Les principaux changements de la mise à jour de la norme ISO 27002:2022

Le 16 février 2022, l’ISO (International Organization for Standardization) a publié la mise à jour de la norme ISO 27002, une norme conçue pour être utilisée par les organisations comme référence pour la sélection des contrôles dans le processus de mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur la norme certifiable ISO/IEC 27001.

La publication de 2022 est la troisième version de la norme ISO 27002, dont la première version date de 2005 et la deuxième de 2013, ce qui établit un cycle de mise à jour des versions tous les 8/9 ans. Elle est actuellement disponible uniquement en anglais.

La nouvelle version de la norme ISO 27002 a la structure suivante :

Introduction : contextualise la valeur de l’information pour les organisations, comment la sécurité de l’information est atteinte grâce à la mise en œuvre d’un ensemble de contrôles de sécurité, les exigences de sécurité de l’information qu’une organisation doit déterminer, la détermination des contrôles pour protéger l’information, les considérations relatives au cycle de vie de l’information (de sa création à sa suppression) et la relation de cette norme avec d’autres normes (en particulier de la famille ISO/IEC 27000).

• Clause 1 – Domaine d’application : indique que ce document est conçu pour être utilisé par les organisations comme référence pour la sélection des contrôles dans le processus de mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) basé sur la norme ISO/IEC 27001.
• Clause 2 – Références normatives : il n’y a pas de références normatives dans cette norme.
• Clause 3 – Termes, définitions et termes abrégés : relie un ensemble de termes, de définitions et d’abréviations qui s’appliquent dans le contexte de cette norme.
• Clause 4 – Structure du document : détermine les clauses, les thèmes et les attributs, ainsi que la conception de la structure de chaque contrôle inclus dans la norme.
• Clauses 5 à 8 : établit le nom du contrôle, le tableau des attributs, l’objectif, le guide de mise en œuvre et d’autres informations (le cas échéant) pour les contrôles de sécurité :
• Organisationnels (Clause 5).
• Personnes (Clause 6).
• Physiques (Clause 7).
• Technologiques (Clause 8).
• Annexe A : Cette annexe fournit un tableau pour démontrer l’utilisation des attributs comme moyen de créer différentes vues des contrôles.
• Annexe B : Correspondance entre ISO/IEC 27002:2022 et ISO/IEC 27002:2013
• Bibliographie : Liste des autres normes et documents utilisés dans cette norme.

Voici un résumé des principaux changements de la norme ISO27001:2022 par rapport à la version précédente :

1. Changement de nom de la norme : Le terme « Code de bonnes pratiques » a été supprimé du nom de la nouvelle norme ISO 27002. Son nom actuel est « Sécurité de l’information, cybersécurité et protection de la vie privée – Contrôles de sécurité de l’information », ce qui reflète un contexte plus large et qui inclut désormais la prévention, la détection et la réponse aux cyberattaques, ainsi que la protection des données.
2. Changements dans les contrôles de sécurité : La norme ISO 27002:2013 contenait 114 contrôles (divisés en 14 annexes). La version 2022 contient 93 contrôles, divisés en 4 clauses qui se concentrent sur le contexte d’application du contrôle comme suit :

• Contrôles organisationnels : 37 contrôles
• Contrôles des personnes : 8 contrôles
• Contrôles physiques : 14 contrôles
• Contrôles technologiques : 34 contrôles

Sur les 93 contrôles actuels :

• 58 ont été mis à jour
• 24 représentent la fusion de contrôles antérieurs
• 11 ont été introduits comme nouveaux contrôles

Cette nouvelle approche entraîne également la disparition du concept d’« objectif de contrôle », bien qu’un attribut soit inclus pour permettre la classification spécifique du contrôle dans une ou plusieurs des 15 catégories établies, comme indiqué dans la section suivante.

