En cette fin d’année 2022, la norme internationale ISO 27001:2022 se substitue à la dernière version datant de 2013. Ce texte a pour but de définir les normes et les exigences permettant d’établir le système de management de la sécurité de l’information de votre entreprise. Largement utilisé dans tous les types d’organisations, ce changement de version suscite forcément des questions sur les modifications qu’elle apporte. Quelles sont les évolutions majeures de cette version ? Et quels sont les impacts à prévoir sur votre organisation ?
La norme ISO 27001 : une norme internationale dédiée à la sécurité de l’information
Publiée en 2005 puis révisée en 2013, la norme internationale ISO 27001:2013 pose le cadre de référence permettant d’établir le système de management de la sécurité de l’information (SMSI). Cette norme traite la sécurité par le prisme de la gestion des risques qui pèsent sur vos données, autour d’un concept simple qui tient en une phrase : « prévenir plutôt que guérir ». De manière générale, avant ce texte, les organisations appliquaient des mesures de sécurité en réponse à des incidents, mais elles ne se dotaient pas d’un outil d’évaluation permettant de définir des exigences dans le maintien opérationnel et sécuritaire de leur système d’information.
En définissant des exigences de sécurité permettant de répondre aux menaces d’intrusion, de perte, de vol ou encore d’altération de vos données, elle est considérée avec la norme 27035 (Gestion des incidents de sécurité de l’information) comme référence en matière de management de la sécurité de l’information. Selon l’organisation internationale de normalisation (ISO), elle « aide les organisations à sécuriser leurs actifs informationnels, ce qui est vital dans un monde de plus en plus numérisé ». Découpée en exigences de conformité, cette norme de qualité traite aussi bien de la réglementation sur la protection des données à caractère personnel que de l’accès sécurisé des bâtiments ou des infrastructures informatiques.
Mais presque une décennie nous sépare de sa dernière actualisation en 2013. Depuis, les menaces ont largement évolué. D’un côté, nos modes de vie et le rapport au digital ont été bouleversés et offrent une surface d’attaque de plus en plus élargie : forte accélération de la transformation digitale, adoption du télétravail et des modes de travail hybrides à marche forcée, prédominance du cloud avec un besoin de connexion partout et tout le temps… De l’autre côté, les cyber-attaques ne cessent d’augmenter (+125% d’attaques en 20211) avec une professionnalisation des attaquants et la démocratisation des techniques de compromission. Il n’a jamais été aussi simple de mener une attaque : kit de ransomware prêt à l’usage, franchise d’attaquants… Les réseaux cybercriminels se sont structurés et commercialisent malware et accès initiaux à la demande.
Ces évolutions rendaient alors de plus en plus complexe la sécurisation des organisations. Il était alors nécessaire que la norme ISO s’adapte pour faire face à cette nouvelle réalité. Et tout commence par le changement de nom de cette norme. Le titre même de la norme “Technologies de l’information” devient “Sécurité de l’information, cybersécurité et protection de la vie privée”. Découvrons si ce nouveau titre ancré dans les préoccupations actuelles est suivi dans les faits.
La nouvelle version ISO 27001:2022
Quelles sont les modifications importantes de ce nouveau texte sur votre organisation ? Quel est l’impact sur vos obligations en matière de conformité ? Votre certification ISO 27001 est-elle remise en cause ? Découvrons ces évolutions.
Dans l’ensemble, les changements apportés au contenu de la norme contribuent à améliorer les performances de votre SMSI. Mais certaines modifications sont simplement, comme l’exprime Chris Hall, expert anglo-saxon de la norme ISO 270012, « des éléments que nous devons appliquer pour conserver la certification ISO 27001 ». Le décor est ainsi planté !
Richard Plantier, Expert GRC chez Tenacy, revient sur le changement de titre de la norme et souligne que : « Ce changement lexical ne reflète pas d’exigence supplémentaire concernant les données personnelles ou la vie privée. En revanche, cela indique que le focus est désormais un peu plus technique ; comme l’apparition du cloud, de la threat intelligence et du secure coding (entre autres) parmi les contrôles listés dans ISO27002, qui le laissait deviner. »
Outre les changements de terminologie comme le télétravail qui est remplacé par le travail à distance ou bien encore procédure documentée qui devient information documentée. De véritables changements composent cette nouvelle version.
