ISO 27001

Publiée en 2005, la norme internationale ISO 27001 pose le cadre de référence permettant d’établir le système de management de la sécurité de l’information (SMSI). Cette norme traite la sécurité par le prisme de la gestion des risques qui pèsent sur vos données, autour d’un concept simple qui tient en une phrase : « prévenir plutôt que guérir ». Allons voir cela de plus près.

ISO 27001, LA NORME INTERNATIONALE DE LA GESTION DES RISQUES CYBER

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 a été publiée en 2005 et révisée en 2013, puis en 2022. Elle a été élaborée par le système spécialisé de la normalisation mondiale que sont l’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale). Vous comprenez alors pourquoi elle est également connue sous le sigle ISO/IEC 27001:2022.

Cette norme internationale de référence fournit un cadre à l’organisation pour l’aider à mettre en œuvre, maintenir et améliorer en continu le SMSI de l’entreprise. Son objectif ? Mettre en place les mesures de protection nécessaires au maintien de la confidentialité des informations de votre organisation, de leur disponibilité et de leur intégrité.

ISO 27001 est suffisamment générique pour s’adapter à tout type d’organisation, quelle que soit sa taille, sa nature ou son secteur d’activité.

Quels sont ses axes d’application ?

Cette norme traite ainsi la sécurité par la gestion des risques. Les 252 exigences de cette norme (rien que ça !) concernent notamment les domaines suivants :

• la protection des données à caractère personnel ;
• la gouvernance liée à la sécurité de l’information et la stratégie de gouvernance des données ;
• la sécurité des ressources matérielles (infrastructures, réseaux et systèmes informatiques) ;
• les ressources humaines (organisation et responsabilité du personnel, politique de sécurité, sensibilisation…) ;
• la sécurité physique (accès aux bâtiments ou à l’infrastructure informatique) ;
• le développement et la maintenance de systèmes et de logiciels ;
• la continuité d’activité (PCA, PRA…).

Une entreprise qui applique correctement l’ensemble des exigences de la norme ISO 27001 peut se faire certifier par un auditeur qualifié.

Pourquoi a-t-elle été mise en place ?

De manière générale, avant ce texte, les organisations appliquaient des mesures de sécurité en réponse à des incidents, mais elles ne se dotaient pas d’un outil d’évaluation permettant de définir des exigences dans le maintien opérationnel et sécuritaire de leur SI.

En définissant des exigences de sécurité permettant de répondre aux menaces d’intrusion, de perte, de vol ou encore d’altération de vos données, elle est considérée avec la norme ISO 27035 (Gestion des incidents de sécurité de l’information) comme une référence en matière de management de la sécurité de l’information.

AVANTAGES ET CHALLENGES D’ISO 27001

5 avantages de la norme ISO 27001

Une mise en place parfois complexe

Si obtenir (et maintenir) la certification ISO 27001 présente de nombreux avantages, sa mise en œuvre peut être un vrai challenge pour les organisations.

• La mise en conformité peut être coûteuse en termes de temps, d’argent et de ressources humaines (formation, documentation, audits…).
• Le texte et ses exigences peuvent être difficiles à comprendre, surtout pour les petites entreprises qui n’ont pas de service dédié à la cybersécurité.
• La mise en place d’un SMSI selon ISO 27001 nécessite des changements importants dans les processus internes et la culture organisationnelle.
• Le maintien de la conformité nécessite un engagement permanent et une surveillance régulière, ainsi qu’une documentation détaillée (et volumineuse !) qui représente une charge administrative conséquente.

Comment faciliter la mise en conformité avec ISO 27001 ?

Pour mettre place ISO 27001 dans votre organisation, il vous faut d’abord vous assurer le soutien de vos collaborateurs et de votre direction :

• obtenez l’engagement de votre COMEX, qui doit soutenir activement le projet et allouer les ressources nécessaires ;
• formez et sensibilisez le personnel à l’importance de la norme ;
• impliquez toutes les parties prenantes, y compris les fournisseurs et partenaires.

Autre item important : effectuez une évaluation précise des risques liés à votre organisation (menaces, vulnérabilités et impacts) pour définir les contrôles à mettre en place. Une fois cette étape passée, réalisez des audits internes réguliers, dans une démarche d’amélioration continue.

Pensez également à documenter de façon claire et exhaustive les politiques de sécurité et rapports d’audit.

Enfin, vous pouvez miser sur des outils spécialisés (comme Tenacy !) qui facilitent la gestion de la conformité.

