Pour atteindre vos objectifs, vous devez choisir le bon auditeur de services. Notre équipe de professionnels expérimentés et dignes de confiance collabore avec les entreprises en vue d’élaborer un programme complet et viable de conformité aux diverses normes de sécurité. Communiquez avec nous dès aujourd’hui pour en savoir plus sur la façon dont nous pouvons vous aider à obtenir votre certification.
Publié le : 10 janvier 2024
Mis à jour le : 10 janvier 2024
Nos collègues de BDO USA ont publié la version originale de cet article le 18 avril 2022. Vous pouvez le lire ci-dessous.
Les menaces à la cybersécurité ne cessent de se multiplier partout dans le monde et pèsent sur toutes les entreprises. L’International Organization for Standardization (« ISO ») a donc établi des normes pour gérer la sécurité de l’information.
Le 15 février 2022, l’ISO a publié une mise à jour de la norme ISO 27002 qui a aussi pour effet de modifier l’annexe A de la norme ISO 27001. L’objectif était d’adapter la norme pour qu’elle tienne compte des dernières technologies et des menaces à la sécurité et de permettre aux entreprises de s’y conformer plus facilement.
Voici quelques modifications importantes :
- La norme auparavant connue sous le nom d’ISO 27002:2013 s’appelle désormais ISO 27002:2022;
- Les contrôles ont été modifiés :
- Le nombre de contrôles de sécurité de l’information à l’annexe A passe de 114 à 93,
- Onze contrôles ont été ajoutés et d’autres ont été fusionnés pour éviter les répétitions;
- La réorganisation des sections fait passer le nombre de domaines principaux à quatre plutôt que quatorze;
- Les cyberrisques font l’objet d’une attention accrue.
Quelles sont les différences entre les normes ISO 27001 et 27002?
ISO/IEC 27001 et ISO/IEC 27002 (noms officiels) sont des normes ISO élaborées pour améliorer la sécurité de l’information en entreprise.
La norme ISO 27001 établit les critères que doivent respecter les entreprises pour obtenir ou conserver leur certification. Cette norme reconnue mondialement fixe les exigences en matière de mise en place, d’exploitation et d’amélioration continue des systèmes de gestion de la sécurité de l’information. La norme ISO27001:2013 s’appelle désormais « ISO/IEC 27001:2013+A1:2022 » (les dernières modifications d’importance remontaient à 2013, les dernières corrections, à 2017).
La norme ISO 27002 fournit des indications aux entreprises sur la sélection, la mise en œuvre et la gestion des contrôles de sécurité de l’information présentés à l’annexe A de la norme ISO 27001. Il n’existe pas de certification ISO 27002, puisqu’il s’agit d’une norme connexe contenant des indications, et non des exigences. Son nouveau nom est « ISO/IEC 27002:2022 ».
Quels sont les nouveaux contrôles?
Les onze nouveaux contrôles sont :
- Renseignement sur les menaces (5.7)
- Sécurité de l’information relative aux services infonuagiques (5.23)
- Préparation des technologies de l’information et de communication pour assurer la continuité des activités (5.30)
- Surveillance de la sécurité physique (7.4)
- Gestion de la configuration (8.9)
- Suppression de l’information (8.10)
- Masquage des données (8.11)
- Prévention des fuites de données (8.12)
- Activités de surveillance (8.16)
- Filtrages Web (8.22)
- Codage sécurisé (8.28)
Comment les sections ont-elles été modifiées?
Les quatorze sections ont été remplacées par quatre sections et deux annexes.
Sections
- Contrôles organisationnels (37) – Domaine 5
- Contrôles des personnes (8) – Domaine 6
- Contrôles physiques (14) – Domaine 7
- Contrôles techniques (34) – Domaine 8
Annexes
- Annexe A : Indications sur l’application des attributs
- Annexe B : ISO/IEC 27002:2013
Quand les modifications sont-elles entrées en vigueur?
- La norme ISO 27002 a été mise à jour le 15 février 2022 (ISO 27002:2022).
- L’annexe A de la norme ISO 27001 a été harmonisée avec ces changements en octobre 2022 (ISO 27001:2013+A1:2022).
Quelle est l’incidence de ces changements sur les entreprises?
Les entreprises qui ont déjà reçu la certification ISO 27001:2013 devront mettre leurs pratiques à jour afin de se conformer à la nouvelle version. Elles pourraient décider :
- d’acheter le nouveau guide;
- de mettre à jour leurs politiques, procédures et documents (plan et politique d’audit interne, déclaration d’applicabilité, évaluation des risques, inventaire des actifs et autres documents);
- de réaliser une analyse des écarts;
- d’aviser leur organisme de certification du délai prévu pour se conformer à la nouvelle norme.
Quand les entreprises doivent-elles se conformer à la nouvelle norme?
Les entreprises certifiées disposeront d’une période de transition pour mettre à jour leurs pratiques (qui commencera lorsque la mise à jour officielle de la norme ISO 27001 sera publiée). La durée de cette période sera déterminée par leur organisme de certification.
Les entreprises qui ne détiennent pas la certification devront l’obtenir en fonction de la nouvelle norme de 2022.
Quels sont les avantages de la certification ISO 27001?
- Amélioration de la sécurité : en repérant et en limitant les risques en matière de sécurité de l’information, les entreprises sont mieux outillées pour protéger leurs données et réduire les risques de violation de données;
- Respect des exigences des clients à l’échelle internationale : la certification ISO 27001 peut aider les entreprises à satisfaire aux exigences de sécurité de leurs clients de partout dans le monde;
- Avantage concurrentiel : les entreprises qui démontrent leur respect des normes de sécurité de l’information les plus élevées gagnent en transparence et inspirent une plus grande confiance à leurs clients;
- Réduction des risques : la certification contribue à l’atténuation des risques de cyberattaque et de violation de données qui peuvent entraîner la perte de clients et l’imposition d’amendes, en plus de nuire à l’image de marque et à la réputation de l’entreprise.