Les référentiels 27001 et 27002 sont souvent confondus, et bien qu’ils appartiennent tous deux à la série des normes ISO 2700x, dont l’objectif est d’assurer la sureté et la sécurité de l’information, ces deux normes n’ont pas tout à fait le même usage.
ISO 27001 vs ISO 27002, même combat…
La norme 27001 a pour finalité de fournir aux entreprises, quelle que soit leur taille, un cadre pour la mise en œuvre d’une gouvernance SSI, en proposant une approche pragmatique de la gestion de la sécurité de l’information, tout en s’appuyant sur une appréciation des risques. Elle se compose d’un ensemble d’exigences auxquelles les entreprises doivent répondre pour obtenir leur certification ISO 2700, où auxquelles elles peuvent se référer pour décliner leur propre politique de gouvernance.
La norme 27002, quant à elle, est une boite à outils de bonnes pratiques, sur laquelle se base 27001. Elle se compose de recommandations sur le choix et le déploiement des meilleures mesures de sécurité. Que l’on soit ou non certifié, la norme 27002 vise à l’amélioration de la posture cybersécurité de son entreprise.
Dans sa version 2022, ISO 27002 a été améliorée pour apporter plus de lisibilité dans les mesures à prendre en compte et plus de pertinence vis-à-vis des développements technologiques que le monde a connu ces dernières années. Télétravail, cloud, BYOD, augmentation et évolution des cyber-menaces… ont donc amené l’Organisation internationale de normalisation à repenser la structure du document.
Cette nouvelle version propose une structure allégée, avec une réduction significative des contrôles par rapport à la version de 2013. Mais, la grande nouveauté de 2022 reste certainement, la création d’attributs. Ce concept, plébiscité par les experts, fournit un moyen normalisé pour trier et filtrer les contrôles. Ils permettent de bénéficier de différentes vues suivant les besoins de chacun. Ces attributs tendent à faciliter l’intégration des contrôles ISO 27002:2022, avec d’autres cadres de sécurité similaires, par exemple, de la gestion des risques NIST.
Cependant, si cette nouveauté peut, faciliter la tâche des RSSI, elle nécessite de repenser son outillage pour gagner du temps.
RSSI, optimisez le pilotage de votre conformité ISO 27002 pour « augmenter » votre potentiel
Les RSSI ou RSMSI utilisent, en grande majorité, un nombre (trop ?) important de fichier (excel, word …) pour gérer leur gouvernance, et en particulier leur conformité à l’ISO 27001. Dans une étude publiée en 2021 par IDG pour ReliaQuest, 70 % des RSSI déclaraient que la gestion de la sécurité était devenue tellement chronophage, que cela limitait leur capacité à protéger leur entreprise. C’est dans ce contexte, et pour les aider au quotidien dans l’organisation et la gestion de leur cybersécurité, que des solutions GRC de nouvelle génération ont été développées.
Ces solutions GRC rassemblent tous les processus de gestion de la cybersécurité de manière centralisée, mesurée et interconnectée. Elles ont l’avantage d’intégrer l’ensemble des mesures ISO 2700x, sur une seule et même console d’administration.
La nouvelle version de ISO 27002 propose une révision de sa structure, mais surtout l’ajout de la notion « d’attributs ». Le but de ces éléments est d’aider à sélectionner leurs axes d’amélioration en fonction de leur propre politique ou d’en faciliter le reporting. Cependant, dans la pratique, pour un RSSI utilisant des outils « faits maison », réaliser cela peut s’avérer fastidieux et ne fournir qu’une vue parcellaire de la situation. En effet, même un expert en tableau croisé dynamique ne saurait être en mesure d’intégrer tous les éléments qui composent l’ISO 27002:2022 sur un seul fichier Excel puis y ajouter des interconnexions pour le rendre « intelligent » tout en le maintenant dans le temps.
En basculant vers une solution GRC, le RSSI profite de la puissance d’un outil « intelligent » capable de mettre en cohérence les actions avec la stratégie. Ainsi, il pourra, par exemple, connaître en quelques clics, son niveau de conformité en fonction de l’attribut qu’il aura choisi et de son plan d’actions. Il aura alors une vision précise de l’état d’avancement et de l’impact des mesures qu’il aura mises en place sur la posture cybersécurité de son organisation pour prendre des décisions éclairées.