Êtes-vous au courant des actualités de la norme ISO/IEC 27001:2022?
SharePartager

Êtes-vous au courant des actualités de la norme ISO/IEC 27001:2022?

Publié dans 20 de Mars de 2023

La sécurité de l’information est une responsabilité de gouvernance d’entreprise. Il ne peut pas être considéré comme une initiative isolée de l’équipe des technologies de l’information, mais plutôt comme un sujet de stratégie d’entreprise. De ce point de vue, les organisations ont eu du mal à protéger les informations contrôlées, critiques ou confidentielles contre les accès inappropriés qui peuvent causer des dommages irréversibles à l’entreprise.

La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs actifs informationnels. L’adoption de cette famille de normes aide les organisations à gérer la sécurité des actifs, tels que les informations financières, la propriété intellectuelle, les informations sur les employés ou les informations confiées par des tiers. ISO/IEC 27001 est la norme la plus connue de cette famille et répond aux exigences du système de management de la sécurité de l’information (SMSI).

L’examen

Après neuf ans, le 25 octobre 2022, la norme ISO 27001 a été mise à jour et la nouvelle norme ISO/IEC 27001 :2022 a été publiée, ce qui a suscité une certaine attente sur le marché.

Cette nouvelle version est conçue pour aider les organisations à gérer les contrôles plus efficacement en les regroupant en quatre « thèmes » clairs : organisationnel, personnel, technologique et physique. Ce changement fondamental vise à obtenir plus de clarté, d’orientation et de responsabilité en matière de sécurité de l’information au sein d’une organisation.

Même si cette revue n’apporte que des changements modérés, il est important de les étudier de près. Par conséquent, dans cet article, je vais commenter tous les changements et comparer cette revue de 2022 avec l’ancienne, de 2013.

ISO 27001 n’est pas ISO 27002

Avant d’entrer dans le vif du sujet, abordons un sujet important qui suscite encore beaucoup de doutes : il ne faut pas confondre ISO 27001 et ISO 27002.

Pour clarifier, ISO 27001 est la norme à laquelle vous pouvez certifier votre entreprise, tandis que ISO 27002 est la norme de soutien qui fournit des lignes directrices sur la mise en œuvre des contrôles de sécurité. La différence la plus importante est que la norme ISO 27002 n’est pas obligatoire pour la certification ISO 27001 et que votre entreprise ne peut pas être certifiée ISO 27002.

Nouvelle révision, nouveau titre

Un changement intéressant, reflétant l’évolution technologique et l’étendue des sujets associés à la sécurité, le changement que nous voyons tout de suite est lié au nouveau titre de la norme.

Contrairement à la norme ISO/IEC 27001:2013, le titre complet de la nouvelle version est ISO/IEC 27001:2022 Sécurité de l’information, cybersécurité et protection de la vie privée. Nous pouvons voir la différence subtile mais importante :

Telle qu’elle était (ISO/IEC 27001:2013) : « Technologies de l’information – techniques de sécurité – systèmes de management de la sécurité de l’information ».

En l’état actuel des choses (ISO/IEC 27001:2022) : « Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information — Exigences ».

Ce changement n’aura pas d’impact sur votre entreprise, pensez simplement à mettre à jour vos documents où la norme est mentionnée à la fois dans le nom et dans la nouvelle version.

Nouvelle version de l’annexe A

À première vue, l’annexe A a beaucoup changé – le nombre de contrôles est passé de 114 à 93 et est organisé en seulement quatre sections contre 14 sections lors de la révision de 2013. Cependant, en y regardant de plus près, il devient évident que les changements de l’Annexe A ne sont que modérés et sont conformes aux mises à jour de la norme ISO/IEC 27002:2022 publiées début 2022.

L’Annexe A de l’ISO/CEI 27001:2022 a subi des modifications tant au niveau du nombre de contrôles que de leur liste en groupes. Tout d’abord, le titre de la pièce jointe a subi un léger changement, passant de Référence des objectifs et des contrôles à Référence des contrôles de sécurité de l’information.

Pour en revenir à la diminution du nombre de contrôles, elle est principalement due à la fusion de beaucoup d’entre eux. Regardons les chiffres : 35 contrôles sont restés les mêmes, 23 ont été renommés, 57 contrôles ont été fusionnés en 24 et un contrôle a été scindé en deux. Comme nous l’avons mentionné précédemment, cette refonte a été mise en œuvre pour refléter la mise à jour technologique et une approche plus globale des domaines de sécurité. Voici comment les 93 contrôles sont restructurés en quatre grands groupes :

  1. 5 Contrôles organisationnels – contient 37 contrôles
  2. 6 Contrôles des personnes – contient 8 contrôles
  3. 7 Commandes physiques – contient 14 commandes
  4. 8 Contrôles technologiques – contient 34 contrôles

La nouvelle version a également apporté 11 nouveaux contrôles comme mentionné ci-dessous :

