ISO/IEC 27001:2022 : Quelles sont les nouveautés ?

En octobre 2022 a été publiée la nouvelle version de la norme ISO/IEC 27001:2022. Cette révision de la norme internationale en matière de système de management de la sécurité de l’information (SMSI) est-elle une réussite ?

Cette révision contient aussi bien de petites modifications que de grands changements. Fondamentalement, on peut dire que la norme ISO 27001 vise juste. En particulier parce qu’elle ne modifie pratiquement pas les exigences matérielles d’un SMSI, mais retravaille de manière judicieuse l’annexe A pour répondre à l’état actuel des menaces et aux thèmes tels que le cloud computing, la gestion de la continuité d’activité (Business Continuity Management) et la protection des données.

Avec quatre nouvelles catégories de contrôle, ainsi qu’une épuration des contrôles de sécurité, l’annexe A s’offre une nouvelle jeunesse et gagne en clarté. Les modifications linguistiques répondent au goût du jour et sont même dans certains cas nettement plus tangibles par rapport à la mise en œuvre.

Qu’est-ce que cela signifie pour les entreprises certifiées ?

• Les entreprises bénéficient d’une période transitoire de 3 ans (jusqu’à octobre 2025) pour achever leur transition vers la nouvelle norme ISO 27001:2022.
• La transition peut se dérouler dans le cadre d’un audit de maintien ou de recertification.
• Dès la fin octobre 2023, tous les audits initiaux ou de recertification doivent être réalisés conformément à la nouvelle norme ISO 27001:2022.

1. Modification de titres et adaptations linguistiques

La première modification qui saute aux yeux est la modification du nom du framework, qui est maintenant équivalent à celui de la norme. Le nouveau titre du framework est donc : « Information security, cybersecurity and privacy protection – Information security management systems – Requirements ».

Avec l’introduction des concepts « cybersecurity » (cybersécurité) et « privacy protection » (protection de la vie privée), les cybermenaces actuelles et les dispositions légales en matière de protection des données et de la vie privée sont parfaitement prises en compte.

En outre, d’autres adaptations linguistiques mineures ont été opérées sans incidence sur les exigences spécifiées en matière de SMSI. Il s’agit entre autres :

• Au lieu d’« International Standard », on utilise maintenant le terme « Document »
• La « Comprehensive list of control objectives and information security controls » a été renommée en « List of possible ».
• Le verbe « can » est dorénavant utilisé au lieu de « may ».

2. Structure de la norme ISO 27001:2022

La structure et le chapitre principal de la norme n’ont pas substantiellement changé. Les exigences fondamentales qui pèsent sur le SMSI restent également identiques. En outre, la norme 27001 a été adaptée à l’Harmonized Structure (HS) afin de permettre une structure unifiée pour la planification et la mise en œuvre d’autres systèmes de gestion ISO.

Les modifications substantielles concernent les chapitres suivants :

4.2 Understanding the needs and expectations of interested parties

Définition des exigences que le SMSI doit remplir.

6.2 Information security objectives and planning to achieve

Surveiller et documenter les objectifs de sécurité

6.3 Planning of changes

Les changements du SMSI sont planifiés dans la mise en œuvre

8.1 Operational planning and control

Définition des critères des processus pour le pilotage des processus

3. Annexe A – Actualisation des contrôles de sécurité

Les changements les plus importants ont été opérés dans l’annexe A (en anglais « Annex A ») qui est ainsi harmonisée avec la dernière version de la norme ISO/IEC 27002.

L’annexe A contient maintenant 93 contrôles au lieu de 114. Dans les détails, 11 nouveaux contrôles ont fait leur arrivée, 23 ont été renommés, 57 ont été résumés en 24 contrôles et 35 contrôles restent inchangés. De même, les catégories des contrôles ont été restructurées.

Les 93 contrôles ont été répartis dans les 4 catégories suivantes :

• Organizational controls (37 contrôles)
• People controls (8 contrôles)
• Physical controls (14 contrôles)
• Technological controls (34 contrôles)

Les 11 nouveaux contrôles sont les suivants :

• A 5.7 Threat intelligence
• A 5.23 Information security for use of cloud services
• A 5.30 ICT readiness for business continuity
• A 7.4 Physical security monitoring
• A 8.9 Configuration management
• A 8.10 Information deletion
• A 8.11 Data masking
• A 8.12 Data leakage prevention
• A 8.16 Monitoring activities
• A 8.23 Web filtering
• A 8.28 Secure coding

Découvrez-en plus dès maintenant et préparez-vous au renouvellement de certification grâce à notre formation ISO/IEC 27001 :2022 Transition.