L’ISO 27001 constitue depuis des années la référence internationale en matière de gestion de la sécurité de l’information.
Avec la révision de 2022, la norme a été restructurée pour répondre aux besoins modernes des entreprises confrontées à des cybermenaces en constante évolution.
Cet article expose en détail les changements clés entre les versions 2013 et 2022 et ce qu’ils signifient pour les organisations souhaitant rester certifiées ou se lancer dans la certification.
1. Contexte de la mise à jour
La mise à jour de 2022 vient dans un contexte où les attaques deviennent plus sophistiquées. De plus, suite au COVID les entreprises se tournent de plus en plus vers des modèles hybrides, avec une forte composante de travail à distance.
Ces changements rendent obsolètes certains contrôles de la version 2013, d’où la nécessité d’intégrer des concepts plus modernes, comme la gestion des menaces ou le Zero Trust.
La structure même de la norme a été conçue pour être plus en phase avec d’autres normes de la famille ISO, en particulier celles relatives à la résilience organisationnelle et à la gestion de la continuité d’activité (ISO 22301).
Ce cadre commun facilite une intégration multinormes pour les entreprises cherchant à harmoniser leurs pratiques de gestion.
2. Restructuration de l’Annexe A
L’Annexe A répertorie les contrôles de sécurité que les organisations peuvent appliquer pour sécuriser leurs informations.
Dans la version 2013, ces contrôles étaient divisés en 14 grandes catégories, ce qui pouvait créer des redondances ou des ambiguïtés dans les applications. La version 2022 a réduit le nombre de contrôles de 114 à 93 en regroupant les contrôles connexes et en supprimant ceux devenus obsolètes.
Les contrôles restants sont organisés en quatre catégories principales :
- Contrôles organisationnels : ils traitent de la gestion de la sécurité de l’information au niveau stratégique, incluant la gouvernance, la gestion des politiques, et les rôles de responsabilité.
- Les contrôles relatifs aux personnes : cette catégorie couvre les éléments liés à la sécurité des employés, à la formation, et aux vérifications d’antécédents pour les postes sensibles.
- Contrôles technologiques : ils englobent les mesures de protection techniques, comme le contrôle des accès, la gestion des pares-feux, et la sécurité des réseaux.
- Contrôles physiques : ces contrôles protègent les actifs physiques, notamment les locaux, les salles serveurs, et les équipements de stockage des données.
La simplification de ces catégories permet aux organisations de naviguer plus facilement entre les contrôles et de les appliquer plus efficacement en fonction de leurs besoins spécifiques.
3. Les nouveaux contrôles.
La version 2022 intègre onze nouveaux contrôles, pensés pour répondre aux risques modernes, les plus importants sont :
- Surveillance de la sécurité (Threat Intelligence) : ce contrôle propose de recueillir et analyser des informations externes pour comprendre les menaces actuelles qui peuvent cibler l’organisation. Cette intelligence aide à mieux anticiper et se préparer aux attaques potentielles.
- Sécurité du cloud : fait écho à l’adoption croissante des infrastructures cloud. Il encourage une vérification stricte des configurations cloud, souvent une cible des attaquants, pour s’assurer que seules les personnes autorisées ont accès aux données.
- Effacement des données : crucial dans le contexte de la protection des données personnelles (RGPD et autres réglementations similaires) et de la gestion des cycles de vie des données.
- Prévention des fuites de données (DLP) : en lien avec la protection des informations sensibles, ce contrôle structure les politiques et les technologies permettant d’empêcher la fuite accidentelle ou malveillante de données critiques.
- Gestion des menaces et des vulnérabilités : impose de mettre en place un processus de détection, d’évaluation et de gestion des menaces et vulnérabilités, notamment par des scans de vulnérabilités et des évaluations régulières.
Ces contrôles introduits en 2022 donnent aux organisations les outils nécessaires pour adopter une posture de sécurité proactive, s’adaptant mieux aux menaces en évolution constante.
