Résumé

ISO/IEC 27001 est la norme appliquée dans le monde entier pour la certification d'un système de management de la sécurité de l'information. Celui-ci a pour objectif de protéger les informations sur la base d'une analyse des risques commerciaux en termes de confidentialité, d'intégrité et de disponibilité.

La version ISO/IEC 27001:2022 a été publiée fin octobre 2022. Aucune modification majeure n'a été apportée. Comme il ne doit pas y avoir plus de deux modifications (AMD - Amendment) pour une norme, une version 2022 est maintenant publiée.

Les modifications se trouvent principalement dans l'annexe A - Objectifs des mesures et mesures, elles découlent de la nouvelle publication ISO/IEC 27002:2022.

ISO/IEC 27001 a la même structure que ISO 9001:2015, mais ne comprend pas les processus commerciaux, mais les mesures visant à garantir la sécurité de l'information. Un système de management compatible avec la norme ISO 9001:2015 n'est certes pas une condition préalable, mais il constitue la base idéale. S'il fait défaut, il faut encore décrire les processus dans lesquels les mesures seront intégrées.

Développement

Histoire

Le prédécesseur de la norme ISO/IEC 27001:2013 est la norme ISO/IEC 27001:2005, qui a été reprise presque telle quelle par la norme britannique BS 7799-2. Dès 1993, le Department of Trade and Industry (DTI) du Royaume-Uni a publié un recueil de bonnes pratiques en matière de sécurité de l'information - le Code of Practice - qui est devenu la norme britannique BS 7799-1 en 1995. Il a rapidement gagné en popularité dans les pays anglo-saxons et le souhait de pouvoir obtenir une certification s'est accru. Pour répondre à cette demande, la norme BS 7799-2 a établi un catalogue d'exigences selon lequel une organisation pouvait être certifiée. Les deux normes ont été très bien accueillies au niveau international, mais elles sont restées pour la plupart réservées aux initiés jusqu'à ce que la BS 7799-1 devienne la norme ISO 17799 en 2000 et la BS 7799-2 la norme ISO/IEC 27001 cinq ans plus tard. Il était prévu de créer toute une famille de normes pour la sécurité de l'information. Dans un premier temps, la norme ISO 17799 a été rebaptisée ISO/IEC 27002 en 2007.

D'autres normes sont déjà publiées ou vont l'être :

• ISO/IEC 27002 Procédures de sécurité informatique
• ISO/IEC 27003 Guide de mise en œuvre
• ISO/IEC 27004 Mesures de management de la sécurité de l'information (actuellement en cours de développement)
• ISO/IEC 27005 Management des risques ISMS
• ISO/IEC 27006 Exigences pour les organismes de certification
• ISO/IEC 27011 Lignes directrices pour les organisations de télécommunications
• ISO/IEC 27017 Procédures pour les services en nuage
• ISO/IEC 27018 Protection de la vie privée dans les clouds publics
• ISO/IEC 27701 Protection des données
• ISO/IEC 27799 Lignes directrices pour l'informatique de santé

et de nombreux autres guides (Guidelines) pour l'application spécifique au secteur et les thèmes spécifiques d'un système de management de la sécurité de l'information (ISMS).Vous trouverez une liste des normes sur les pages de l'ISO.

Nouvelle version ISO/IEC 27001:2022

La nouvelle version a été publiée fin octobre 2022.

Qu'est-ce qui a changé ?

L'annexe A a été remplacée en premier lieu, elle correspond à la norme ISO/IEC 27002:2022.

Seulement deux modifications rédactionnelles aux points 6.1.3 c) et 6.1.3 d) pour plus de clarté.

Règles transitoires :

La période de transition est de 3 ans et se termine le 31 octobre 2025.

Quand peut-on changer de certification pour la nouvelle norme ?

• à l'occasion de la prochaine recertification (à partir du 30.04.2024, uniquement selon la version 2022)
  (au moins 0,5 jour supplémentaire est nécessaire, doit être terminé avant le 31.10.2025)
• à l'occasion d'un audit de surveillance                                                                         
  (min. 1,0 jour de temps supplémentaire est nécessaire)
• entre deux audits (min. 1,0 jour de temps supplémentaire est nécessaire)

Nouvelle version ISO/IEC 27002:2022 (correspond à l'annexe A dans ISO/IEC 27001)

La nouvelle version a été publiée en février 2022.

Qu'est-ce qui a changé ?

La structure a été fondamentalement modifiée :

14 chapitres jusqu'à présent - 4 chapitres désormais :

• Organizational controls (37)
• People controls (8)
• Physical controls (14)
• Technological controls (34)

Le nombre de mesures (Controls) est indiqué entre parenthèses. Il y a désormais 93 mesures définies, alors qu'il y en avait 11 de plus auparavant (114). Cela ne signifie pas pour autant que le nombre de thèmes a diminué. En effet, 11 nouvelles mesures thématiques ont été ajoutées et 3 ont été supprimées ((11.2.5 Removal of assets, 8.2.3 Handling of Assets, 16.1.3 Reporting information security weaknesses).

Différents Controls ont été consolidés dans 19 nouvellement formulés, 61 restent inchangés.

Les nouveaux Controls sont:

1. Threat intelligence: 
   L'organisation doit s'employer activement à comprendre les attaquants et leurs méthodes dans le contexte de votre environnement informatique.
2. Information security for use of cloud services: 
   Les initiatives de cloud computing doivent être considérées de manière globale, de l'introduction à la stratégie de sortie en passant par l'exploitation.
3. ICT Readiness for Business Continuity: 
   Les exigences en matière d'environnement informatique doivent être déduites des exigences en matière de continuité des activités.
4. Physical security monitoring: 
   L'accent est davantage mis sur la prévention des accès physiques non autorisés, qui doivent être empêchés ou rapidement détectés grâce à des systèmes d'alarme et de surveillance.
5. Configuration management: 
   La configuration sécurisée des systèmes informatiques et le durcissement gagnent en importance.
6. Information deletion: 
   L'effacement sécurisé et, en particulier, le respect des exigences externes, par exemple les concepts d'effacement liés à la protection des données, doivent être mis en œuvre.
7. Data masking: 
   La protection des données doit être renforcée au moyen de différentes techniques de masquage, telles que l'anonymisation et la pseudonymisation.
8. Data leakage prevention: 
   La prévention des fuites de données (DLP) fait l'objet d'une attention nouvelle et doit permettre d'éviter les fuites de données non autorisées.
9. Monitoring activities: 
   Le comportement du réseau et des applications doit être surveillé afin de détecter les anomalies.
10. Web filtering: 
    L'accès aux sites web externes pouvant contenir des codes malveillants doit être empêché par des méthodes de filtrage web.
11. Secure coding: 
    La programmation sécurisée, l'utilisation d'outils, la surveillance des bibliothèques et des dépôts utilisés, le commentaire et le suivi des modifications et l'évitement des méthodes de programmation peu sûres.

Désormais, tous les contrôles contiennent des attributs :

• Control type:
  Preventive, Detective, and Corrective
• Information security properties:
  Confidentiality, Integrity, and Availability
• Cybersecurity concepts:
  Identify, Protect, Detect, Respond, and Recover
• Operational capabilities:
  Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
• Security domains:
  Governance and ecosystem, Protection, Defense, and Resilience

Déroulement et FAQ