ISO 27001 et ISO 27002, une nouvelle version majeure pour des changements majeurs

La cybersécurité est un secteur en mutation permanente, avec des menaces qui évoluent et s’intensifient sans cesse. C’est pourquoi les normes internationales comme l’ISO 27001 sont essentielles pour protéger les données sensibles et gérer les risques liés à la sécurité de l’information. En 2022, une mise à jour majeure de la norme ISO 27001 a été publiée, succédant à la version de 2013.

La comparaison des deux versions est une nécessité pour identifier les modifications apportées et ainsi permettre l’identification des répercussions sur la gestion d’un système de management de la sécurité de l’information.

Un rapide parallèle entre les 2 versions

De manière générale, les deux versions diffèrent en premier lieu sur la forme. S’il y a bien le même nombre de chapitres dans la structure de la norme, c’est-à-dire 11, une revue du nombre de sections de l’annexe A a été réalisée. Pour s’adapter aux différentes évolutions du contexte cyber et pour simplifier la vue d’ensemble, une réorganisation a été réalisée faisant passer de 14 à 4 le nombre de sections et en adoptant une nouvelle nomenclature :  People, Organization, Technological et Physical .

Dans cette nouvelle structure, les mesures ont été réorganisées de manière significative. Les 114 contrôles initiaux ont été révisés et redistribués, aboutissant à une configuration plus concise. Au total, 93 contrôles ont été établis :

• 57 contrôles ont fait l’objet d’une fusion
• Un contrôle a été divisé en deux contrôles spécifiques
• 11 nouveaux contrôles ont fait leur introduction

Cette rationalisation a permis de simplifier l’Annexe A, tout en maintenant l’intégrité du contenu, aboutissant à une structure plus claire et plus efficace.

Dans la version révisée de la norme ISO 27001:2022, trois évolutions majeures ont été réalisées, redéfinissant ainsi la norme pour répondre aux défis actuels. Ces modifications notables reflètent l’évolution rapide du paysage de la sécurité, offrant aux organisations des orientations actualisées et des pratiques optimisées pour renforcer leur posture face aux menaces cyber pesant sur leurs activités.

Introduction de changements majeurs dans la norme ISO 27001

L’organisation doit établir, mettre en œuvre, tenir à jour et améliorer en continu un système de management de la sécurité de l’information, y compris les processus nécessaires et leurs interactions, en accord avec les exigences du présent document. La modification indique aux utilisateurs de la norme de ne pas se cantonner aux éléments obligatoires dans la norme mais de prendre aussi en compte l’environnement global du Système de Management de la Sécurité de l’Information (SMSI) à savoir les interactions et processus rentrant dans son cadre de fonctionnement.

Dans ce contexte, l’évolution majeure réside dans la nécessité d’intégrer les processus au sein du SMSI. Contrairement aux versions antérieures, la norme actuelle exige explicitement que l’organisation prenne en compte non seulement les exigences formelles, mais aussi les processus internes interagissant au sein du SMSI.

Cette approche aligne la norme avec les pratiques de gestion de la qualité telles que l’ISO 9001, soulignant l’importance cruciale de l’intégration et de l’optimisation des processus dans le cadre global de la sécurité de l’information avec une approche tournée vers la qualité.

Modifications du système de management de la sécurité de l’information

Lorsque l’organisation détermine qu’il est nécessaire de modifier le système de management de la sécurité de l’information, les modifications doivent être réalisées de façon planifiée.

La planification des changements implique d’identifier les porteurs d’actions responsables, de définir les domaines spécifiques à modifier (périmètres de changement) et de répartir les responsabilités pour éviter la dépendance à l’égard d’une seule personne.

Il faut également intégrer la dimension temporelle dans la planification des changements. Les responsables peuvent établir des échéanciers clairs, définir des dates limites et évaluer la faisabilité des modifications proposées dans des délais spécifiques. Cela permet non seulement d’anticiper les défis potentiels liés au calendrier, mais aussi de garantir que les actions nécessaires soient entreprises en temps voulu.

Cette approche organisée assure une transition fluide, évitant que le Système de Management de la Sécurité de l’Information repose sur une seule personne, renforçant ainsi la résilience et la durabilité du système.