ISO 27001 VERSION 2022 : UNE MISE À JOUR IMPORTANTE

La nécessaire adaptation de la norme ISO 27001

Une décennie nous sépare de la dernière actualisation de la norme en 2013. Depuis, les menaces ont largement évolué. D’un côté, nos modes de vie et le rapport au digital ont été bouleversés et offrent une surface d’attaque de plus en plus élargie :

• forte accélération de la transformation digitale ;
• adoption du télétravail et des modes de travail hybrides à marche forcée ;
• prédominance du cloud avec un besoin de connexion partout et tout le temps…

En parallèle, les cyber-attaques ne cessent d’augmenter, avec une professionnalisation des attaquants et la démocratisation des techniques de compromission. Il n’a jamais été aussi simple de mener une attaque : les réseaux cybercriminels se sont structurés et commercialisent malware et accès initiaux à la demande.

Ces évolutions rendaient alors de plus en plus complexe la sécurisation des organisations. Il était alors nécessaire que la norme ISO s’adapte pour faire face à cette nouvelle réalité. Et tout commence par le changement de nom de cette norme. Le titre même de la norme « Technologies de l’information » devient « Sécurité de l’information, cybersécurité et protection de la vie privée ».

Quels sont les changements à prévoir avec ISO 27001:2022 ?

La version 2022 de l’ISO 27001 a donc pour but de (re)définir les normes et les exigences permettant d’établir le système de management de la sécurité de l’information de votre entreprise. Largement utilisé dans tous les types d’organisations, ce changement de version suscite forcément des questions sur les modifications qu’elle implique.

L’annexe A et ses nouveautés sur les contrôles

Les modifications de cette nouvelle version normative portent essentiellement sur l’annexe A, qui elle-même découle de la nouvelle version de la norme ISO 27002:2022 publiée en février 2022. Cette annexe n’est désormais plus considérée comme présentant une liste détaillée et exhaustive.

Dans le texte de la version ISO 27001:2013, les mesures étaient divisées en 14 domaines différents. Elles sont dorénavant fusionnées en 4 catégories.

1. Contrôles liés aux personnes : travail à distance, confidentialité, non-divulgation des informations, filtrage…
2. Contrôles organisationnels : politiques d’informations organisationnelles, utilisation des services cloud, utilisation des actifs…
3. Contrôles physiques : surveillance de la sécurité, supports de stockage, maintenance, sécurité des installations…
4. Contrôles technologiques : authentification, chiffrement, prévention des fuites de données….

Autre fait marquant, l’apparition de 11 nouveaux contrôles sur les aspects suivants :

• renseignements sur les menaces (A.5.7),
• sécurité des informations hébergées dans le cloud (A.5.23),
• préparation des TIC pour la continuité des activités (A.5.30),
• surveillance de la sécurité physique (A.7.4),
• monitoring / activités de surveillance (A.8.16),
• filtrage Web (A.8.23),
• conception de code sécurisé (A.8.28),
• gestion de la configuration (A.8.9),
• suppression d’information (A.8.10),
• masquage des données (A.8.11),
• prévention de la fuite de données (A.8.12).

Concernant les domaines, et malgré l’ajout des contrôles, leur nombre est passé de 114 à 93 suite à des consolidations et des fusions.

Quels sont ses impacts concrets sur l’organisation ?

L’évolution de la norme met l’accent sur les procédures, critères, et contrôles, dont il est rappelé qu’ils font partie intégrante du SMSI. Les objectifs doivent désormais être documentés et faire l’objet d’un suivi ; les changements du SMSI doivent être planifiés.

Concrètement, pour que le SMSI soit conforme à cette nouvelle norme ISO, les organisations vont devoir passer par une phase transitoire sur les deux ou trois prochaines années.

Le principal changement réside dans la déclaration d’applicabilité (DdA) ainsi que dans les preuves de la comparaison faite entre les deux versions de la norme ISO 27001. Plusieurs tâches sont à planifier :

• mise à jour du référentiel et traduction en exigences de certification ;
• révision du plan de traitement des risques ;
• révision du plan de communication du SMSI ;
• mise à jour des procédures et des listes de contrôle utilisées pour les audits internes ou externes.

Que vous soyez une entreprise certifiée ou non, vous devrez évaluer les adaptations nécessaires sur vos outils de sécurité tiers. Heureusement, chez Tenacy, nous prenons les devants et le référentiel d’exigences est déjà à jour sur la plateforme (et cela ne nécessite aucune intervention de votre part). Vous êtes assurés que les enregistrements que vous utilisez pour démontrer la conformité répondent aux nouvelles exigences en matière de sécurité !