En 2022, ISO 27001 a été mis à jour ainsi que sa norme d'orientation complémentaire ISO 27002. À partir d'avril 2024, les organisations poursuivant une première certification ISO 27001 devront être certifiées sur la version 2022. Les organisations déjà certifiées doivent passer à cette dernière version d'ici le 31 octobre 2025.

Pour assurer un parcours de conformité ou une période de transition en douceur, vous devez comprendre les modifications apportées aux exigences ISO 27001 et aux contrôles de l'Annexe A d'ISO 27002. Nous couvrirons ces mises à jour majeures ci-dessous.

Qu'est-ce qui a changé avec ISO 27001:2022?

Voici les principaux changements trouvés dans la dernière version de l'ISO 27001.

Mises à jour éditoriales dans les Clauses 4-10 du SGSI

Dans l'ensemble, les mises à jour des Clauses 4-10 du SGSI comprennent des modifications mineures de formulation et de structure.

Par exemple, les modifications de la Clause 6 : Planification suppriment les ambiguïtés et le langage obsolète (c'est-à-dire les objectifs de contrôle). La Clause 4.4, une exigence existante pour établir, mettre en œuvre, maintenir et améliorer continuellement votre SGSI, inclut désormais la phrase « y compris les processus nécessaires et leurs interactions ».

En termes de changements structurels, la Clause 9.2 : Audit interne a été scindée en 9.2.1 : Général et 9.2.2 : Programme d'audit interne. Cependant, les exigences restent les mêmes.

De même, la Clause 9.3 : Revue de direction a été divisée en trois sous-sections — 9.3.1 : Général, 9.3.2 : Entrées de la revue de direction et 9.3.3 : Résultats de la revue de direction.

Introduction de la Clause 6.3

La version 2022 a également introduit une nouvelle sous-clause. La Clause 6.3 : Planification des changements exige que tout changement au SGSI soit effectué de manière planifiée. L'objectif de cette sous-clause est de s'assurer que les organisations considèrent la finalité de tout changement apporté à leur SGSI, les conséquences potentielles, l'impact sur le SGSI, la disponibilité des ressources et l'allocation ou la réallocation des responsabilités et des autorités, entre autres facteurs.

Mise à jour des contrôles de l'Annexe A

Le principal changement dans l'ISO 27001:2022 dont les organisations doivent être conscientes est la mise à jour officielle des contrôles de l'Annexe A. Cela sera discuté dans la section ci-dessous.

Qu'est-ce qui a changé avec ISO 27002:2022?

Voici les principaux changements trouvés dans la dernière version de l'ISO 27002.

Réduction du nombre de contrôles

Le changement majeur apporté à l'ISO 27002 (et donc à l'ISO 27001) est que le nombre total de contrôles de l'Annexe A a été réduit de 114 à 93. Cependant, aucun des contrôles précédents n'a été supprimé. 57 ont simplement été fusionnés en 24 contrôles. 11 contrôles ont été ajoutés. 1 a été scindé. Les 58 contrôles restants sont pour la plupart inchangés, avec des mises à jour contextuelles mineures.

11 nouveaux contrôles

Certains contrôles sont tout nouveaux dans la version 2022, ce qui signifie qu'ils ne se trouvent pas dans l'ISO/IEC 27001:2013.

Les 11 nouveaux contrôles ajoutés à l'Annexe A comprennent :

Réduction des domaines de contrôle de l'Annexe A

Dans la version précédente, les contrôles de l'Annexe A étaient divisés en 14 domaines. Dans la version 2022, ceux-ci ont été consolidés et réorganisés en 4 clauses appelées thèmes. Il s'agit de :

• Clause 5 : Contrôles organisationnels (37 contrôles)
• Clause 6 : Contrôles des personnes (8 contrôles)
• Clause 7 : Contrôles physiques (14 contrôles)
• Clause 8 : Contrôles technologiques (34 contrôles)

Attributs introduits

L'ISO 27002 a introduit une taxonomie plus simple pour les contrôles de l'ISO 27001. Cependant, les quatre catégories mentionnées ci-dessus sont des descriptifs si larges qu'il peut être difficile de savoir comment vous utilisez les contrôles dans chaque catégorie et si vous devez tous les mettre en œuvre.

