#27002 : Une révision rafraîchissante de la norme avec une structure simplifiée, un nouveau contenu et une indexation contemporaine. La mise à jour de la norme ISO/CEI 27002 a été publiée au premier trimestre 2022, comme un signe avant-coureur de la révision de la norme ISO/CEI 27001 attendue au quatrième trimestre 2022. Lisez ici ce qui a changé avec la nouvelle ISO 27002:2022 - et ce que cela signifie en termes de révision de l'ISO 27001:2022.
ISO 27002 et ISO 27001
La norme ISO 27002 définit un large catalogue de mesures de sécurité générales qui devraient aider les entreprises à mettre en œuvre les exigences de l'annexe A de la norme ISO 27001 - et s'est imposée comme un guide standard pratique dans de nombreux départements informatiques et de sécurité en tant qu'outil reconnu. Au début de l'année 2022, la norme ISO 27002 a été entièrement révisée et mise à jour - une étape attendue depuis longtemps de l'avis de nombreux experts, compte tenu du développement dynamique de l'informatique au cours des dernières années et sachant que l'actualisation des normes est revue tous les 5 ans.
Pour les entreprises disposant d'un certificat ISO 27001 - ou pour celles qui veulent s'attaquer à la certification dans un avenir proche - les innovations qui viennent d'être introduites sont pertinentes à deux égards : Premièrement, en ce qui concerne les mises à jour nécessaires de leurs propres mesures de sécurité ; mais deuxièmement, parce que ces changements auront un impact sur la mise à jour de la certification ISO 27001. ISO 27001 prévue à la fin de l'année et seront donc pertinentes pour toutes les certifications et recertifications futures. Une raison suffisante, donc, pour examiner de plus près la nouvelle norme ISO 27002.
Note : ISO/IEC 27002:2022 Sécurité de l'information, cybersécurité et protection de la vie privée - Contrôles de sécurité de l'information. La norme est actuellement publiée uniquement en anglais et peut être commandée sur le site Web de l'ISO.
Nouvelle structure et nouveaux sujets
Le premier changement évident dans l'ISO 27002:2022 est la structure actualisée et considérablement simplifiée de la norme : au lieu des 114 mesures de sécurité (contrôles) réparties dans 14 sections, l'ensemble de référence de la version actualisée de l'ISO 27002 comprend désormais 93 contrôles, qui sont clairement subdivisés et résumés dans 4 domaines :
- 37 mesures de sécurité dans la section "Contrôles organisationnels".
- 8 mesures de sécurité dans le domaine des "contrôles des personnes".
- 14 mesures de sécurité dans le domaine des "contrôles physiques".
- 34 mesures de sécurité dans le domaine des "contrôles technologiques".
Malgré la réduction du nombre de mesures de sécurité, seul le contrôle "Retrait des actifs" a été effectivement supprimé. La rationalisation est due au fait que 24 mesures de sécurité provenant de contrôles existants ont été combinées et restructurées afin de répondre aux objectifs de protection d'une manière plus ciblée. Par ailleurs, 58 autres mesures de sécurité ont été révisées et adaptées pour répondre aux exigences actuelles.
La nouvelle édition de l'ISO 27002 donne aux responsables de la sécurité de l'information un aperçu précis des changements qui deviendront la nouvelle norme de certification avec la nouvelle édition de l'ISO 27001.
Nouvelles mesures de sécurité
En outre - et c'est probablement la partie la plus excitante de la mise à jour - la norme ISO 27002 a été complétée par 11 mesures de sécurité supplémentaires dans la nouvelle version. Aucune de ces mesures ne surprendra les experts en sécurité, mais prises dans leur ensemble, elles envoient un signal fort et aident les entreprises à armer leurs structures organisationnelles et leurs architectures de sécurité contre les scénarios de menace actuels et futurs en temps utile.
Les nouvelles mesures sont les suivantes :
Renseignements sur les menaces
La saisie, la consolidation et l'analyse des renseignements sur les menaces actuelles permettent aux organisations de rester à jour dans un environnement de menaces de plus en plus dynamique et évolutif. À l'avenir, l'analyse factuelle des informations sur les attaques jouera un rôle clé dans la sécurité de l'information pour développer les meilleures stratégies de défense possibles.
Sécurité de l'information pour l'utilisation des services en nuage
De nombreuses organisations s'appuient aujourd'hui sur des services en nuage. Ce phénomène s'accompagne de nouveaux vecteurs d'attaque, de changements et de surfaces d'attaque beaucoup plus grandes. À l'avenir, les entreprises devront envisager des mesures de protection appropriées pour leur introduction, leur utilisation, leur administration et les rendre contraignantes dans leurs règles contractuelles avec les fournisseurs de services en nuage.
