Il a été long à venir! La mise à niveau vers la norme internationale pour les systèmes de gestion de la sécurité de l'information, ISO27001:2013, est (presque) arrivée.
Alléluia!
Si vous lisez cet article, alors il y a une hypothèse raisonnable que vous savez ce qu'est ISO27001 et que vous n'allez pas trop vous inquiéter de l'histoire en arrière. Mais soyons tous clairs sur quelques points.
La version actuelle de la norme de gestion de la sécurité de l'information est ISO27001:2013.
La dernière mise à jour de la norme remonte à 2017 lorsque (pour une raison quelconque) un comité de spécialistes de la sécurité de l'information a dû modifier environ trois mots et ajouter quelques "points" (!). Oui, je suis désinvolte ici! Je suis sûr que c'était juste un oubli et non une opportunité cynique d'exciter les professionnels (comme moi) et de se précipiter et de dépenser près de 200 £ pour rien de plus qu'un changement cosmétique ! (Tout ce que je dis, c'est que beaucoup de nos coiffures ont vu plus de changements au cours des cinq dernières années que cette norme.)
Donc nous en sommes là. 2022. La nouvelle qui a circulé dans les salles sacrées d'Information Security Central est que la NOUVELLE version d'ISO27001 est presque avec nous !
C'est un rendez-vous!
Il est très attendu qu'ISO27002 sera avec nous en janvier 2022 et qu'ISO27001 sera avec nous en mars 2022.
Pourquoi est-ce important?
ISO27002 est le guide sur la mise en œuvre des contrôles (généralement appelés «contrôles de l'annexe A»), et il nous donne donc un aperçu des changements.
ISO27001 est la norme de certification réelle pour une organisation.
(Si quelqu'un dit qu'il est "certifié ISO27002", vous avez ma permission de sourire avec ironie et de vous éloigner poliment rapidement.)
Que savons-nous jusqu'ici?
Ok, vous avez donc récemment été certifié ISO27001:2013. Toutes nos félicitations! Mais maintenant, vous entendez parler de cette nouvelle norme. Que faites-vous maintenant?
Tout d'abord, ne paniquez pas. Il y aura une période de transition pour passer à la nouvelle norme. Bien que le calendrier exact n'ait pas encore été établi. Sur la base de l'expérience passée, je dirais que vous aurez au moins 18 à 24 mois pour effectuer la transition.
Cependant, cela ne signifie pas « s'asseoir et ne rien faire jusqu'à ce que les deux ans soient écoulés ». Cela signifie que vous devriez examiner la nouvelle norme maintenant et vous préparer à la transition AU COURS des deux prochaines années.
Vous devriez parler à votre équipe Gouvernance, Risques et Conformité ou à la personne qui gère votre ou vos normes ISO et élaborer un plan maintenant plutôt que d'attendre que vous ayez tout à faire en 2024. Pourquoi ? Parce que lorsque nous regardons ISO27002, nous pouvons voir qu'il y a des changements notables, et par conséquent, les exigences pour prouver la conformité vont également être sensiblement différentes.
Quels sont les scores sur les portes ?
Jetons un coup d'œil à ce que nous savons jusqu'à présent. Nous savons qu'ISO27001:2013 (Annexe A) comporte 114 contrôles sur 14 domaines distincts. ISO27001:2021 (comme je l'appelle) aura 93 contrôles sur quatre domaines. Ceux-ci sont les suivants :
Un certain nombre de contrôles ont clairement disparu, mais surtout, nous avons 11 nouveaux contrôles qui reflètent le monde dans lequel nous vivons (par rapport à 2013). Ceux-ci sont les suivants :
Un autre changement important est que chaque contrôle a cinq attributs qui lui sont assignés. Avec les valeurs d'attribut.
Les attributs fournis ont été sélectionnés car ils sont considérés comme suffisamment génériques pour être utilisés par différents types d'organisations et leurs valeurs d'attribut ne dépendent pas de l'organisation.
Ceux-ci sont les suivants :
La section Capacités opérationnelles est censée être un attribut permettant de visualiser les contrôles du point de vue des capacités de sécurité des praticiens. Ceux-ci incluent la gouvernance, la gestion des actifs, la protection des informations, la sécurité des ressources humaines, la sécurité physique, la sécurité des systèmes et des réseaux, la sécurité des applications, la configuration sécurisée, la gestion des identités et des accès, la gestion des menaces et des vulnérabilités, la continuité, la sécurité des relations avec les fournisseurs, la sécurité juridique et la conformité, la sécurité de l'information. Gestion des événements et assurance de la sécurité de l'information.
Conclusion : plus qu'un simple nom
Cela a pris un certain temps, mais une révision de la norme ISO27001, très populaire et efficace, a entraîné des modifications et des mises à niveau considérables (et indispensables).
Il y a cependant un changement qui ne saute peut-être pas instantanément aux yeux des gens, mais qui change fondamentalement l'orientation générale de la norme. Ce changement se trouve juste là sur la couverture de la ou des normes.
ISO27002:2013 s'intitule « Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques pour les contrôles de sécurité de l'information ».
ISO27002:2021 est "Sécurité de l'information, cybersécurité et protection de la vie privée - Contrôles de sécurité de l'information".
Premièrement, le terme « technologie de l'information » a été remplacé par « sécurité de l'information », puis élargi pour englober la cybersécurité et la protection de la vie privée. Très ostensiblement, les conseils soulignent que l'accent n'est pas spécifique à la technologie (Spoiler ; ça ne l'a jamais été.) mais plutôt à la protection de la vie privée ET à la cybersécurité.
De plus, l'expression « code de pratique » a été supprimée pour mieux refléter son objectif d'être un ensemble de référence de contrôles de sécurité de l'information. Cependant, il ne s'agit pas d'un changement d'objectif, car l'intention d'ISO27002 a toujours été d'aider les organisations à s'assurer qu'aucun contrôle nécessaire n'a été négligé.
Je crois que nous avons enfin une norme dont nous avons besoin depuis un certain temps. Il intègre désormais la sécurité des informations, la cybersécurité ET la confidentialité dans le même ensemble de contrôles. Ce n'est pas révolutionnaire mais simplement un changement évolutif que nous attendions.
Personnellement, j'ai hâte que ce changement entre en vigueur. Ce sera très excitant de voir comment (et quelles) organisations adopteront la nouvelle norme en premier.
Mais je ne suis pas seulement excité en tant que consultant ISO27001. Je suis ravi parce que j'espère que cela suscitera un regain d'intérêt pour un système de gestion de la sécurité très précieux et incroyablement efficace (lorsqu'il est bien fait). Des temps passionnants nous attendent.
À propos de l'auteur : Gary Hibberd est le « professeur de cybercommunication » à Cyberfort et est un spécialiste de la cybersécurité et de la protection des données avec 35 ans d'expérience dans l'informatique. Il est un auteur publié, un blogueur régulier et un conférencier international sur tout, du Dark Web à la cybercriminalité et à la cyberpsychologie.
Vous pouvez suivre Gary sur Twitter ici : @AgenciGary
Note de l'éditeur : les opinions exprimées dans cet article de l'auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.