Article rédigé par Daniel Linlaud
La norme ISO/IEC 27001 est une norme de certification, qui est à la sécurité de l’information ce que la norme ISO 9001 est à la qualité. La norme ISO/IEC 27001 présente les lignes directrices et les principes généraux pour initier, mettre en œuvre, maintenir et faire évoluer son SMSI (Système de management de la sécurité de l’information) ainsi que les exigences de certification, c’est-à-dire les dispositions à respecter pour obtenir le certificat. Des « mesures de sécurité », listées dans une annexe de la norme (Annexe A), complètent ce dispositif ; elles établissent un lien entre la norme ISO/IEC 27001 et la norme ISO/IEC 27002.
La norme ISO/IEC 27002 est un code de bonne pratique qui présente de manière détaillée 93 mesures couvrant les aspects techniques, organisationnels, sociaux et juridiques de la sécurité de l’information.
Une nouvelle version de la norme ISO/IEC 27002 (ISO/IEC 27002:2022) est disponible depuis février 2022, en distribution internationale de langue anglaise. La version française (NF EN ISO/IEC 27002:2022), datée de novembre 2022, a été officiellement publiée début 2023.
Les principales modifications apportées par cette nouvelle version sont les suivantes :
- Changement de titre, qui devient « Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information ».
- Nouvelle organisation des mesures de sécurité, maintenant réparties dans quatre thèmes au lieu de quatorze dans la version antérieure. Ces nouvelles catégories sont : « mesures de sécurité organisationnelles », « mesures de sécurité applicables aux personnes », « mesures de sécurité physique » et « mesures de sécurité technologiques », contenant respectivement 37, 8, 14 et 34 mesures.
- Création de onze nouvelles mesures de sécurité :
- Catégorie « mesures de sécurité organisationnelles » : Renseignements sur les menaces ; Sécurité de l’information dans l’utilisation de services en nuage ; Préparation des TIC pour la continuité d’activité.
- Catégorie « mesures de sécurité physique » : Surveillance de la sécurité physique.
- Catégorie « mesures de sécurité technologiques » : Gestion des configurations ; Suppression des informations ; Masquage des données ; Prévention de la fuite de données ; Activités de surveillance ; Filtrage web ; Codage sécurisé.
- Fusion de certaines mesures de sécurité portant sur des sujets connexes, ce qui engendre une diminution globale de leur nombre, qui passe de 114 à 93.
- Présentation plus détaillée des mesures de sécurité, avec l’apparition de nouveaux attributs tels que le type (mesure de prévention, de détection ou de correction), la propriété (confidentialité, intégrité ou disponibilité) ou l’association aux concepts de cybersécurité (identifier, protéger, détecter, répondre et rétablir).
- Introduction d’une approche basée sur les objectifs de sécurité plutôt que sur les objectifs assignés aux mesures, offrant ainsi une plus grande cohérence avec les attentes définies dans la norme ISO/IEC 27001, en lien notamment avec la politique de sécurité de l’information de l’organisme.
Une nouvelle version internationale de la norme ISO/IEC 27001 a également été publiée en octobre 2022 avec, comme principales modifications, un alignement de l’Annexe A sur les 93 nouvelles mesures de sécurité décrites dans la norme ISO/IEC 27002 et une harmonisation des chapitres sur la structure commune des normes de management. La version française a été publiée en janvier 2023 (NF ISO/IEC 27001:2023).
Continuez de suivre nos actualités sur notre page LinkedIn pour ne rien louper !
|
Liens utiles Norme ISO/IEC 27001 en accès libre (sponsorisé par l’ANS – Agence du numérique en santé) Page d’information sur la certification ISO/IEC 27001 https://certification.afnor.org/numerique/certification-iso-27001 Page d’information sur l’initiation gratuite à la cybersécurité financée par BPI France (Banque publique d’investissement) |