  1. Renseignements sur les menaces – Obtenez des informations sur les menaces, analysez-les et prenez les mesures d’atténuation appropriées.
  2. Sécurité de l’information pour l’utilisation des services cloud : établissez les exigences de sécurité dans les services cloud.
  3. Préparation des TIC pour la continuité des activités – s’assurer que les TIC sont prêtes à faire face aux perturbations et que les informations et les actifs sont prêts en cas de besoin.
  4. Surveillance de la sécurité physique – surveillance physique des zones sensibles pour le contrôle d’accès.
  5. Gestion de la configuration – gestion du cycle technologique complet (définition, déploiement, surveillance et révision de la configuration).
  6. Suppression des informations – assurer la suppression des informations lorsqu’elles ne sont plus nécessaires, afin d’éviter la fuite d’informations, en particulier les informations sensibles et privées.
  7. Masquage des données : utilisation de techniques de masquage des données en conjonction avec les contrôles et l’accès pour limiter l’exposition des informations sensibles.
  8. Prévention des fuites de données – appliquer des mesures pour empêcher la divulgation non autorisée d’informations.
  9. Activités de surveillance – surveillance des systèmes pour supprimer les comportements anormaux et les éventuels incidents de sécurité de l’information.
  10. Filtrage Web – protection des systèmes informatiques en gérant les sites Web auxquels les utilisateurs ont accès.
  11. Codage sécurisé – établissez des principes de code sécurisé, en les appliquant dès le moment où le logiciel est développé.

La révision affectera-t-elle votre certificat ISO/IEC 27001 actuel ?

Bonne nouvelle! Les nouvelles modifications apportées à la norme ISO/IEC 27001:2022 n’affecteront pas votre certificat ISO/IEC 27001 actuel. Mais il est important de faire attention à la période de transition.

Selon le document « Transition Requirements for ISO/IEC 27001:2022 » de l’International Accreditation Forum, pour les entreprises déjà certifiées ISO 27001:2013, la transition vers ISO 27001:2022 doit être achevée d’ici le 31 octobre 2025.

Les organismes de certification devraient commencer à certifier les entreprises selon la nouvelle version à partir du 31 octobre 2023, mais la plupart d’entre eux commenceront sûrement beaucoup plus tôt. Donc, pour ceux d’entre vous qui ne sont pas encore certifiés, restez à l’affût des changements à intégrer avant de commencer votre audit.

Résumé final – Dans quelle mesure vous serez touché

Étant donné que les modifications apportées aux contrôles, et à la norme dans son ensemble, sont très faibles, la transition vers la nouvelle mise à jour de la norme se fera en douceur. Vous devrez peut-être adapter et mettre à jour l’une ou l’autre exigence, mais rien de trop approfondi. Si l’entreprise est déjà certifiée, il suffit d’effectuer des mises à jour pour maintenir la conformité aux nouveaux contrôles.

En résumé, les modifications apportées à la partie principale de la norme sont mineures et peuvent être apportées rapidement, avec seulement des modifications mineures à la documentation et aux processus. Les modifications apportées aux contrôles de l’annexe A sont modérées et peuvent être corrigées principalement en ajoutant les nouveaux contrôles à la documentation existante.

Bien sûr, les attentes pour la révision étaient élevées, et de nombreux professionnels du domaine s’attendaient à des changements plus importants. Mais je suis sûr que les entreprises qui sont déjà certifiées par l’examen de 2013 seront soulagées que le travail à faire ne soit pas si important.

La technologie au service de la sécurité des informations de votre entreprise

SoftExpert offre la solution logicielle la plus complète et la plus avancée pour la gestion de la sécurité de l’information qui répond aux besoins des réglementations mondiales les plus strictes. SoftExpert Excellence Suite aide les entreprises à se conformer à la norme ISO/IEC 27001, en réduisant les coûts de conformité, en maximisant le succès, en augmentant la productivité et en réduisant les risques.

La solution de SoftExpert permet aux organisations de répondre facilement aux exigences de la norme ISO 27001, en garantissant les trois piliers de la sécurité de l’information : la confidentialité, l’intégrité et la disponibilité (CID). Il aide à la gestion des risques, des contrôles, des politiques de sécurité de l’information, des actifs, des incidents, des fournisseurs, des indicateurs de performance, des processus, entre autres. Cela favorise l’efficacité organisationnelle et réduit les reprises et le gaspillage. Envie d’en savoir plus ? Prenez contact avec l’un de nos experts qui se fera un plaisir de vous présenter notre solution.

Parlez à un expert

 

L'auteur
Camilla Christino

Camilla Christino

Camilla Christino est Business Analyst chez SoftExpert, diplômée en génie alimentaire à Instituto Mauá de Tecnologia. Elle possède une solide expérience dans le domaine de la qualité, dans les industries alimentaires, avec un accent sur le suivi et l'adaptation des processus d'audit interne et externe, la documentation du système de gestion de la qualité (ISO 9001, FSSC 22000, ISO / IEC 17025), le contrôle de la qualité, les affaires de Réglementation, GMP, HACCP et Food Chemical Codex (FCC). Elle est également certifiée en tant qu'auditeur de premier plan en ISO 9001: 2015.

Tu pourrais aussi aimer:

Logo SoftExpert Suite

La solution corporative la plus complète pour la gestion intégrée de l’excellence et de la conformité en entreprise