Le paysage de la sécurité, de la confidentialité et de la conformité évolue constamment, tout comme les cadres conçus pour protéger les organisations et leurs clients contre les menaces. ISO 27001 et sa norme complémentaire ISO 27002 ont récemment été mises à jour pour 2022, avec des modifications structurelles des clauses et de nouveaux contrôles ajoutés à Annexe A.

Lors de notre Webinaire Secureframe | Informations d'experts tenu le mardi 29 novembre, l'expert en conformité Cavan Leung a expliqué les principales modifications apportées au cadre et à ses contrôles.

Si vous l'avez manqué, regardez la vidéo en replay à la demande. Nous récapitulons également ci-dessous ses observations et ses conseils d'experts pour maintenir votre organisation conforme à ISO 27001:2022.

Un bref aperçu d'ISO 27001

Avant de plonger dans les dernières mises à jour du cadre, il est important de comprendre ce qu'est ISO 27001 et les avantages de la certification.

ISO 27001 est une norme reconnue internationalement qui aide les organisations à établir, maintenir et améliorer continuellement leur posture de sécurité de l'information. Elle se concentre sur une combinaison de personnes, processus, technologies et contrôles pour établir ce que l'ISO appelle un système de gestion de la sécurité de l'information (SGSI).

La certification ISO 27001 offre plusieurs avantages. En tant que norme reconnue internationalement, ISO 27001 est respectée par les organisations du monde entier. Obtenir la certification avec la norme établit une confiance plus profonde avec les prospects, les clients, les partenaires et les investisseurs. Et parce que la norme est adaptable à différents types d'organisations, elle peut permettre et soutenir les entreprises à mesure qu'elles se développent.

ISO 27001 comporte deux domaines principaux :

• Les clauses 4-10 du SGSI : Cet aspect de la norme décrit les exigences pour établir des processus et des contrôles de sécurité de l'information afin d'améliorer continuellement votre posture de sécurité de l'information
• Contrôles de l'Annexe A : Contrôles de sécurité de l'information que les organisations peuvent mettre en œuvre pour minimiser les risques.

Les organisations doivent subir une série d'audits de certification externes pour être certifiées. Le processus implique une série d'audits :

• Année 1 : Audits de certification initiaux. Après des audits réussis de la phase 1 et de la phase 2, l'organisation est certifiée ISO 27001. La certification est valable trois ans.
• Années 2 et 3 : Des audits de surveillance sont réalisés pour examiner les clauses 4-10 et un échantillon des contrôles de l'Annexe A
• Année 4 : Un audit de recertification évalue les clauses 4-10 et tous les contrôles de l'Annexe A. L'organisation est recertifiée, valable pour trois ans supplémentaires.

Alors, qu'est-ce que l'ISO 27002 ?

ISO 27002 est une norme complémentaire qui fournit des conseils sur la manière de mettre en œuvre les contrôles de sécurité de l'information, qui sont répertoriés dans l'Annexe A d'ISO 27001. En d'autres termes, ISO 27002 est simplement une information sur un contrôle, son fonctionnement et comment il pourrait être mis en œuvre, mais il ne vous dit pas si cela s'applique à votre entreprise.

C'est pourquoi vous pouvez obtenir une certification ISO 27001, mais pas une certification ISO 27002, car ce n'est pas une norme de gestion qui fournit une liste complète des exigences de conformité. ISO 27001 exige que les entreprises réalisent en fait une évaluation des risques pour identifier les risques, quels contrôles sont nécessaires pour atténuer le risque et comment il doit être mis en œuvre.

Résumé des changements apportés à ISO 27001:2022 et ISO 27002:2022

ISO 27001:2022 a été officiellement publié en octobre 2022 et a introduit des modifications mineures de formulation et de structure aux clauses 4 à 10 de l'ISMS. Les changements majeurs des contrôles de l'Annexe A se reflètent dans ISO 27002:2022.

Les mises à jour du document ISO 27002 ont été publiées officiellement en février 2022. Dans les versions précédentes, les contrôles de l'Annexe A étaient segmentés en quatorze domaines de contrôle : Annexe A.5 à Annexe A.18. Dans la version 2022, ces 14 domaines ont été consolidés en 4 catégories principales :

• Organisationnel
• Humain
• Physique
• Technologique

Ces changements simplifient la structure de l'ISO 27002 et rendent le document plus intuitif pour les organisations.

