles et événements pertinents

Vous pouvez également être intéressé par ce qui suit
Blog
racing cars on a track
Loading...

La cybersécurité automobile certifiée avec ENX VCS.

Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434 : Audit de la cybersécurité des véhicules

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

L'intérêt de l'ISO 27001 - La success story d'ENTERBRAIN Software