Qu'est-ce que l'ISO 27001:2022 ?

Aperçu

L'ISO 27001:2022 est la norme internationale actuelle qui spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la maintenance et à l'amélioration continue d'un Système de Management de la Sécurité de l'Information (SMSI). Publiée en octobre 2022, elle a remplacé l'ISO 27001:2013 et fournit un cadre reconnu mondialement pour permettre aux organisations de gérer systématiquement les risques liés à la sécurité de l'information.

Ce que cela signifie en pratique

L'ISO 27001:2022 est à la fois un ensemble d'exigences que votre organisation doit respecter et une certification que vous pouvez obtenir auprès d'un auditeur tiers accrédité. Considérez-la comme les « règles du jeu » de la gestion de la sécurité de l'information : elle vous indique ce que vous devez faire, tout en vous laissant une certaine flexibilité sur la manière de le faire en fonction de votre contexte.

Principaux changements par rapport à l'ISO 27001:2013

Restructuration des mesures de l'Annexe A

Le changement le plus significatif a été une réorganisation complète des mesures (contrôles) de sécurité :

• Version 2013 : 114 mesures réparties en 14 domaines

• Version 2022 : 93 mesures réparties en 4 thèmes (Organisationnel, Personnes, Physique, Technologique)

• Résultat : 11 nouvelles mesures ajoutées, 24 mesures fusionnées, structure simplifiée

Nouvelles mesures traitant des menaces modernes

L'ISO 27001:2022 a introduit des mesures pour répondre aux défis de sécurité actuels :

• A.5.7 Renseignement sur les menaces - Surveillance et réponse aux menaces émergentes

• A.5.23 Sécurité de l'information pour l'utilisation des services en nuage - Gestion de la sécurité dans le cloud

• A.8.9 Gestion des configurations - Contrôle des configurations de sécurité

• A.8.10 Suppression d'informations - Procédures d'élimination sécurisée des données

• A.8.11 Masquage de données - Protection des données sensibles dans les environnements hors production

• A.8.12 Prévention des fuites de données - Détection et prévention des transferts de données non autorisés

• A.8.16 Activités de surveillance - Détection des comportements anormaux

• A.8.23 Filtrage Web - Contrôle de l'accès au web

• A.8.28 Codage sécurisé - Intégration de la sécurité dans le développement de logiciels

Alignement avec l'ISO 27002:2022

Les attributs de contrôle dans l'ISO 27002:2022 (le guide de mise en œuvre compagnon) incluent désormais des propriétés telles que le type de mesure, les domaines de sécurité et les capacités opérationnelles, facilitant ainsi la mise en correspondance des mesures avec des cas d'utilisation spécifiques.

Structure de l'ISO 27001:2022

Articles 1 à 3 : Introduction et domaine d'application

Définit l'objet de la norme, son applicabilité et référence les normes connexes comme l'ISO 27000 pour la terminologie.

Article 4 : Contexte de l'organisation

Nécessite de comprendre le contexte de votre organisation, les parties intéressées (parties prenantes) et de déterminer le périmètre du SMSI. Vous devez identifier les enjeux internes et externes affectant la sécurité de l'information.

Article 5 : Leadership

La haute direction doit faire preuve de leadership et d'engagement en établissant une politique de sécurité, en attribuant les rôles et responsabilités, et en assurant l'intégration du SMSI dans les processus métiers.

Article 6 : Planification

Exige des processus d'appréciation et de traitement des risques, définissant comment vous identifierez les risques, les évaluerez et sélectionnerez les mesures pour y répondre. Vous devez également établir des objectifs de sécurité de l'information mesurables.

Article 7 : Support

Couvre les ressources, les compétences, la sensibilisation, la communication et les informations documentées. Vous devez garantir des ressources adéquates, former le personnel, sensibiliser à la sécurité et créer la documentation requise.

Article 8 : Fonctionnement

Mettre en œuvre et exploiter les processus planifiés, y compris l'appréciation des risques, le traitement des risques et les mesures de sécurité opérationnelles.

Article 9 : Évaluation des performances

Surveiller, mesurer, analyser et évaluer les performances de sécurité par le biais d'audits internes et de revues de direction. Vérifiez si vous atteignez vos objectifs.

Article 10 : Amélioration

Traiter les non-conformités par des actions correctives et améliorer continuellement l'efficacité du SMSI.

Annexe A : Mesures de sécurité

Liste 93 mesures de sécurité réparties en quatre thèmes que les organisations sélectionnent en fonction des résultats de l'appréciation des risques. C'est le « menu » de mise en œuvre pour traiter les risques identifiés.

