« La cybersécurité doit faire partie de la routine des employés.
C’est comme commencer à aller [à la] gym, il faut que
ça entre dans le quotidien. »
Éric Tessier, président de Groupe CIS
Avec l’augmentation de l’utilisation des technologies de l’information et de la communication dans les entreprises, la sécurité des systèmes d’information est devenue une préoccupation majeure pour de nombreuses organisations. Les risques liés à la sécurité de l’information sont de plus en plus nombreux, et les organisations doivent prendre des mesures pour protéger leurs systèmes, leurs données et leurs actifs contre ces menaces.
La mise en place d’un système de gestion de la sécurité de l’information (SMSI) est une approche systématique pour gérer ces risques et protéger les systèmes d’informations. Les normes ISO 27001 et ISO 27002 fournissent un cadre pour la mise en place d’un SMSI et établissent les bonnes pratiques de sécurité. La norme ISO 27001 fournit une approche pragmatique de la gestion de la sécurité de l’information et s’appuie sur le référentiel ISO 27002 pour fournir des recommandations sur le choix et l’implémentation des différentes mesures de sécurité.
Le succès des normes ISO est largement constaté en France et à l’échelle international depuis plusieurs années. Les chiffres le confirment, dans une étude menée par ISO on trouve que les certifications ISO 27001 ont augmenté de 19 % dans le monde et de 44 % en France entre 2020 et 2021.
En réponse à la mutation et l’évolution mondiale du numérique, les normes ISO 27001 et ISO 27002 ont été mises à jour en 2022. Ces mises à jour fournissent des contrôles plus robustes afin que les entreprises gèrent mieux les risques de sécurité.
La norme ISO 27001:2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information
Des modifications rédactionnelles ont été apportées en plus de quelques changements pour s’aligner sur l’approche harmonisée de l’ISO (réorganisation de la numérotation, planification des changements, obligation de définition des processus du SMSI avec leurs interactions, exigence de communication de l’organisation, etc.)
Les principaux changements se trouvent dans l’annexe A :
- Restructuration des domaines/chapitres clés : 4 au lieu de 14 dans l’édition précédente (Organisationnel, Personnel, Physique et Technologique).
- Réduction de la liste des contrôles : 93 au lieu de 114, certains sont fusionnés, d’autres sont supprimés et de nouveaux contrôles sont introduits.
- Introduction du nouveau concept d’attribut : 5 attributs ont été introduits pour faciliter l’appropriation de la norme (Type de contrôle, propriétés de sécurité de l’information, concepts de cybersécurité, capacités opérationnelles et domaines de sécurité)
La norme ISO 27002:2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information
La mise à jour de cette norme permet de la simplifier et faciliter son utilisation. Elle reflète les différents changements apportés à la norme ISO 27001 :2022. Avec la même structuration que la norme ISO 27001 (les mesures organisationnelles, les mesures liées aux personnes, les mesures physiques et les mesures technologiques), elle fournit un ensemble de référence de contrôles génériques de sécurité de l’information et des conseils sur leur mise en œuvre.
L’impact de ces nouvelles versions des normes ISO 27001 et ISO 27002 sur les entreprises est significatif. Les entreprises qui utilisent ces normes devront mettre à jour leurs systèmes de gestion de la sécurité de l’information pour se conformer aux nouvelles exigences.
Commentaires récents