ISO 27002 2022, un avant-gout de la prochaine version de l’ISO 27001.

Table des matières
Partager l'article

L’ISO 27002 vient d’évoluer en version 2022. Elle vise à mieux structurer les contrôles et en réduire le nombre (en les fusionnant) pour faciliter leur allocation et l’évaluation de leur applicabilité. La codification des contrôles s’en trouve complètement révisée. Il s’en suivra une évolution de l’annexe A de l’ISO 27001 qui précisera les exigences à prendre en compte dans votre SMSI. Les organismes de certification appliqueront progressivement ces changements lors des audits. Cette période de transition s’étalera vraisemblablement sur au moins deux ans.

Les fondamentaux de l’ISO sont bien sûr conservés et les exigences des chapitres 4 à 10 sont inchangées.

Quels sont les principaux changements de l’ISO/IEC 27002 : 2022 ?

Réduction et restructuration du nombre de contrôles de 114 à 93 regroupés en 4 sections (au lieu de 14) et deux annexes :

  • Mesures organisationnelles (clause 5)
  • Mesures humaines (clause 6)
  • Mesures physiques (clause 7)
  • Mesures technologiques (clause 8)
  • Annexe A – Utilisation des attributs
  • Annexe B – Correspondance avec ISO/IEC 27002:2013

Intégration de 11 nouveaux contrôles :

  • 5.7 Renseignements sur les menaces
  • 5.23 Sécurité de l’information pour l’utilisation des services en nuage (cloud)
  • 5.30 Préparation des TIC pour la continuité des activités
  • 7.4 Surveillance de la sécurité physique
  • 8.9 Gestion de la configuration
  • 8.10 Suppression d’informations
  • 8.11 Masquage des données
  • 8.12 Prévention des fuites de données
  • 8.16 Activités de surveillance
  • 8.23 Filtrage du Web
  • 8.28 Codage sécurisé

Contrôles fusionnés :

Malgré la réduction du nombre de contrôles, aucun contrôle n’a été supprimé dans la dernière version de la norme ; toutefois, ils ont été fusionnés.

Trois exemples de clauses fusionnées sont présentés ci-dessous :

Les contrôles 5.1.1 Politiques de sécurité de l’information et 5.1.2 Examen des politiques de sécurité de l’information ont été fusionnés dans 5.1 Politiques de sécurité de l’information.

Les contrôles 8.3.1 Gestion des supports amovibles, 8.3.2 Mise au rebut des supports, 8.3.3 Transfert physique des supports, 11.2.5 Sortie des actifs sont fusionnés dans le contrôle 7.10 Supports de stockages.

Les contrôles 11.1.2 Contrôle d’accès physique et 11.1.6 Zones de livraison et de chargement, ont été fusionnés en 7.2 Entrées physiques.

Introduction d’attributs :

Héritée des systèmes d’évaluation des risques, cette annexe propose le classement des contrôles par attribut qui clarifie le mode de traitement du risque concerné à savoir :

Types de contrôle : Préventif, Détection et Correction.

Propriétés de sécurité de l’information : Confidentialité, intégrité et disponibilité

Concepts de cybersécurité : Identifier, protéger, détecter, répondre et récupérer

Capacités opérationnelles : Gouvernance, Gestion des actifs, Protection de l’information, Sécurité des ressources humaines, Sécurité physique, Sécurité des systèmes et des réseaux, Sécurité des applications, Configuration sécurisée, Gestion des identités et des accès, Gestion des menaces et des vulnérabilités, Continuité, Sécurité des relations avec les fournisseurs, Juridique et conformité, Gestion des évènements de sécurité de l’information et Assurance de la sécurité de l’information.

Domaines de sécurité : Gouvernance et écosystème, protection, défense et résilience.

Consultez notre catalogue de formation.

Plusieurs sociétés nous ont déjà fait confiance dans l’accompagnement.

N’attendez pas une crise majeure pour mettre en œuvre les principes de l’ISO 27001. 6TM Partners vous accompagne, n’hésitez pas à nous solliciter.

Partager l'article