La norme ISO 27002 évolue de manière majeure en ce début d’année 2022. Code de bonnes pratiques pour les mesures de sécurité de l’information, elle a pour objectif d’aider les responsables de la sécurité des systèmes d’information à mettre en place et maintenir un Système de Management de la Sécurité de l’Information (SMSI). A la différence de la norme ISO 27001, la norme ISO 27002 n’est pas certifiante mais doit être prise en compte puisqu’elle est reprise dans l’annexe A de la norme ISO 27001.
C’est en février 2022 qu’une mise à jour de la norme ISO 27002 est parue. Les changements sont visibles dès le titre : la norme précédente intitulée « technologie de l’information – technique de sécurité – code de bonne pratique pour le management de la sécurité de l’information », devient « sécurité de l’information cybersécurité et protection de la vie privée – mesures de sécurité de l’information ». Le titre parle de lui-même : le Règlement Général de la Protection des Données (RGPD) est introduit dans cette nouvelle norme.
Une version qui se veut plus simple et plus précise. Pourquoi est-elle plus simple ?
- La norme 27002 de 2013 était composée de 4 chapitres introductifs et 14 chapitres normatifs. La norme 27002 2022 conserve le même nombre de chapitre introductif, mais passe à 4 chapitres normatifs qui sont :
- Mesures organisationnelles
- Mesures sur les personnes
- Mesures physiques
- Mesures techniques et technologiques
- Dans la norme 27002 de 2013, les 14 chapitres normatifs traitaient 114 mesures de sécurité. Dans la version de 2022, les 114 mesures de sécurité sont passées à 93.
Pourquoi est-elle plus précise ?
Les mesures de sécurité dans la version 2022 au nombre de 93 sont beaucoup plus détaillées que dans la version précédente, avec de meilleures explications et plus de profondeur pour mieux comprendre les objectifs des mesures de sécurité.
Pour résumer, voici les principaux changements :
- 35 mesures de sécurité n’ont pas changé.
- 23 mesures de sécurité ont légèrement été modifiées : mis à part le nom ou la définition, elles deviennent plus simples et cohérentes.
- 11 nouvelles mesures de sécurité prennent en compte les nouvelles menaces (Threat intelligence), le renseignement sur les menaces, la sécurité des informations pour l’utilisation des services cloud, la préparation des TIC (Technologies de l’Information et des Communications) pour la continuité des activités, la surveillance de la sécurité physique, la gestion des configurations, la suppression des informations, le masquage des données, la prévention des fuites de données, l’activité de surveillance, le filtrage Web, le codage sécurisé.
Quels sont les principaux impacts ?
La norme 27002 2022 a un impact direct sur la norme certifiante 27001 qui devrait elle aussi être mise à jour en fin d’année. Vous n’avez pas besoin d’attendre la sortie de la mise à jour de la norme 27001 et pouvez d’ores et déjà commencer à vous préparer puisque la norme 27002 correspond à l’annexe A de la 27001.
La norme 27001 exige une déclaration d’applicabilité à la suite d’une appréciation des risques. Pour pouvoir réaliser cette déclaration d’applicabilité, les responsables de la sécurité des systèmes d’informations doivent se référer aux mesures de sécurité mentionnées dans l’annexe A. Vous pouvez dès à présent adapter les mesures et plus précisément mettre en place les 11 nouvelles mesures.
Cependant, si votre entreprise n’est pas certifiée ISO 27001, vous pouvez mettre à jour vos politiques de sécurité et appréciation des risques en mettant en place les 11 nouvelles mesures. Également, la mise à jour de la norme 27002 vous permettra d’améliorer votre conformité face aux RGPD.
Nos auditeurs sont certifiés 27001 2013 et nous accompagnons de nombreuses entreprises pour passer cette certification. Notre veille active, notre présence dans les forums professionnels et clubs tels que EBIOS RM et notre pratique continue de la norme et dispositifs techniques auxquels elle fait appel au travers de notre offre intégration de solutions de sécurité et de notre offre de gouvernance risque et conformité, nous permet de vous accompagner dans l’évolution de la norme 27002 et bientôt la norme 27001.