Le nombre total de contrôles a été réduit de 114 à 93. Parmi ces 93 contrôles, 58 contrôles restent les mêmes avec des changements contextuels mineurs. Vingt-quatre contrôles ont été consolidés et 11 nouveaux contrôles ont été introduits.

Comment ces changements affectent-ils la certification ISO 27001 ?

Les organisations qui sont déjà certifiées ISO 27001 disposent de trois ans, à compter de la date de publication de ISO 27001:2022, pour passer à la nouvelle norme. En d'autres termes, pour ces organisations, les certificats ISO 27001:2013 expireront ou seront retirés à la fin d'octobre 2025. Les audits de transition peuvent être effectués en même temps que votre prochain audit, ou vous pouvez les faire séparément.

Les organisations qui recherchent leur première certification peuvent encore être certifiées selon ISO 27001:2013. Pour ces certificats, ils doivent être rectifiés selon ISO 27001:2022 d'ici octobre 2025, faute de quoi ils risquent de perdre leur statut de certification. Les audits de transition peuvent être effectués en même temps que votre prochain audit, ou vous pouvez les faire séparément.

De plus, les cabinets d'audit ISO devront également être accrédités pour effectuer des audits ISO 27001:2022. Par conséquent, l'organisation, dans le cadre du processus de sélection des auditeurs, doit s'assurer que le cabinet d'audit puisse auditer et, par conséquent, certifier selon la nouvelle version de ISO 27001:2022.

ISO 27001:2022 et ISO 27002:2022: Foire Aux Questions

Lors du webinaire Secureframe Expert Insights sur les changements apportés à l'ISO 27001 et l'ISO 27002, Cavan Leung, CISSP, CISA, CCSK a partagé son expertise avec les participants qui ont posé des questions en direct ou à l'avance. Voici un récapitulatif des questions et réponses.

La plateforme Secureframe reflétera-t-elle les normes ISO 27001:2022 ? 

Oui. Une fois que la solution ISO 27001:2022 sera en ligne sur la plateforme, vous aurez la possibilité de passer à la version 2022 pour ne pas perdre vos progrès réalisés vers la version 2013. Les deux versions seront disponibles sur la plateforme. 

Si nous sommes déjà en cours de certification ISO 27001 aujourd'hui, devons-nous continuer avec l'ISO 27001:2013 ou essayer de passer à l'ISO 27001:2022 ? 

Si vous êtes déjà en cours de certification ISO 27001:2013 ou si vous avez un besoin urgent de certification, continuez avec la version 2013. Cela dit, si vous commencez seulement à établir et mettre en place vos contrôles et processus ISO 27001, je suggère d'examiner la mise en œuvre de la norme ISO 27001:2022. 

Avertissement : Les cabinets d'audit ISO devront obtenir leur accréditation sur la nouvelle version 2022. Ainsi, lors du choix des cabinets d'audit, l'organisation doit s'assurer que les auditeurs sélectionnés peuvent certifier selon l'ISO 27001:2022.

Si je ne me recertifie pas pour l'ISO 27001:2022 d'ici octobre 2025, que se passe-t-il ?

Si vous êtes titulaire d'un certificat existant, il est fort probable que votre certification expire d'ici 2025, car elle est valable trois ans. Lorsque vous vous recertifierez, ce sera selon la norme ISO 27001:2022. 

Si pour une raison quelconque votre ISO 27001:2013 est toujours active en 2025 et que vous n'êtes pas passé à la version 2022, votre organisme de certification retirera votre certificat, le rendant invalide. 

Si notre certificat expire en 2023 après août, pouvons-nous toujours être certifiés selon la version 2013 ?

Techniquement parlant, oui, vous avez jusqu'en octobre 2025. Cependant, je déconseille cela. Cela vous permettra déjà de commencer à mettre en œuvre les changements de 2022 dans votre SGSI et de vous préparer à être certifié selon la version 2022. 

Rejoignez notre prochain webinaire Secureframe | Expert Insights

Nous organisons régulièrement des webinaires Secureframe dans les prochains mois pour aborder les principaux points de douleur en matière de sécurité, de confidentialité et de conformité que nous entendons et les questions que nous recevons de la part des prospects, des clients et des professionnels de la sécurité. Restez à l'affût des détails d'inscription à venir, ou consultez les enregistrements des événements passés si vous les avez manqués.