3. Structure des attributs des contrôles : chacun des 93 contrôles contient une structure d’attributs particulière qui détermine :

• Type de contrôle : attribut permettant de visualiser les contrôles du point de vue du moment et de la manière dont le contrôle modifie le risque par rapport à la survenue d’un incident de sécurité de l’information, en identifiant s’il est préventif, détectif ou correctif.
• Propriétés de sécurité de l’information : attribut permettant de visualiser les contrôles du point de vue des caractéristiques de l’information que le contrôle contribuera à préserver : Confidentialité, Intégrité ou Disponibilité.
• Concepts de cybersécurité : attribut permettant de visualiser les contrôles du point de vue de l’association des contrôles aux concepts de cybersécurité définis dans le cadre de cybersécurité décrit dans la norme ISO/IEC TS 27110 et utilisé dans d’autres cadres de travail tels que le NIST-Cibersecurity Framework : Identifier, Protéger, Détecter, Répondre, Récupérer.
• Capacités opérationnelles : attribut permettant de visualiser les contrôles du point de vue du professionnel des capacités de sécurité de l’information. Les valeurs de cet attribut sont :
  • Gouvernance,
  • Gestion des actifs,
  • Protection de l’information,
  • Sécurité des ressources humaines,
  • Sécurité physique,
  • Sécurité des systèmes et des réseaux,
  • Sécurité des applications,
  • Configuration sécurisée,
  • Gestion de l’identité et de l’accès,
  • Gestion des menaces et des vulnérabilités,
  • Continuité,
  • Sécurité des relations avec les fournisseurs,
  • Conformité légale,
  • Gestion des événements de sécurité de l’information
  • Assurance de l’information
• Domaines de sécurité : attribut qui permet de visualiser les contrôles du point de vue de quatre domaines de sécurité de l’information : Gouvernance et écosystème, Protection, Défense, Résilience

Exemple

L’exemple suivant montre l’attribution d’étiquettes aux attributs des contrôles en prenant comme référence l’un des nouveaux contrôles technologiques inclus dans cette version :

8.23 Filtrage Web

Contrôle

L’accès aux sites web externes doit être géré afin de réduire l’exposition aux contenus malveillants.

Objectif

Protéger les systèmes contre les compromissions par des logiciels malveillants et empêcher l’accès à des ressources web non autorisées.

Guide

L’organisation devrait réduire les risques que son personnel accède à des sites web contenant des informations illégales ou connus pour contenir des virus ou du matériel de phishing. Une technique pour y parvenir consiste à bloquer l’adresse IP ou le domaine du site web en question. Certains navigateurs et technologies anti-malware le font automatiquement ou peuvent être configurés pour le faire…[1]

[1] Traduction non officielle

Étant donné que la norme ISO 27001, dont la version en vigueur est encore celle de l’année 2013, possède une annexe A qui fait référence à 114 contrôles de sécurité détaillés dans la norme ISO 27002:2013, et compte tenu de la publication de la nouvelle version de la norme ISO 27002:2022, il est prévu que l’annexe A de la norme ISO 27001 s’aligne sur ces nouveaux changements et, par conséquent, la mise à jour de l’annexe A de la norme ISO 27001 aura lieu à un moment donné au cours de l’année en cours.

Lorsque cet événement se produira, les organisations certifiées ISO 27001:2013 qui souhaitent conserver leur certification en tenant compte de la nouvelle annexe devront tenir compte des éléments suivants :

• Mettre à jour leur processus de traitement des risques en tenant compte des nouveaux contrôles
• Mettre à jour leur déclaration d’applicabilité
• Adapter certaines sections de leurs politiques et procédures existantes.
• Adapter certaines métriques et indicateurs de sécurité

Les organisations qui ne mettent pas à jour leur SMSI en tenant compte des changements de l’annexe A pourraient voir leur certification révoquée.

Pour effectuer cette mise à jour, les organisations disposent d’une période de transition qui est généralement de 2 ans à compter de la date officielle de la mise à jour