Les quatre thèmes de mesures de l'Annexe A

Mesures organisationnelles (37 mesures, A.5.1-A.5.37)

Gouvernance, politiques, gestion des risques, gestion des actifs, contrôle d'accès, gestion des fournisseurs, gestion des incidents, continuité des activités et conformité. Ce sont des mesures de niveau direction définissant le fonctionnement de l'organisation.

Mesures relatives aux personnes (8 mesures, A.6.1-A.6.8)

Sélection des employés, conditions d'emploi, formation à la sécurité, processus disciplinaire, procédures de fin de contrat, accords de confidentialité (NDA), télétravail et signalisation des incidents. Ces mesures gèrent les risques liés au facteur humain.

Mesures physiques (14 mesures, A.7.1-A.7.14)

Sécurité des locaux, contrôle de l'accès physique, protection des équipements, protection environnementale (énergie, climat), sécurité du câblage, élimination sécurisée, politiques de bureau propre, retrait d'actifs, supports de stockage, services généraux, maintenance et surveillance. Elles protègent l'environnement physique.

Mesures techniques (34 mesures, A.8.1-A.8.34)

Sécurité des terminaux, accès privilégiés, restriction de l'accès aux informations, accès au code source, authentification, gestion de la capacité, protection contre les logiciels malveillants, journalisation, surveillance, synchronisation des horloges, sécurité des réseaux, chiffrement, sécurité du développement, gestion des changements, tests, gestion des vulnérabilités, etc. Ce sont des contrôles techniques et informatiques.

Exigences obligatoires contre facultatives

Exigences obligatoires (Articles 4 à 10)

Toute organisation cherchant la certification doit mettre en œuvre toutes les exigences des articles 4 à 10. Celles-ci ne sont pas négociables et incluent :

• Définir le périmètre du SMSI

• Mener des appréciations des risques

• Créer une Déclaration d'Applicabilité

• Documenter la politique de sécurité

• Réaliser des audits internes

• Tenir des revues de direction

• Gérer les non-conformités

Sélection des mesures basée sur les risques (Annexe A)

Les mesures de l'Annexe A sont sélectionnées en fonction de votre appréciation des risques. Vous pouvez exclure des mesures si elles ne sont pas pertinentes pour vos risques, mais vous devez justifier ces exclusions dans votre Déclaration d'Applicabilité.

Comment fonctionne la certification

Étape 1 : Revue documentaire

L'auditeur examine la documentation de votre SMSI, notamment le périmètre, les politiques, l'appréciation des risques, la Déclaration d'Applicabilité et les procédures. Il vérifie que vous avez traité toutes les exigences obligatoires et documenté les mesures appropriées.

Étape 2 : Vérification de la mise en œuvre

Audit sur site ou à distance où les auditeurs interrogent le personnel, examinent les preuves, testent les mesures et vérifient que votre SMSI fonctionne comme documenté. Ils effectueront des échantillonnages sur tous les thèmes de mesures et domaines organisationnels inclus dans le périmètre.

Décision de certification

Si aucune non-conformité majeure n'est constatée, l'organisme de certification délivre un certificat valable trois ans. Les non-conformités mineures doivent être corrigées dans les délais convenus.

Audits de surveillance

Des audits de suivi annuels vérifient la conformité continue et l'amélioration. Ils sont plus courts que l'audit de certification initial mais échantillonnent différents domaines.

Recertification

Tous les trois ans, un audit complet de recertification similaire à l'étape 2 renouvelle votre certificat pour un nouveau cycle de trois ans.

Qui devrait viser la certification ISO 27001 ?

Secteurs réglementés

Les services financiers, la santé, les télécommunications et les infrastructures critiques font souvent face à des exigences réglementaires que l'ISO 27001 aide à satisfaire (RGPD, NIS2, DORA, PCI DSS).

Prestataires de services B2B

Les éditeurs SaaS, les fournisseurs de cloud, les infogéreurs (MSP) et les prestataires d'externalisation de processus métiers utilisent la certification pour démontrer leur maturité en sécurité à leurs clients grands comptes.

Fournisseurs de l'État

Les marchés publics exigent ou favorisent de plus en plus la certification ISO 27001 comme preuve de capacité en matière de sécurité.

Organisations manipulant des données sensibles

Toute entreprise traitant des données personnelles, de la propriété intellectuelle ou des informations confidentielles bénéficie d'une gestion systématique des risques.

Entreprises cherchant un avantage concurrentiel

Dans les appels d'offres compétitifs, la certification ISO 27001 différencie les fournisseurs et peut être un facteur décisif.

