Demande de prix
Home Ressources Blog February 2023

Transition ISO 27001 - Les Changements à Connaître

17 février 2023
Suite à la récente mise à jour de la norme ISO 27002, octobre 2022 a vu l'annonce et la publication de la norme ISO 27001:2022 pour la gestion de la sécurité de l'information.

Les concepts et les pratiques en matière de sécurité de l'information ont considérablement évolué depuis la publication de la dernière version de la norme ISO 27001 en 2013.

Parmi les principales menaces qui ont mené à la norme de 2013 et qui ont affecté la sécurité des données des entreprises figuraient le déni de service (DoS), les logiciels malveillants et les logiciels espions.

Depuis lors, les menaces se sont développées, devenant plus compétentes et plus professionnelles dans leurs opérations. Accélérées par la pandémie, les menaces pesant sur les entreprises et les données ont entraîné une évolution vers des méthodes de ransomware plus avancées de la part d'acteurs tels que les gangs du crime organisé et les États-nations.

Alors, quels sont les principaux changements apportés par la norme ISO 27001:2022?


Le premier changement concerne le nom: Sécurité de l'information, cybersécurité et protection de la vie privée – Systèmes de gestion de la sécurité de l'information – Exigences.

Le changement de nom met en évidence le lien entre la sécurité de l’information, la cybersécurité et la confidentialité. La pratique consistant à protéger les systèmes critiques et les informations sensibles contre les attaques cybernétiques, physiques et multi-vecteurs mixtes est directement liée à la protection des données, garantissant que les informations que vous souhaitez conserver en sécurité en tant qu'entreprise le restent.
Cela a toujours été important, mais c'est aujourd'hui beaucoup plus répandu en raison de la croissance rapide du travail à distance et de la demande de solutions basées sur le cloud.

Dans les éléments 4 à 10 de la norme ISO 27001:2022, il y a peu de changements. Cependant, certaines modifications ont été apportées à la structure, à la terminologie, à l'ordre des mots et, dans certains cas, à la clarté des exigences.

Par exemple:

Ajout de sous-clauses:

•    4.2 Comprendre les besoins et les attentes des parties intéressées
•    6.2 Objectifs de sécurité de l'information et planification pour les atteindre
•    9.3 Examen de la direction

Clarté ajoutée:

•    5.3 Rôles, responsabilités et autorités organisationnelles. Plus précisément, la communication au sein de l'organisation
•    6.1.3 Traitement des risques liés à la sécurité des informations. Notes mises à jour.

Vous devez noter qu'il existe un nouveau sous-paragraphe, 6.3 Planification des modifications, qui devra être pris en compte et mis en œuvre dans le cadre de votre système de gestion de la sécurité de l'information.
Le changement le plus important apporté à la norme mise à jour concerne les contrôles de l'Annexe A, qui sont entièrement traités dans la norme ISO 27002.

Les 14 groupes de contrôle et objectifs d'origine n'existent plus et ont été remplacés par quatre groupes de contrôle:

•    Organisationnel
•    Personnes
•    Physique
•    Technologie

Le nombre total de contrôles a été réduit de 114 à 93.

Aucun contrôle n'a été supprimé mais plusieurs ont été consolidés, avec 11 nouveaux contrôles ajoutés. Les quatre groupes de contrôle sont appelés 'thèmes' et suggèrent l'utilisation d'attributs pour les développer davantage, mais il n'y a aucune obligation d'utiliser ces attributs.

Les nouveaux contrôles ajoutés à l'annexe A sont des ajouts indispensables et contribuent à mettre à jour la norme ISO 27001, en les alignant plus facilement sur notre climat de sécurité actuel.

Ces nouveaux contrôles comprennent:


•    Sécurité des informations pour l'utilisation des services cloud
•    Activités de surveillance
•    Renseignements sur les menaces
•    Préparation aux TIC pour la continuité des activités
•    Surveillance de la sécurité physique
•    Gestion de la configuration
•    Suppression des informations
•    Masquage des données
•    Protection contre les fuites de données
•    Filtrage Web
•    Codage sécurisé

Vous constaterez probablement que vous faites déjà beaucoup de ces choses et qu’il vous suffira de les intégrer dans votre SMSI.

Comme toujours, l'équipe NQA est là pour vous accompagner tout au long du processus de transition. Si vous avez des questions ou avez besoin d'aide, nous pouvons vous aider:

Analyse et conseils techniques - NQA fournira divers contenus supplémentaires au cours des prochains mois. Veuillez-vous inscrire à notre newsletter pour rester informé.