logo_FEDER español
gss-logo-header
FR
ESENPT
DémoDemander une démo
Sécurité

Nouvelle version d’ISO 27001:2022

Aitziber Ardanza
🕑 6 minutes read

Table of contents

L’évolution de la norme ISO 27001

Il existe actuellement un besoin incontestable de mettre en œuvre des mesures de cybersécurité efficaces dans les organisations en raison de la tendance croissante des attaques de sécurité. Par conséquent, les entreprises cherchent à faire preuve de confiance envers leurs clients et de leur engagement envers la sécurité des informations qu’elles traitent.

En conséquence, la mise en œuvre des normes ISO bien connues est une réalité. Il s’agit de normes élaborées et publiées par l’Organisation internationale de normalisation (ISO) et dont l’objectif principal est de régulariser des processus spécifiques dans différents domaines.

Dans ce cas, nous nous concentrerons sur la sécurité de l’information, qui fait partie de la famille dite ISO 27000 , dont la principale norme, ISO 27001:2022, se distingue. Cette norme spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la maintenance et à l’amélioration continue d’un système de management de la sécurité de l’information (SMSI).

La réglementation abordée dans cet article a récemment été mise à jour et comprend quelques nouveautés. Une nouvelle version de ce document a été publiée le 25 octobre 2022. Cette version a apporté de multiples modifications à la norme, créant un besoin d’adaptation pour tous les organismes certifiés dans celle-ci. Les mises à jour les plus pertinentes qui ont été effectuées seront détaillées ci-dessous.

Modifications apportées au PDCA

Bien qu’en règle générale, les sections qui composent le PDCA (Plan-Do-Check-Act) du règlement n’aient pas subi beaucoup de modifications, il est nécessaire d’en souligner quelques-unes.

À partir de la section 4 du Contexte de l’Organisation, la seule modification a été mise en œuvre au point 4.4 appelé Système de gestion de la sécurité de l’information. Il reflète le nouveau besoin de cartographier les processus de l’entreprise par rapport à la PDCA elle-même et aux contrôles.

D’autre part, dans la section 5 sur le leadership, une mention explicite a simplement été ajoutée à la nécessité de communiquer les rôles et les responsabilités au sein de l’organisation. Cette action était déjà effectuée avec la version précédente dans la plupart des organisations, mais elle n’était pas explicitement détaillée dans la norme.

Dans la continuité du point 6 du règlement, celui de l’urbanisme, on peut distinguer 2 modifications pertinentes. En ce qui concerne les objectifs de la sécurité de l’information et la planification de leur réalisation, il a été établi que les objectifs doivent être surveillés et disponibles sous forme d’informations documentées. De plus, un nouvel élément a été créé, Planification des modifications 6.3, qui prévoit que lorsque l’organisation détermine la nécessité de modifications dans le SMSI, ces modifications doivent être effectuées de manière planifiée.

Enfin, dans la section 8 de l’exploitation, plus précisément dans le point 8.1 (Planification et contrôle opérationnels), il est indiqué qu’en plus des processus contractés par des parties externes, leurs produits et services doivent également être contrôlés. De même, les processus eux-mêmes doivent également être contrôlés.

Modifications apportées aux contrôles

On pourrait dire que l’essentiel de la mise à jour de la norme ISO 27001:2022 se concentre sur les contrôles de sécurité. En effet, suite à la nouvelle version de l’ISO 27002 publiée le 16 février 2022, l’annexe A de la norme qui inclut ces contrôles a fait l’objet d’une réorganisation complète.

La version 2013 comportait 114 contrôles répartis en 14 domaines. Cependant, dans la version 2022, ils ont été réduits et se composent désormais de 93 commandes disposées en 4 grands groupes de commandes.

Les nouveaux groupes et l’organisation de leurs contrôles sont détaillés ci-dessous :

  • Contrôles organisationnels : 37 contrôles dont 3 nouveaux.
  • Contrôles du personnel : 8 contrôles, inchangés par rapport à la version précédente.
  • Contrôles physiques : 14 contrôles dont 1 nouveau.
  • Contrôles technologiques : 34 contrôles dont 7 nouveaux.

Les nouveaux contrôles qui n’existaient pas dans la version précédente sont les suivants :

  • 7 Renseignements sur les menaces.
  • 23 Sécurité de l’information dans l’utilisation des services cloud.
  • 30 Préparation des TIC à la continuité des activités.
  • 4 Surveillance de la sécurité physique.
  • 9 Gestion de la configuration.
  • 10 Suppression d’informations.
  • 11 Masquage des données.
  • 12 Prévention des fuites de données.
  • 16 Suivi de l’activité.
  • 23 Filtrage Web.
  • 28 Codage sécurisé.

D’autre part, il convient de mentionner qu’un total de 57 contrôles de l’ancienne version ont été fusionnés en 24, d’où la réduction du nombre de contrôles.

De même, parmi le reste des contrôles existants dans la version 2013, certains d’entre eux ont subi des modifications qui nécessiteront des changements pour s’adapter aux organisations.

Dates d’adaptation de la norme ISO 27001:2022

La version en de la nouvelle norme a été publiée le 25 octobre 2022. Cependant, cette publication n’a pas besoin d’être adaptée immédiatement aux changements discutés, mais offre plutôt un temps pour s’adapter à la nouvelle norme.

Tout d’abord, la disponibilité de la certification dans la nouvelle norme ISO/IEC 27001:2022 est estimée pour février/avril 2023, mais elle dépendra principalement des organismes d’accréditation. Toutefois, la dernière date fixée pour les audits par rapport à la version précédente de 2013 sera de 18 mois après la nouvelle publication, c’est-à-dire en avril 2024. Cette date comprend les audits initiaux et de recertification.

Enfin, il convient de noter qu’à partir de 3 ans à compter de la nouvelle publication, c’est-à-dire en octobre 2025, tous les certificats de la version 2013 seront invalidés.

Comment pouvons-nous vous aider ?

Chez GlobalSuite Solutions, nous vous aiderons à mettre en œuvre la norme ISO 27001:2022 pour sa certification officielle. Nous pouvons partir de zéro avec un premier diagnostic de conformité ou en vous aidant à mettre à jour votre système de gestion de la sécurité de l’information basé sur la norme ISO 27001:2013 en apportant les modifications pertinentes aux catalogues de contrôle de sécurité, PDCA, etc. De plus, avec sa gestion par GlobalSuite® Security , vous pouvez obtenir les avantages suivants :

  • Vous gagnerez du temps dans la gestion des processus ISO 27001 et utiliserez moins de ressources avec l’utilisation du logiciel, obtenant ainsi de meilleurs résultats et consolidation.
  • Vous gagnerez en efficacité dans la réalisation de l’analyse des risques avec une plateforme spécifique.
  • Vous réaliserez le cycle d’amélioration continue plus rapidement, sans duplication d’informations et avec des résultats plus fiables.
  • Vous surveillerez les actions du personnel grâce à l’enregistrement automatique des modifications, évitant ainsi les pertes d’informations et contrôlant les modifications de données.
  • Vous pourrez synchroniser le système avec d’autres logiciels de votre entreprise pour profiter de la gestion d’autres domaines, par exemple, les employés, les processus, les incidents, etc.
  • Et vous éviterez la maintenance des applications en tombant sur le fournisseur : sécurité des applications, sauvegardes en cas de perte d’informations, disponibilité, etc.

Share:

Aitziber Ardanza
. Consultora Departamento de Consultoría de GlobalSuite Solutions Ingeniera de telecomunicaciones por la UPV/EHU con máster en Ciberseguridad por la Universidad Politécnica de Madrid.

More articles