En cette fin d’année 2022, la norme internationale ISO 27001:2022 se substitue à la dernière version datant de 2013. Ce texte a pour but de (re)définir les normes et les exigences permettant d’établir le système de management de la sécurité de l’information de votre entreprise. Largement utilisé dans tous les types d’organisations, ce changement de version suscite forcément des questions sur les modifications qu’elle implique. Quelles sont les évolutions majeures de cette version ? Et quels sont les impacts à prévoir sur votre organisation ?

 

ISO 27001 : une norme internationale dédiée à  la sécurité de l’information

Une norme pour vous guider dans la conception du SMSI 

Publiée en 2005 puis révisée en 2013, la norme internationale ISO 27001:2013 pose le cadre de référence permettant d’établir le système de management de la sécurité de l’information (SMSI). Cette norme traite la sécurité par le prisme de la gestion des risques qui pèsent sur vos données, autour d’un concept simple qui tient en une phrase : « prévenir plutôt que guérir ».

De manière générale, avant ce texte, les organisations appliquaient des mesures de sécurité en réponse à des incidents, mais elles ne se dotaient pas d’un outil d’évaluation permettant de définir des exigences dans le maintien opérationnel et sécuritaire de leur SI. 

En définissant des exigences de sécurité permettant de répondre aux menaces d’intrusion, de perte, de vol ou encore d’altération de vos données, elle est considérée avec la norme 27035 (Gestion des incidents de sécurité de l’information) comme une référence en matière de management de la sécurité de l’information.

Selon l’organisation internationale de normalisation (ISO), elle « aide les organisations à sécuriser leurs actifs informationnels, ce qui est vital dans un monde de plus en plus numérisé ». Découpée en exigences de conformité, cette norme de qualité traite aussi bien de la réglementation sur la protection des données à caractère personnel que de l’accès sécurisé des bâtiments ou des infrastructures informatiques

 

La nécessaire adaptation de la norme ISO 27001

Mais presque une décennie nous sépare de sa dernière actualisation en 2013. Depuis, les menaces ont largement évolué. D’un côté, nos modes de vie et le rapport au digital ont été bouleversés et offrent une surface d’attaque de plus en plus élargie :

  • forte accélération de la transformation digitale ;
  • adoption du télétravail et des modes de travail hybrides à marche forcée ;
  • prédominance du cloud avec un besoin de connexion partout et tout le temps…

En parallèle, les cyber-attaques ne cessent d’augmenter (+125 % d’attaques en 20211) avec une professionnalisation des attaquants et la démocratisation des techniques de compromission. Il n’a jamais été aussi simple de mener une attaque : kits de ransomware prêts à l’usage, franchises d’attaquants… Les réseaux cybercriminels se sont structurés et commercialisent malware et accès initiaux à la demande. 

Ces évolutions rendaient alors de plus en plus complexe la sécurisation des organisations. Il était alors nécessaire que la norme ISO s’adapte pour faire face à cette nouvelle réalité. Et tout commence par le changement de nom de cette norme. Le titre même de la norme « Technologies de l’information » devient « Sécurité de l’information, cybersécurité et protection de la vie privée »

 

La nouvelle version ISO 27001:2022 

Quel impact aura ce nouveau texte sur votre organisation ? Quelle influence sur vos obligations en matière de conformité ? Votre certification ISO 27001 est-elle remise en cause ? Voici quelques éléments de réponse.

 

Des changements sur la forme

Dans l’ensemble, les changements apportés au contenu de la norme contribuent à améliorer les performances de votre SMSI. Mais certaines modifications sont simplement, comme l’exprime Chris Hall, expert anglo-saxon de la norme ISO 270012, « des éléments que nous devons appliquer pour conserver la certification ISO 27001 ». Le décor est ainsi planté ! 

Richard Plantier, Expert GRC chez Tenacy, revient sur le changement de titre de la norme et souligne que : « Ce changement lexical ne reflète pas d’exigence supplémentaire concernant les données personnelles ou la vie privée. En revanche, cela indique que le focus est désormais un peu plus technique, comme l’apparition du cloud, de la threat intelligence et du secure coding (entre autres) parmi les contrôles listés dans ISO27002 le laissait deviner. »

On observe par ailleurs plusieurs changements de terminologie :

  • « télétravail » est remplacé par « travail à distance » ;
  • « procédure documentée » devient « information documentée ».