4. Approche Zero Trust et renforcer la gestion des actifs
L’un des concepts majeurs qui influence la version 2022 est le modèle Zero Trust, qui repose sur l’idée de « ne jamais faire confiance, toujours vérifier ».
L’ISO 27001de 2022 promeut une approche de sécurité segmentée et fondée sur la vérification systématique des accès aux ressources, que l’utilisateur soit interne ou externe.
La gestion des actifs d’information est aussi renforcée dans la nouvelle version. En plus de tenir un inventaire précis, les entreprises sont encouragées à évaluer la criticité des actifs et à appliquer des contrôles spécifiques pour ceux qui contiennent des informations sensibles ou qui jouent un rôle critique dans les opérations.
5. Les impacts pratiques pour les entreprises
Les entreprises déjà certifiées ISO 27001 version 2013 doivent prévoir une transition vers la version 2022, dont la période de grâce est généralement de 1 à 3 ans. Cette mise à jour a un impact direct sur le maintien de la certification et nécessite des ajustements de plusieurs natures :
- Revue et réévaluation des risques : l’analyse des risques doit être actualisée pour intégrer les nouveaux contrôles. Cela signifie que les entreprises doivent évaluer si des risques supplémentaires existent dans leur contexte actuel, et y répondre.
- Mise à jour des politiques et procédures : les contrôles et politiques existants devront être revus pour s’aligner sur les nouvelles catégories de l’Annexe A. Par exemple, si une politique de sécurité datait de l’époque du stockage local, elle devrait être modifiée pour prendre en compte les nouvelles réalités des environnements cloud.
- Sensibilisation et formation des employés : avec des changements importants dans les pratiques de sécurité, les employés devront être informés et formés sur les nouveaux processus, en particulier sur les contrôles relatifs aux menaces, à la prévention des fuites de données, et à la gestion des accès.
- Optimisation des systèmes de surveillance et de gestion des incidents : les organisations sont incitées à mettre en place des processus de surveillance proactive des menaces. Cela inclut des analyses régulières et le suivi des indicateurs de compromission, permettant de réagir plus rapidement aux tentatives d’intrusion.
6. Conclusion et rôle d’ORNISEC
La version 2022 de l’ISO 27001 marque une avancée significative dans la gestion de la sécurité de l’information, intégrant les dernières pratiques de cybersécurité et répondant aux exigences actuelles des entreprises.
Pour les organisations, cette mise à jour représente une opportunité d’améliorer leurs processus de sécurité, d’optimiser leur résilience et de se préparer aux cybermenaces de demain.
Les entreprises souhaitant obtenir la certification ISO 27001 pour la première fois devront suivre ces nouvelles lignes directrices, tandis que celles déjà certifiées devront s’adapter à cette révision pour assurer leur conformité continue sur un délai maximum de 3 ans.
Grâce à ces changements, l’ISO 27001 version 2022 reste une norme de référence pour les organisations cherchant à gérer leur sécurité de l’information de manière rigoureuse et proactive.
ORNISEC, en tant qu’expert reconnu en cybersécurité, propose un accompagnement complet pour les entreprises souhaitant se conformer aux exigences de l’ISO 27001 version 2022.
Grâce à notre certification PACS et notre expertise sur la norme ISO27001, nous guidons nos clients à chaque étape de la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). De l’identification du périmètre de certification, la réalisation d’un audit initial de conformité jusqu’à la préparation de l’audit de certification, ORNISEC aide les organisations à anticiper les non-conformités issues des audits et de réussir le projet de certification ISO 27001.
Notre équipe s’assure non seulement que les exigences ISO 27001 sont respectées, mais aussi que les investissements sont adaptés à la menace et que les mesures de protection sont proportionnées aux besoins métiers de l’organisation.
Pour tout renseignement, vous pouvez écrire directement à contact@ornisec.com ou visiter notre site web www.ornisec.com. Nos équipes d’experts se feront une joie d’aborder vos problématiques ainsi que de répondre à vos questions.