ISO 27002

Partage

Les experts de la cybersécurité connaissent la norme ISO 27002. Certains s’en inspirent pour garantir la bonne santé du système d’information de leur entreprise ou maintenir la certification ISO 27001 de leur SMSI, quand d’autres la considèrent de loin, n’y voyant pas d’intérêt pour leur organisation.

Et, pourtant, cette norme est loin de n’être réservée qu’à une certaine catégorie d’entreprises, soumises à des réglementations spécifiques – surtout depuis sa mise à jour en 2022. Elle peut, en effet, participer à l’amélioration de la posture de cybersécurité de toute organisation… à condition de savoir comment l’utiliser et avec quel outil.

QU’EST-CE QUE LA NORME ISO 27002 ?

En substance, la norme ISO 27002 est une norme internationale fournissant un ensemble de lignes directrices et de bonnes pratiques pour la gestion de la sécurité de l’information au sein des organisations.

Quelle est la différence entre ISO 27001 et ISO 27002 ?

La norme ISO 27001 a pour finalité de fournir aux entreprises, quelle que soit leur taille, un cadre pour la mise en œuvre d’une gouvernance SSI. Elle propose pour cela une approche pragmatique de la gestion de la sécurité de l’information, tout en s’appuyant sur une appréciation précise des risques. Elle se compose d’un ensemble d’exigences auxquelles les entreprises doivent répondre pour obtenir leur certification – ou auxquelles elles peuvent se référer pour décliner leur propre politique de gouvernance.

La norme ISO 27002, quant à elle, est plutôt la boîte à outils de bonnes pratiques sur laquelle se base 27001. Elle se compose de recommandations sur le choix et le déploiement des meilleures mesures de sécurité. Que l’on soit ou non certifié, la norme 27002 vise à l’amélioration de la posture de cybersécurité de l’entreprise.

Pourtant, il serait faux de réduire ISO 27002 à une simple annexe d’ISO 27001, ou à un guide de bonnes pratiques pour réussir sa certification ! Même si elle a été historiquement conçue en ce sens, elle est aujourd’hui considérée comme un support stratégique pour toute entité qui souhaiterait maintenir la sécurité de son système d’information à un bon niveau.

La nouvelle version, récemment publiée, a été repensée pour y intégrer tous les risques liés aux nouvelles évolutions technologiques, et aux menaces que le monde de l’IT a rencontrées ces 10 dernières années : explosion du télétravail, migrations vers le Cloud, utilisation de multiples applications…

Cette mise à jour rend ISO 27002 encore plus intéressante à utiliser, même pour les entreprises que la certification ISO 27001 ne concerne pas. Elle fournit, en effet, tous les éléments nécessaires pour construire sa propre stratégie de cybersécurité, mais également les processus à suivre pour maintenir son SI en bonne posture de sécurité.

Quelques exemples d’applications de la norme ISO 27002
  • Banques et institutions financières

    Une grande banque qui utilise ISO 27002 peut renforcer ses mesures de sécurité de l’information en réponse aux menaces croissantes de cyberattaques dans le secteur financier. En appliquant les contrôles de la norme, elle met en place :

    • des politiques strictes de gestion des accès ;
    • une surveillance continue des systèmes ;
    • des procédures de réponse aux incidents bien définies.

    Résultat : une réduction des risques de fraude et de vol de données, et un renforcement de la confiance des clients.

  • Hôpitaux et établissements de santé

    Un hôpital peut adopter ISO 27002 pour protéger les données sensibles des patients. Cela inclut :

    • l’implémentation de contrôles d’accès stricts ;
    • la formation du personnel sur les bonnes pratiques de sécurité ;
    • l’utilisation de chiffrement pour protéger les dossiers médicaux électroniques.

    La confidentialité des informations des patients est donc préservée, et la conformité avec les régulations sur la protection des données de santé (HDS) est facilitée.

  • Entreprises d’e-commerce

    Pour une entreprise de commerce électronique, mettre en œuvre ISO 27002 permet de sécuriser les transactions en ligne et de protéger les informations des clients. Elle introduit des contrôles tels que :

    • le chiffrement des données de paiement ;
    • des audits réguliers de sécurité ;
    • des tests de pénétration (pentests) pour identifier les vulnérabilités.

