Les référentiels ISO 27001 et ISO 27002 sont souvent confondus. Pourtant, bien qu’ils appartiennent tous deux à la série des normes ISO 2700X, dont l’objectif est d’assurer la sureté et la sécurité de l’information, ces deux-là n’ont pas tout à fait le même usage.
ISO 27001 ET ISO 27002, même combat ?
La norme ISO 27001 a pour finalité de fournir aux entreprises, quelle que soit leur taille, un cadre pour la mise en œuvre d’une gouvernance SSI. Elle propose pour cela une approche pragmatique de la gestion de la sécurité de l’information, tout en s’appuyant sur une appréciation précise des risques. Elle se compose d’un ensemble d’exigences auxquelles les entreprises doivent répondre pour obtenir leur certification – ou auxquelles elles peuvent se référer pour décliner leur propre politique de gouvernance.
La norme ISO 27002, quant à elle, est plutôt la boîte à outils de bonnes pratiques sur laquelle se base 27001. Elle se compose de recommandations sur le choix et le déploiement des meilleures mesures de sécurité. Que l’on soit ou non certifié, la norme 27002 vise à l’amélioration de la posture de cybersécurité de l’entreprise.
ISO 27002 : LES nouveautés de la version 2022
Dans sa version 2022, ISO 27002 a été améliorée pour apporter plus de lisibilité dans les mesures à prendre en compte et plus de pertinence vis-à-vis des développements technologiques que le monde a connu ces dernières années. Télétravail, cloud, BYOD, augmentation et évolution des cyber-menaces… ont donc amené l’Organisation internationale de normalisation à repenser la structure du document.
Cette nouvelle version propose une structure allégée, avec une réduction significative des contrôles par rapport à la version de 2013. Mais la grande nouveauté de 2022, c’est la création des attributs. Ce concept, plébiscité par les experts, fournit un moyen normalisé de trier et filtrer les contrôles : ils permettent de bénéficier de différentes vues suivant les besoins de chacun.
Bonus : ces attributs tendent à faciliter l’intégration des contrôles ISO 27002:2022 avec d’autres cadres de sécurité similaires, par exemple la gestion des risques NIST.
Cependant, si cette nouveauté peut faciliter la tâche des RSSI, elle nécessite de repenser son outillage pour gagner du temps.
OptimiseR le pilotage de SA conformité ISO 27002
Les RSSI ou RSMSI utilisent, en grande majorité, un nombre (trop ?) important de fichiers (Excel, Word …) pour gérer leur gouvernance, et en particulier leur conformité à ISO 27001. Dans une étude publiée en 2021 par IDG pour ReliaQuest, 70 % des RSSI déclaraient que la gestion de la sécurité était devenue tellement chronophage que cela limitait leur capacité à protéger leur entreprise.
C’est dans ce contexte, et pour les aider au quotidien dans l’organisation et la gestion de leur cybersécurité, que des solutions GRC de nouvelle génération ont été développées. Ces solutions rassemblent tous les processus de gestion de la cybersécurité de manière centralisée, mesurée et interconnectée. Elles ont l’avantage d’intégrer l’ensemble des mesures ISO 2700X, sur une seule et même console d’administration.
La gestion des attributs
Le but des « attributs » introduits par ISO 27002:2022 est d’aider les organisations à sélectionner leurs axes d’amélioration en fonction de leur propre politique ou d’en faciliter le reporting.
Cependant, dans la pratique, cela peut s’avérer fastidieux pour un RSSI utilisant des outils « faits maison ». Même un expert des tableaux croisés dynamiques ne saurait être en mesure :
- d’intégrer tous les éléments qui composent ISO 27002:2022 sur un seul fichier Excel ;
- d’y ajouter des interconnexions pour le rendre « intelligent » ;
- de le maintenir dans le temps.
En basculant vers une solution GRC, le RSSI profite de la puissance d’un outil « intelligent » capable de mettre en cohérence les actions avec la stratégie. Il pourra – par exemple – connaître en quelques clics son niveau de conformité en fonction de l’attribut qu’il aura choisi et de son plan d’action.
Il aura alors une vision précise de l’état d’avancement et de l’impact des mesures qu’il aura mises en place sur la posture de cybersécurité de son organisation pour prendre des décisions éclairées.