Les modifications de cette nouvelle version normative portent essentiellement sur l’annexe A, qui elle-même découle de la nouvelle version de la norme ISO 27002:2022 publiée en février 2022. Cette annexe n’est désormais plus considérée comme présentant une liste détaillée et exhaustive. Dans le texte de la version ISO 27001:2013, les mesures étaient divisées en 14 domaines différents. Elles sont dorénavant fusionnées en 4 catégories :
- Contrôles liés aux personnes : travail à distance, confidentialité, non-divulgation des informations, filtrage…
- Contrôles organisationnels: politiques d’informations organisationnelles, utilisation des services cloud, utilisation des actifs…
- Contrôles physiques : surveillance de la sécurité, supports de stockage, maintenance, sécurité des installations…
- Contrôles technologiques : authentification, chiffrement, prévention des fuites de données….
Autre fait marquant, l’apparition de 11 nouveaux contrôles sur les aspects suivants :
- Renseignements sur les menaces (A.5.7)
- Sécurité des informations hébergées dans le cloud (A.5.23)
- Préparation des TIC pour la continuité des activités (A.5.30)
- Surveillance de la sécurité physique (A.7.4)
- Monitoring / activités de surveillance (A.8.16)
- Filtrage Web (A.8.23)
- Conception de code sécurisé (A.8.28)
- Gestion de la configuration (A.8.9)
- Suppression d’information (A.8.10)
- Masquage des données (A.8.11)
- Prévention de la fuite de données (A.8.12)
Comme pour les domaines, malgré l’ajout de contrôles, leur nombre est passé de 114 à 93, suite à des consolidations et fusions.
Quels sont les impacts concrets sur l’organisation ?
L’évolution de la norme met l’accent sur les procédures : critères, contrôles, dont il est rappelé qu’elles font partie prenante du SMSI. Les objectifs doivent désormais être documentés et faire l’objet de suivi et les changements du SMSI doivent être planifiés.
Concrètement, pour que le SMSI soit conforme à cette nouvelle norme ISO, les organisations vont devoir passer par une phase transitoire sur les 2 ou 3 prochaines années.
Et quel est l’impact sur les entreprises certifiées ? Pour rappel, être certifié, c’est répondre à l’ensemble des exigences de la norme et tout particulièrement aux clauses 4 à 10. De plus, il faut avoir été audité par une personne externe qui s’assure que votre démarche s’inscrit dans la durée. Pour les organisations qui sont déjà certifiées ISO 27001:2013, elles auront un délai de 2 ans pour se mettre en conformité avec la nouvelle version de 2022. Le principal changement réside alors dans la déclaration d’applicabilité (DdA) ainsi que dans les preuves de la comparaison faite entre les 2 versions de la norme iso. Mise à jour du référentiel et traduction en exigences de la certification, réviser le plan de traitement des risques, revoir le plan de communication du SMSI, mettre à jour les procédures et les listes de contrôle utilisées pour les audits internes ou externes… Autant de tâches à planifier pour être conforme à cette nouvelle version.
Que vous soyez une entreprise certifiée ou non, vous devrez évaluer les adaptations nécessaires sur vos outils de sécurité tiers. Heureusement, chez Tenacy, nous prenons les devants et le référentiel d’exigences est déjà à jour sur la plateforme. (Et cela ne nécessite aucune intervention de votre part !) Vous êtes assuré que les enregistrements que vous utilisez pour démontrer la conformité répondent aux nouvelles exigences !
En conclusion
Vous le savez, adopter une démarche cyber-résiliente, c’est prendre conscience des menaces et des vulnérabilités de son système d’information. L’application et la mise en conformité de cette nouvelle version ISO 27001 se feront de manière progressive dès l’entrée en vigueur du nouveau texte.