Préparation des TIC à la continuité des activités
La disponibilité des technologies de l'information et des communications (TIC) et de leurs infrastructures est essentielle à la poursuite des activités des entreprises. Les organisations résilientes se fondent sur des objectifs de continuité des activités planifiés et sur les exigences de continuité des TIC qui en découlent, mises en œuvre et vérifiées. Les exigences relatives à la récupération technique et en temps voulu des TIC après une défaillance établissent des concepts viables de continuité des activités.
Surveillance de la sécurité physique
Les effractions au cours desquelles des données sensibles ou des supports de données sont volés à l'entreprise ou compromis représentent un risque important pour les entreprises. Les contrôles techniques et les systèmes de surveillance se sont avérés efficaces pour dissuader les intrus potentiels ou détecter immédiatement leur intrusion. À l'avenir, ils seront des composants standard des concepts de sécurité holistiques pour détecter et dissuader les accès physiques non autorisés.
Management de la configuration
Les attaquants peuvent abuser de systèmes mal configurés pour accéder à des ressources critiques. Alors qu'elle était auparavant considérée comme un sous-ensemble du management du changement, le management systématique de la configuration est désormais considérée comme une mesure de sécurité à part entière. Elle exige des organisations qu'elles contrôlent la bonne configuration du matériel, des logiciels, des services et des réseaux, et qu'elles renforcent leurs systèmes de manière appropriée.
Suppression des informations
Depuis l'entrée en vigueur du règlement général sur la protection des données, les organisations doivent disposer de mécanismes appropriés pour supprimer les données personnelles sur demande et veiller à ce qu'elles ne soient pas conservées plus longtemps que nécessaire. Cette exigence est étendue à toutes les informations dans la norme ISO 27002. Les informations sensibles ne doivent pas être conservées plus longtemps que nécessaire pour éviter le risque de divulgation indésirable.
Guide d'audit DQS pour ISO 27001
Expertise précieuse
Notre guide d'audit ISO 27001 - Annexe A a été créé par des experts de premier plan comme une aide pratique à la mise en œuvre et est idéal pour une meilleure compréhension de certaines exigences de la norme. Le guide ne fait pas encore référence à la norme ISO 27001 révisée qui a été publiée le 25 octobre 2022.
Masquage des données
L'objectif de cette mesure de sécurité est de protéger les données ou les éléments de données sensibles (par exemple, les données personnelles) par le masquage, la pseudonymisation ou l'anonymisation. Le cadre pour la mise en œuvre appropriée de ces mesures techniques est fourni par les exigences légales, statutaires, réglementaires et contractuelles.
Prévention des fuites de données
Des mesures de sécurité préventives sont nécessaires pour atténuer le risque de divulgation et d'extraction non autorisées de données sensibles à partir de systèmes, de réseaux et d'autres dispositifs. Les canaux potentiels de fuite incontrôlée de ces informations identifiées et classifiées (par exemple, le courrier électronique, les transferts de fichiers, les dispositifs mobiles et les dispositifs de stockage portables) doivent être surveillés et, si nécessaire, soutenus techniquement par des mesures de prévention actives (par exemple, la mise en quarantaine du courrier électronique).
Activités de surveillance
Les systèmes de surveillance des anomalies dans les réseaux, les systèmes et les applications font désormais partie du répertoire standard des services informatiques. De même, l'obligation d'utiliser des systèmes de détection des attaques a trouvé sa place dans les exigences légales et réglementaires actuelles. La surveillance continue, la collecte automatique et l'évaluation de paramètres et de caractéristiques appropriés à partir des opérations informatiques en cours sont indispensables à une cyberdéfense proactive et continueront à stimuler les technologies dans ce domaine.
Filtrage du Web
De nombreux sites Web non fiables infectent les visiteurs avec des logiciels malveillants ou lisent leurs données personnelles. Le filtrage avancé des URL peut être utilisé pour filtrer automatiquement les sites Web potentiellement dangereux afin de protéger les utilisateurs finaux. Les mesures et solutions de sécurité visant à protéger contre les contenus malveillants sur les sites Web externes sont essentielles dans un monde des affaires connecté à l'échelle mondiale.
Codage sécurisé
Les vulnérabilités du code développé en interne ou des composants open source constituent un dangereux point d'attaque, permettant aux cybercriminels d'accéder facilement aux données et aux systèmes critiques. Des directives de développement de logiciels actualisées, des procédures de test automatisées, des procédures de publication des modifications de code, un management des connaissances pour les développeurs, mais aussi des stratégies de correction et de mise à jour bien pensées augmentent considérablement le niveau de protection.
Attributs et valeurs d'attributs
Une autre innovation a été introduite pour la première fois dans la norme ISO 27002:2022 pour aider les managers de la sécurité à s'y retrouver dans le large éventail de mesures : Dans l'annexe A de la norme, cinq attributs avec des valeurs d'attributs associées sont stockés pour chaque contrôle.
Les attributs et les valeurs d'attribut sont les suivants :
Types de contrôle
- Le type de contrôle est un attribut permettant de considérer les contrôles du point de vue du moment et de la manière dont un contrôle modifie le risque lié à l'occurrence d'un incident de sécurité de l'information.
