Blog

Norme ISO 27001 : 2022 | Mises à jour et impacts sur votre entreprise 

Featured Image

Après neuf ans d’existence, la certification la plus utilisée en matière de sécurité de l’information, ISO 27001, a été mise à jour. Quelles sont les nouveautés et quel impact sur votre entreprise ?   

En octobre 2005, l’Organisation internationale de normalisation (ISO) a publié son premier cadre, la norme 27001, qui définit les bases de la cybersécurité pour les entreprises. Si elles respectent, mettent en œuvre et attestent de leur conformité, les entreprises qui suivent les normes peuvent obtenir une certification tout en renforçant leur sécurité numérique.  

La norme ISO 27001 a été mise à jour en 2013 et, avec beaucoup d’anticipation, l’organisation conjointe a publié sa première mise à jour du cadre en neuf ans.   

“À mon avis, ces mises à jour sont attendues depuis longtemps”, a déclaré Kevin Liu, Director of Information Security chez OneTrust. “La norme ISO : 27001:2013 était un bon point de départ, mais elle est datée et n’aborde pas les risques clés auxquels nous sommes confrontés aujourd’hui avec le fonctionnement dans le Cloud. Les nouvelles sections : La sécurité de l’information pour les services Cloud, la préparation des TIC pour la continuité des activités, la gestion de la configuration, la suppression des informations, etc. sont de bonnes exigences pour aider OneTrust à améliorer sa posture de sécurité. Je pense que la plupart des organisations matures, y compris OneTrust, appliquent déjà ces nouvelles exigences. Nous devrons évaluer et mettre à jour notre inventaire de contrôle pour nous aligner sur la norme ISO 27001 : 2022. En outre, nous devrons peut-être mettre à jour les documents de procédure et de processus pour soutenir la norme ISO 27001 : 2022.

 

Quelles sont les mises à jour de l’ISO 27001 ?  

Le nombre de contrôles annexes est passé de 114 à 93 et de 14 sections à 4. Cette diminution n’est pas due à des suppressions, mais plutôt à des fusions. Des changements mineurs ont également été apportés aux articles 4 à 10.   

Voici un aperçu de ces changements :  

Clauses 4 à 10 – Changements mineurs dans les clauses ci-dessous : 

Clauses modifiées :  

– Clause 4.2, 4.3 et 4.4 (pas de véritable changement – des modifications ont été ajoutées pour clarifier certaines exigences)  

– Clause 6.1.3 et 6.2 (exigence modifiée) et clause 7.4 (exigence modifiée)  

– Clause 8.1 (modifications de clarification)  

– Clause 9.1 (modifications de clarification)  

– Le paragraphe 10.1 est désormais consacré à l’amélioration continue et le paragraphe 10.2 aux non-conformités et aux actions correctives (il s’agit d’une simple permutation entre deux paragraphes).   

Nouvelles clauses  

– Clause 6.3 (nouvelle clause) – lorsque des modifications sont apportées au SGSI, elles doivent être planifiées.  

Clauses divisées en sous clauses  

– La clause 9.2 est divisée en 9.2.1 et 9.2.2.  

– La clause 9.3 est divisée en 9.3.1, 9.3.2 et 9.3.3.  

Contrôles de l’annexe :  

– La nouvelle version compte 93 contrôles au lieu de 114  

– 57 contrôles précédents ont été fusionnés en 24  

– 23 contrôles ont été renommés  

– 35 sont inchangés mais le numéro de contrôle a changé  

– 11 nouveaux contrôles ajoutés  

– 1 contrôle divisé en 2  

Domaines :  

– 14 domaines ont été réduits à 4 domaines pour une meilleure catégorisation, dont :  

– 37 domaines organisationnels   

– 34 Technologiques  

– 14 Physiques  

– 8 personnes  

Attributs :  

– Rédigés en hashtags pour faciliter la recherche  

– 5 attributs au total  

– Chaque contrôle est associé à ces attributs  

“La mise à jour de l’ISO est une bonne occasion pour les RSSI de revoir les contrôles de sécurité de l’information et de gestion des risques dans l’ensemble de leur entreprise”, a déclaré Justin Henkel, VP of Security chez OneTrust. “La mise à jour des risques et des contrôles associés de l’ISO permet de mieux aligner le cadre sur l’environnement actuel des menaces opérationnelles et les stratégies d’atténuation. Les organisations qui cherchent à mettre à niveau leur système de gestion de la sécurité de l’information (SGSI) devraient se tourner vers l’ISO pour améliorer leur posture de sécurité.”  

Quelles sont les prochaines étapes pour votre entreprise ?  

Si votre entreprise suit la norme ISO 27001, elle devra également mettre à jour ses processus pour rester certifiée. Les entreprises certifiées disposeront d’une période de transition de deux ans pour réviser leur système de gestion afin de se conformer à la nouvelle version de la norme. Les entreprises qui travaillent actuellement à l’obtention de la certification doivent continuer à le faire et à mettre en œuvre un SGSI.   

Au-delà d’une simple liste de contrôle pour votre analyse et vos mesures correctives internes, jetez un œil aux étapes nécessaires à la technologie et à l’automatisation pour améliorer la capacité de votre entreprise à mettre en œuvre les meilleures pratiques :   

– Connectez votre écosystème informatique : Inventoriez et mettez en relation les actifs, les risques et les contrôles, et intégrez-les aux systèmes adjacents aux risques.    

– Mesurez le risque : Quantifiez les risques grâce à des évaluations de risques rationalisées et améliorées par l’IA.    

– Remédier aux risques : Accélérez et gérez les plans de traitement des risques grâce à l’automatisation des workflows.    

– Suivre la performance des contrôles : Facilitez les auto-évaluations et la surveillance continue des contrôles.    

– Visualisation et reporting : Informez la prise de décision avec des rapports basés sur les rôles pour les cadres, les gestionnaires de risques et les propriétaires de risques.    

Apprenez-en plus sur la construction de votre système de management de la sécurité de l’information  et comment OneTrust peut vous aider en demandant une démonstration gratuite de notre plateforme GRC & Security Assurance Cloud !  

Onetrust All Rights Reserved