    De telles mesures sont une garantie de protection contre la fraude en ligne, et donc d’une augmentation de la confiance des consommateurs.

  • Administrations publiques

    Les autorités locales (entre autres) peuvent aussi tirer profit de la conformité ISO 27002 ! Gestion des accès basée sur les rôles, surveillance des systèmes pour détecter les activités suspectes, mise en place de plans de continuité des opérations…

    … Le tout dans un même (triple) objectif :

    • protection des données personnelles des citoyens ;
    • amélioration de la résilience des services publics ;
    • conformité avec les lois sur la protection des données.
  • Sociétés de conseil en informatique

    Une société de conseil en informatique a, encore plus que les autres organisations, tout intérêt à adopter ISO 27002 pour sécuriser les informations de ses clients et ses propres systèmes internes. Il s’agit pour cela :

    • de mettre en place des politiques de sécurité robustes ;
    • d’effectuer des évaluations de risques régulières ;
    • d’assurer la formation continue de son personnel sur les menaces émergentes.

    Les avantages d’une telle démarche sont nombreux : renforcement de la sécurité des informations des clients, amélioration de la gestion des risques de sécurité internes, différenciation sur le marché en tant qu’entreprise soucieuse de la sécurité…

  • Universités et établissements éducatifs

    Quand on pense à la cybersécurité, on ne pense pas souvent aux établissements scolaires – et pourtant, ils font eux aussi face à des enjeux de sécurité informatique !

    Par exemple, une université peut mettre en œuvre la norme ISO 27002 pour protéger les informations académiques et personnelles des étudiants et du personnel. Cela comprend la mise en place de contrôles d’accès pour les systèmes d’information, des politiques de gestion des mots de passe et des procédures de réponse aux incidents de sécurité.

    De telles mesures permettent – entre autres – de maintenir ou d’améliorer la réputation de l’établissement.

ISO 27002 : LES NOUVEAUTÉS DE LA VERSION 2022

Dans sa version 2022, ISO 27002 a été améliorée pour apporter plus de lisibilité dans les mesures à prendre en compte et plus de pertinence vis-à-vis des développements technologiques que le monde a connu ces dernières années. Télétravail, cloud, BYOD (bring your own device), augmentation et évolution des cyber-menaces… ont donc amené l’Organisation internationale de normalisation à repenser la structure du document.

Cette nouvelle version propose une structure allégée, avec une réduction significative des contrôles par rapport à la version de 2013. Mais la grande nouveauté de 2022, c’est la création des attributs. Ce concept, plébiscité par les experts, fournit un moyen normalisé de trier et filtrer les contrôles : ils permettent de bénéficier de différentes vues suivant les besoins de chacun.

Bonus : ces attributs tendent à faciliter l’intégration des contrôles ISO 27002:2022 avec d’autres cadres de sécurité similaires, par exemple la gestion des risques NIST.

ISO 27002 : BÉNÉFICES ET CHALLENGES

Quels sont les avantages de la norme ISO 27002 ?

Aussi connue sous le nom de « Code de bonnes pratiques pour le management de la sécurité de l’information », ISO 27002 offre de nombreux avantages aux organisations qui l’adoptent.

  • #1 Améliorer sa posture de sécurité

    La norme ISO 27002 fournit un cadre de bonnes pratiques pour la gestion de la sécurité de l’information. Elle aide donc par essence les organisations à protéger leurs actifs informationnels contre diverses menaces – c’est d’ailleurs son objectif premier.

    En les accompagnant dans l’identification, l’évaluation et la gestion de leurs risques cyber, ISO 27002 permet aux organisations de mettre en œuvre des mesures et contrôles appropriés pour atténuer ces risques.

  • #2 Assurer sa conformité réglementaire

    De nombreuses réglementations et lois exigent des mesures de management de la sécurité de l’information spécifiques. ISO 27002 aide les organisations à se conformer à ces exigences légales et réglementaires – réduisant ainsi le risque de sanctions et d’amendes.