- #préventif #détectif #correctif
Propriétés de la sécurité de l'information
- Les propriétés de sécurité de l'information sont un attribut qui peut être utilisé pour voir les contrôles du point de vue de l'objectif de protection que le contrôle est censé soutenir.
- #confidentialité, intégrité, disponibilité.
Concepts de cybersécurité
- Les concepts de cybersécurité considèrent les contrôles du point de vue de la mise en correspondance des contrôles avec le cadre de cybersécurité décrit dans ISO/IEC TS 27110.
- #Identifier Protéger Détecter Répondre Récupérer
Capacités opérationnelles
- La capacité opérationnelle examine les contrôles du point de vue de leurs capacités opérationnelles en matière de sécurité des informations et soutient une vision pratique des contrôles par les utilisateurs.
- #Sécurité des applications #Management des actifs #Continuité #Protection des données #Gouvernance #Sécurité des ressources humaines #Management des identités et des accès #Management des événements de sécurité de l'information #Juridique et conformité #Sécurité physique #Configuration sécurisée #Assurance de la sécurité #Sécurité des relations avec les fournisseurs #Sécurité des systèmes et des réseaux #Management des menaces et des vulnérabilités
Domaines de sécurité
- Les domaines de sécurité sont un attribut qui peut être utilisé pour visualiser les contrôles dans la perspective de quatre domaines de sécurité des informations.
- #Gouvernance_et_Ecosystème #Protection #Défense #Résilience
Les valeurs d'attribut marquées par des hashtags ont pour but de permettre aux responsables de la sécurité de s'orienter plus facilement dans le vaste catalogue de mesures du guide standard, de les rechercher et de les évaluer de manière ciblée.
Changements dans la norme ISO 27002 : Une conclusion
La nouvelle édition de l'ISO 27002 offre aux responsables de la sécurité de l'information un aperçu précis des changements qui deviendront la nouvelle norme de certification avec la nouvelle édition de l'ISO 27001. En même temps, les innovations restent dans un cadre gérable : La restructuration du catalogue de mesures rend la norme plus transparente et constitue sans aucun doute un pas dans la bonne direction compte tenu de la complexité croissante et de la transparence décroissante des architectures de sécurité. Les nouvelles mesures incluses ne surprendront pas non plus les experts en sécurité expérimentés et modernisent considérablement la norme ISO obsolète.
Certification selon ISO 27001
Combien d'efforts devez-vous déployer pour faire certifier votre SMSI selon la norme ISO 27001 ? Obtenez des informations gratuitement et sans engagement.
Nous nous réjouissons d'en discuter avec vous.
Ce que la mise à jour signifie pour votre certification
Les entreprises certifiées ISO 27001 ne doivent pas craindre les prochains audits de certification ou de recertification : Au fond, la norme familière reste intacte, et beaucoup des nouvelles mesures sont probablement déjà intégrées dans les meilleures pratiques de l'entreprise de toute façon. Néanmoins, comme pour toute autre certification, les équipes ont tout intérêt à planifier suffisamment à l'avance et à se préparer soigneusement à l'audit du système de management de la sécurité de l'information (SGSI). Il n'y a pas de pression temporelle : après la publication de la norme (qui devrait avoir lieu au quatrième trimestre de 2022), il y aura 36 mois pour effectuer la transition vers la nouvelle norme ISO 27001:2022.
DQS : Simply leveraging Quality.
Nos audits de certification vous apportent de la clarté. La vision globale et neutre de l'extérieur sur les personnes, les processus, les systèmes et les résultats montre l'efficacité de votre système de management, sa mise en œuvre et sa maîtrise. Il est important pour nous que vous perceviez notre audit non pas comme un test, mais comme un enrichissement pour votre système de management.
Notre demande commence toujours là où les listes de contrôle d'audit se terminent. Nous demandons spécifiquement "pourquoi", car nous voulons comprendre les motifs qui vous ont conduit à choisir une certaine façon de mettre en œuvre. Nous nous concentrons sur le potentiel d'amélioration et encourageons un changement de perspective. De cette façon, vous pouvez identifier des options d'action avec lesquelles vous pouvez améliorer continuellement votre système de management.
Bulletin d'information DQS
André Saeckel
Chef de produit chez DQS pour le management de la sécurité de l'information. En tant qu'expert en normes pour le domaine de la sécurité de l'information et du catalogue de sécurité informatique (infrastructures critiques), André Säckel est responsable, entre autres, des normes suivantes et des normes spécifiques au secteur : ISO 27001, ISIS12, ISO 20000-1, KRITIS et TISAX (sécurité de l'information dans l'industrie automobile). Il est également membre du groupe de travail ISO/IEC JTC 1/SC 27/WG 1 en tant que délégué national de l'Institut allemand de normalisation DIN.