Planification, Mise en Œuvre et Contrôle des Processus : Garantir la Conformité et la Gestion des Risques

L’organisation doit planifier, mettre en œuvre et contrôler les processus nécessaires pour satisfaire aux exigences et réaliser les actions déterminées dans l’Article 6, en :

• Etablissant des critères pour ces processus.
• Mettant en œuvre le contrôle de ces processus conformément aux critères.
• Les informations documentées doivent être disponibles dans une mesure suffisante pour avoir l’assurance que les processus ont été suivis comme prévu.
• L’organisation doit contrôler les modifications prévues, analyser les conséquences des modifications imprévues et, si nécessaire, mener des actions pour limiter tout effet négatif.
• L’organisation doit s’assurer que les processus, produits ou services fournis en externe et pertinents pour le système de management de la sécurité de l’information sont contrôlés.
• Les critères des processus utilisés dans le cadre de la planification et des contrôles opérationnels pour la mise en œuvre des mesures de gestion des risques doivent être définis.

Mise à jour de la norme ISO 27002

La norme ISO 27001 rassemble dans son annexe A un ensemble de mesures. Cette annexe est liée à la norme ISO 27002 qui rassemble un ensemble détaillé de bonnes pratiques à intégrer dans les systèmes d’information (SI). Il est donc logique que l’ISO 27002 subisse également des modifications.

Le lien entre l’annexe A et l’ISO 27002:2022 est essentiel car la première établit les mesures pour assurer la mise en place d’un SMSI tandis que la seconde fournit un ensemble de bonnes pratiques pour mettre en œuvre efficacement ces fondements. Les impacts de ces mises à jour se font sentir lors de la planification, de l’implémentation et du maintien en condition opérationnelle de l’ISO 27001:2022. Ajouté à cela, les nouvelles pratiques reflètent les tendances actuelles en matière de cybersécurité, telles que l’importance croissante de la gestion des identités et des accès, ce qui nécessitera une adaptation des politiques et des procédures de sécurité.

Dans la version mise à jour de l’ISO 27002, un ajout significatif a été fait pour refléter l’évolution technologique majeure dans le domaine de la sécurité de l’information : l’inclusion de directives spécifiques liées à l’utilisation du cloud. Cette mise à jour reconnaît l’importance croissante dans les environnements informatiques modernes de cette nouveauté et fournit des orientations détaillées sur la sécurisation des données et des systèmes dans ce contexte. Ces bonnes pratiques visent à aider les organisations à comprendre les défis et les meilleures pratiques liés à l’adoption du cloud, renforçant ainsi la sécurité des informations dans ce domaine.

Etapes d’évolution pour maintenir la certification ISO 27001

Voici les étapes les plus importantes pour faire évoluer votre certification de la version 2013 à la version 2022 de la norme ISO 27001. Pour réaliser son évolution dans le but de maintenir la certification, certaines étapes sont importantes à réaliser :

1. Compréhension des changements : Familiarisez-vous avec les modifications apportées à la norme ISO 27001:2022 par rapport à la version 2013.
2. Évaluation de l’écart : Identifiez les écarts entre votre système de gestion de la sécurité de l’information actuel et les nouvelles exigences de la version 2022.
3. Planification de la mise à jour : Élaborez un plan détaillé pour mettre en œuvre les changements nécessaires.
4. Mise en œuvre des changements : Appliquez les modifications planifiées à votre système de gestion de la sécurité de l’information. 
5. Audit à blanc : Avant l’audit de certification externe, réalisez un audit à blanc interne complet pour évaluer la conformité aux exigences de la norme ISO 27001:2022. Identifiez les écarts résiduels, ajustez les procédures si nécessaire, et assurez-vous que l’équipe est pleinement préparée. Cet audit interne renforce la préparation de votre système avant l’audit externe. Cet audit peut être réalisé par un cabinet externe également.
6. Audit externe de certification : Engagez un organisme de certification accrédité pour effectuer un audit de certification conformément à la nouvelle version de la norme ISO 27001:2022.
7. Certification : Recevez une nouvelle certification conforme à la version 2022 de la norme si votre système est conforme.
8. Communication et sensibilisation : Informez vos parties prenantes internes et externes de la mise à jour de votre certification.
9. Surveillance et amélioration continue : Maintenez et améliorez continuellement votre système conformément à la version 2022 de la norme.

Conclusion

Le passage de la norme ISO 27001 de la version 2013 à la version 2022 marque une avancée significative dans le domaine de la gestion de la sécurité de l’information. Les évolutions majeures de cette transition reflètent la dynamique constante de l’environnement numérique et la nécessité pour les organisations de rester à la pointe en matière de cybersécurité.

Le cabinet Headmind Partners, expert en cybersécurité, vous assistera dans la transition vers la version la plus récente de la norme ISO 27001. Fort de 20 ans d’expérience, notre équipe de la BU cyber vous guidera dans la mise en place des évolutions nécessaires, y compris la conformité. Nous sommes dédiés à améliorer le niveau de sécurité des entreprises.

Co-Ecrit par Antoine ARRIEUDEBAT, Guillaume GRABOWSKI, Anthony ZORATTI