Pour répondre à ce défi, l'ISO 27002:2022 a également introduit des attributs associés. Ceux-ci offrent différents angles pour visualiser les contrôles afin que vous puissiez mieux comprendre lesquels vous devez mettre en œuvre et comment vous les utilisez tout au long de votre processus d'évaluation et de traitement des risques.

L'ISO 27002:2022 définit les cinq attributs suivants qui sont censés être suffisamment génériques pour être utilisés par toute organisation. Ces attributs sont également personnalisables afin que vous puissiez utiliser les vôtres.

1. Types de contrôles

Quand et comment le contrôle impacte-t-il le résultat du risque lors d'un incident de sécurité de l'information ?

Les valeurs possibles pour l'attribut sont

• Préventif : le contrôle agit avant qu'une menace ne se produise
• Détectif : le contrôle agit lorsqu'une menace se produit
• Correctif : le contrôle agit après qu'une menace se soit produite

2. Propriétés de la sécurité de l'information

Quelle caractéristique de l'information le contrôle aidera-t-il à préserver ?

Les valeurs possibles pour l'attribut sont :

• Confidentialité
• Intégrité
• Disponibilité

3. Propriétés de la cybersécurité

Quel concept de cybersécurité défini dans le cadre décrit dans l'ISO/IEC TS 27110 est associé au contrôle ?

Les valeurs possibles pour l'attribut sont :

• Identifier
• Protéger
• Détecter
• Réagir
• Récupérer

4. Capacités opérationnelles

À quelles capacités opérationnelles le contrôle est-il associé ? Ou, à quel département ce contrôle ou risque doit-il être attribué ?

Les valeurs possibles pour l'attribut incluent mais ne se limitent pas à :

• Sécurité des applications
• Gestion des actifs
• Gouvernance
• Protection de l'information
• Sécurité des ressources humaines
• Gestion des identités et des accès
• Gestion des événements de sécurité de l'information
• Sécurité physique
• Configuration sécurisée

5. Domaines de sécurité

À quel domaine de sécurité, expertise, service et/ou produit le contrôle est-il associé ?

Les valeurs possibles pour l'attribut sont :

• Gouvernance et écosystème
• Protection
• Défense
• Résilience

Que signifient ces changements pour les organisations déjà certifiées ISO 27001 ?

Les organisations actuellement certifiées ISO 27001:2013 auront trois ans pour passer à l'ISO/IEC 27001:2022. La période de transition commence le 31 octobre 2022 et se termine le 31 octobre 2025. Les certifications basées sur l'ISO 27001:2013 expireront ou seront retirées à la fin de la période de transition.

Les audits de transition peuvent être effectués en même temps que le prochain audit (par exemple, audit de recertification et audit de transition) ou séparément.

Que signifient ces changements pour les organisations qui cherchent à obtenir la certification ISO 27001 pour la première fois ?

Les organisations visant la certification ISO 27001 pour la première fois (audits de la phase 1 et de la phase 2) peuvent encore être certifiées sur la version 27001:2013 jusqu'en avril 2024. Les audits de transition peuvent être effectués en même temps que votre prochain audit (par exemple, audit de surveillance et audit de transition) ou séparément.

Comment Secureframe simplifie la conformité ISO 27001

Que vous poursuiviez pour la première fois la conformité ISO 27001 ou que vous ayez simplement besoin d'un moyen plus simple pour maintenir la certification, Secureframe peut vous aider. Nous travaillerons avec vous pour concevoir un SGSI qui soit aligné avec les normes ISO 27001 et les besoins de votre organisation, vous aiderons à être rapidement prêt pour l'audit, et surveillerons votre pile technologique pour assurer une conformité continue.

Pour en savoir plus, planifiez une démo de Secureframe aujourd'hui.