Mais au-delà des formulations, cette version annonce de véritables évolutions structurelles.

 

L’annexe A et ses nouveautés sur les contrôles

Les modifications de cette nouvelle version normative portent essentiellement sur l’annexe A, qui elle-même découle de la nouvelle version de la norme ISO 27002:2022 publiée en février 2022. Cette annexe n’est désormais plus considérée comme présentant une liste détaillée et exhaustive.

Dans le texte de la version ISO 27001:2013, les mesures étaient divisées en 14 domaines différents. Elles sont dorénavant fusionnées en 4 catégories.

  • Contrôles liés aux personnes : travail à distance, confidentialité, non-divulgation des informations, filtrage…
  • Contrôles organisationnels : politiques d’informations organisationnelles, utilisation des services cloud, utilisation des actifs… 
  • Contrôles physiques : surveillance de la sécurité, supports de stockage, maintenance, sécurité des installations… 
  • Contrôles technologiques : authentification, chiffrement, prévention des fuites de données…. 

Autre fait marquant, l’apparition de 11 nouveaux contrôles sur les aspects suivants :

  • renseignements sur les menaces (A.5.7),
  • sécurité des informations hébergées dans le cloud (A.5.23),
  • préparation des TIC pour la continuité des activités (A.5.30),
  • surveillance de la sécurité physique (A.7.4),
  • monitoring / activités de surveillance (A.8.16),
  • filtrage Web (A.8.23),
  • conception de code sécurisé (A.8.28),
  • gestion de la configuration (A.8.9),
  • suppression d’information (A.8.10),
  • masquage des données (A.8.11),
  • prévention de la fuite de données (A.8.12).

Concernant les domaines, et malgré l’ajout des contrôles, leur nombre est passé de 114 à 93 suite à des consolidations et des fusions.

 

Quels sont ses impacts concrets sur l’organisation ?

L’évolution de la norme met l’accent sur les procédures, critères, et contrôles, dont il est rappelé qu’ils font partie intégrante du SMSI. Les objectifs doivent désormais être documentés et faire l’objet d’un suivi ; les changements du SMSI doivent être planifiés.

Concrètement, pour que le SMSI soit conforme à cette nouvelle norme ISO, les organisations vont devoir passer par une phase transitoire sur les deux ou trois prochaines années. 

Et pour les entreprises certifiées ?

Pour rappel, être certifié, c’est répondre à l’ensemble des exigences de la norme et tout particulièrement aux clauses 4 à 10. De plus, il faut avoir été audité par une personne externe qui s’assure que votre démarche s’inscrit dans la durée. Pour les organisations qui sont déjà certifiées ISO 27001:2013, elles bénéficieront d’un délai de deux ans pour se mettre en conformité avec la nouvelle version de 2022.

Le principal changement réside dans la déclaration d’applicabilité (DdA) ainsi que dans les preuves de la comparaison faite entre les deux versions de la norme ISO 27001. Plusieurs tâches sont à planifier :

  • mise à jour du référentiel et traduction en exigences de la certification ;
  • révision du plan de traitement des risques ;
  • révision du plan de communication du SMSI ;
  • mise à jour des procédures et des listes de contrôle utilisées pour les audits internes ou externes.

Que vous soyez une entreprise certifiée ou non, vous devrez évaluer les adaptations nécessaires sur vos outils de sécurité tiers. Heureusement, chez Tenacy, nous prenons les devants et le référentiel d’exigences est déjà à jour sur la plateforme (et cela ne nécessite aucune intervention de votre part !). Vous êtes assuré que les enregistrements que vous utilisez pour démontrer la conformité répondent aux nouvelles exigences !

 

En conclusion

Vous le savez, adopter une démarche cyber-résiliente, c’est prendre conscience des menaces et des vulnérabilités de son système d’information. L’application et la mise en conformité de cette nouvelle version de la norme ISO 27001 se feront de manière progressive dès l’entrée en vigueur du texte. 

[1] https://www.weforum.org/reports/global-cybersecurity-outlook-2022

[2] https://www.linkedin.com/pulse/changes-2022-version-iso27001-chris-hall