    ISO 27002 est d’ailleurs conçue pour être utilisée en complément d’ISO/IEC 27001 : leur combinaison permet aux organisations de mettre en place et de maintenir un SMSI cohérent et efficace.

  • #3 Inspirer la confiance

    Adopter ISO 27002 démontre aux clients, partenaires et parties prenantes que l’organisation prend la cybersécurité au sérieux. Cela peut renforcer la confiance et améliorer la réputation de l’entreprise.

  • #4 Optimiser les processus et la culture d'entreprise

    La norme ISO 27002 encourage l’utilisation de processus et de pratiques efficaces pour gérer la cybersécurité. Résultat : une meilleure gestion des ressources, voire une réduction des coûts associés aux incidents de sécurité. L’objectif est aussi de promouvoir une culture de sécurité au sein de l’entreprise, en sensibilisant et en formant les employés aux bonnes pratiques cyber.

    Dernier avantage, et non des moindres : ISO 27002 encourage les organisations à revoir et à améliorer continuellement leurs pratiques de sécurité de l’information, assurant ainsi que les contrôles restent efficaces face à l’évolution des menaces.

Difficultés de mise en place

Si cette norme peut aider les RSSI, il ne reste pas moins qu’une de ses caractéristiques majeures réside dans son exhaustivité – ce qui implique un important volume de données à traiter. Or une stratégie de cybersécurité comporte d’autres éléments, comme le planning de mise en œuvre, le suivi, la vérification de la mise en place des actions, les contrôles… autant de données qui peuvent avoir des impacts sur le niveau de sécurité attendu.

Utiliser un outil comme Excel peut être envisagé pour piloter ce chantier. Cependant, il paraîtra rapidement dépassé face à la quantité d’informations à manipuler (consolider, reporter), voire constituer un frein au bon pilotage de la politique de sécurité et mettre en danger l’entreprise. Un constat qui est aussi valable pour les outils « faits maison ».

OPTIMISER LE PILOTAGE DE SA CONFORMITÉ ISO 27002

Les RSSI ou RSMSI utilisent, en grande majorité, un nombre (trop ?) important de fichiers (Excel, Word …) pour gérer leur gouvernance, et en particulier leur conformité à ISO 27002. Dans une étude publiée en 2021 par IDG pour ReliaQuest, 70 % des RSSI déclaraient que la gestion de la sécurité était devenue tellement chronophage que cela limitait leur capacité à protéger leur entreprise.

C’est dans ce contexte, et pour les aider au quotidien dans l’organisation et la gestion de leur cybersécurité, que des solutions GRC de nouvelle génération (comme Tenacy !) ont été développées. Ces solutions rassemblent tous les processus de gestion de la cybersécurité de manière centralisée, mesurée et interconnectée. Elles ont l’avantage d’intégrer l’ensemble des mesures ISO 27002, sur une seule et même console d’administration.

La gestion des attributs

Le but des « attributs » introduits par ISO 27002:2022 est d’aider les organisations à sélectionner leurs axes d’amélioration en fonction de leur propre politique ou d’en faciliter le reporting.

Cependant, dans la pratique, cela peut s’avérer fastidieux pour un RSSI utilisant des outils « faits maison ». Même un expert des tableaux croisés dynamiques ne saurait être en mesure :

  • d’intégrer tous les éléments qui composent ISO 27002:2022 sur un seul fichier Excel ;
  • d’y ajouter des interconnexions pour le rendre « intelligent » ;
  • de le maintenir dans le temps.

En basculant vers une solution GRC, le RSSI profite de la puissance d’un outil « intelligent » capable de mettre en cohérence les actions avec la stratégie. Il pourra – par exemple – connaître en quelques clics son niveau de conformité en fonction de l’attribut qu’il aura choisi et de son plan d’action.

Il aura alors une vision précise de l’état d’avancement et de l’impact des mesures qu’il aura mises en place sur la posture de cybersécurité de son organisation pour prendre des décisions éclairées.

Pour découvrir comment Tenacy peut vous aider à piloter votre conformité ISO 27002, réservez votre démo de la plateforme !

Je réserve une démo