ISO 27001 vs autres cadres de sécurité

SOC 2

Le SOC 2 est une attestation nord-américaine axée sur les organisations de services. L'ISO 27001 a un périmètre plus large et est reconnue mondialement. De nombreuses organisations visent les deux.

Cadre de cybersécurité du NIST

Le NIST CSF est un guide, pas une norme certifiable. L'ISO 27001 permet la certification. Les cadres sont compatibles et les organisations font souvent correspondre les deux (mapping).

PCI DSS

Le PCI DSS est spécifique aux données de cartes de paiement. L'ISO 27001 traite de l'ensemble de la sécurité de l'information. De nombreuses exigences du PCI DSS chevauchent les mesures de l'ISO 27001.

RGPD

Le RGPD est une obligation légale pour la protection des données. L'ISO 27001 aide à démontrer la conformité au RGPD via les mesures de sécurité (Article 32) et les mesures de responsabilité (accountability).

Avantages de l'adoption de l'ISO 27001:2022

Réduction des incidents de sécurité

L'identification systématique des risques et la mise en œuvre de mesures réduisent de manière mesurable la probabilité et l'impact des violations.

Conformité réglementaire

De nombreuses mesures ISO 27001 répondent directement au RGPD, à NIS2, à DORA et aux réglementations sectorielles, allégeant ainsi la charge de conformité.

Confiance des clients

La certification indépendante offre une assurance aux clients, en particulier lors des phases de passation de marchés et de négociations contractuelles.

Efficacité opérationnelle

Des processus documentés, des responsabilités claires et une amélioration systématique réduisent les erreurs et les retouches.

Assurance et responsabilité

Certains assureurs en cyber-risques offrent de meilleures conditions aux organisations certifiées, reconnaissant ainsi le risque réduit.

Résilience de l'entreprise

Les mesures de réponse aux incidents et de continuité des activités garantissent une récupération plus rapide après des événements de sécurité ou des perturbations.

Délais et coûts de mise en œuvre

Délai type de mise en œuvre

• Petite organisation (10-50 employés) : 6 à 9 mois

• Organisation moyenne (50-250 employés) : 9 à 12 mois

• Grande organisation (250+ employés) : 12 à 18 mois

Facteurs de coût

• Ressources internes : Chef de projet, équipe SMSI, experts métier

• Soutien externe : Consultants (de 10 k$ à plus de 100 k$ selon le périmètre et la taille de l'organisation)

• Outils : Plateformes GRC, outils de sécurité, systèmes de documentation

• Audit de certification : De 5 k$ à plus de 50 k$ pour les audits d'étape 1 et d'étape 2

• Surveillance annuelle : De 2 k$ à plus de 15 k$ par an

• Mise en œuvre des mesures : Variable selon la maturité de sécurité existante et les mesures requises

Défis courants de mise en œuvre

Définition du périmètre

Les organisations ont du mal à définir un périmètre de SMSI approprié : trop étroit, il oublie des risques ; trop large, il devient ingérable. Le périmètre doit couvrir les actifs informationnels critiques et les interfaces avec les tiers.

Méthodologie d'appréciation des risques

Développer une approche d'appréciation des risques à la fois conforme et pratique nécessite un équilibre entre rigueur et pragmatisme. Des méthodologies trop complexes freinent la mise en œuvre.

Collecte de preuves

Les auditeurs ont besoin de preuves que les mesures fonctionnent efficacement. Les organisations mettent souvent en œuvre des mesures mais ne parviennent pas à collecter systématiquement les preuves de leur fonctionnement.

Maintenir la dynamique

La mise en œuvre d'un SMSI nécessite un effort soutenu sur plusieurs mois. L'enthousiasme initial s'essouffle sans un soutien visible de la direction et des victoires rapides.

Concepts associés

• Système de Management de la Sécurité de l'Information (SMSI) - Le système défini par l'ISO 27001

• Mesures de l'Annexe A - Les 93 mesures de sécurité de l'ISO 27001:2022

• Déclaration d'Applicabilité - Document listant les mesures que vous mettez en œuvre

• Appréciation des risques - Processus d'identification des risques de sécurité

• Comment débuter la mise en œuvre de l'ISO 27001 avec l'IA

Obtenir de l'aide

Prêt à mettre en œuvre l'ISO 27001:2022 ? Utilisez ISMS Copilot pour accélérer votre mise en œuvre grâce à des appréciations des risques assistées par IA, la génération de politiques et des analyses d'écarts adaptées à la version 2022.