La norme ISO 27002 : Une norme internationale au service du management de la sécurité de l’information

L’ISO/CEI 27002 est un ensemble de mesures dites « best practices » (bonnes pratiques en français), destiné à être utilisé par tous les responsables de la mise en place ou du maintien d’un Système de Management de la Sécurité de l’Information.

Une nouvelle version de la norme ISO 27002, publiée en Février 2022, implique la prise en compte de nouvelles exigences en matière de conformité Cybersécurité.

 

Les principales nouveautés de cette évolution

Cette nouvelle version implique l’ajout de définitions et d’abréviations, prend en compte les évolutions technologiques, et utilise un vocabulaire technique plus adapté.

Tout d’abord, la structure globale de la norme a été modifiée. En effet, le texte s’articule désormais autour de 4 thèmes au lieu des 14 catégories existantes auparavant.

Les 4 nouveaux thèmes sont :

  • Mesures organisationnelles
  • Mesures liées aux personnes
  • Contrôles physiques
  • Mesures technologiques

Aussi, on compte désormais 93 mesures au lieu des 114 initiales : 19 mesures fusionnées, 1 mesure supprimée, et 11 nouvelles mesures. Chaque mesure est exposée selon le même format : description, finalité, modalités d’application, compléments d’information.

La notion « d’attribut » fait également son apparition. Le principe ainsi introduit est de pouvoir appliquer des filtres par attribut afin de faciliter la proposition de mesures à l’issue de l’analyse de risque.

Quant au volume du document, celui-ci double presque en passant de 80 à 147 pages.

 

De nouvelles mesures pour des Systèmes d’Information plus sûr

Parmi les nouvelles mesures de la norme ISO 27002 on retrouve les suivantes :

  • Threat intelligence : Des activités de veille, de collecte d’informations et d’analyse des menaces émergeantes doivent être réalisées.
  • ICT readiness for business continuity : Un Plan de Continuité Informatique doit être développé, déployé, maintenu, testé et amélioré.
  • Physical security monitoring: Les locaux doivent être surveillés en permanence pour détecter tout accès physique non autorisé.
  • Configuration management: Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, contrôlées et revues.
  • Information deletion : Les informations stockées dans les systèmes et dispositifs d’information doivent être supprimées lorsqu’elles ne sont plus nécessaires
  • Web filtering : L’accès, pour les salariés, aux sites Web externes doit être géré afin de réduire l’exposition aux contenus malveillants

 

>>> Pour en savoir plus sur l’évolution de la norme ISO 27002 et sur l’accompagnement FIDENS, cliquez ici.