a 

norme ISO/IEC 27002:2022 est une mise à jour de la norme ISO/IEC 27002:2013 publiée précédemment.
Cette référence à la norme de sécurité de l’information est utilisée pour soutenir l’ISO 27001. Cette norme
est publiée par l’Organisation internationale de normalisation (ISO) et la Commission internationale de
l’électricité (CEI). La norme ISO 27002 est étroitement associée à la norme ISO 27001 en tant qu’ensemble
de contrôles de soutien utilisés pour les ISMS et la manière dont les organisations peuvent choisir de les
mettre en œuvre.
Il est important de noter que la norme ISO 27002 n’est pas une norme certifiable en soi. Elle sert de point de
référence pour les contrôles de la sécurité de l’information, de la cybersécurité et de la protection de la vie
privée qui sont fondés sur des normes de bonnes pratiques reconnues au niveau international pour les
organisations qui envisagent d’obtenir la certification ISO 27001.
Pour une comparaison détaillée entre les normes ISO 27001 et ISO 27002, cliquez ici.
Les contrôles ISO 27002 se trouvent dans l’annexe A de l’ISO/CEI 27001. Il s’agit de la section à laquelle la
plupart des experts en sécurité de l’information se réfèrent lorsque le sujet des contrôles de sécurité est
abordé. Il est important de noter que si la description de chaque contrôle dans l’annexe A ne comporte que
quelques phrases, la norme ISO 27002 fait référence à chaque contrôle avec une moyenne d’une page par
contrôle. Cela s’explique par le fait que la norme ISO 27002 doit expliquer comment fonctionne chaque
contrôle, quel est l’objectif de ce contrôle et comment ce contrôle particulier peut être mis en œuvre.


Mise à jour de la norme ISO 27002:2022
Des changements radicaux ont été apportés à la structure de ce cadre ISMS en février 2022, en
remplacement de la version précédente publiée en 2013. Malgré les modifications structurelles, l’objectif du
document reste le même : fournir un ensemble de référence générique des contrôles de sécurité de
l’information utilisés dans le contexte du système de gestion de la sécurité de l’information (ISMS) ISO
27001.

Principales mises à jour – ISO 27002:2022
14 catégories réduites à 4 domaines
 A.5 Contrôles organisationnels
 A.6 Contrôle des personnes
 A.7 Contrôles physiques
 A.8 Contrôles technologiques
En outre, il y a 2 annexes référencées :
 Annexe A – Utilisation des attributs
 Annexe B – Correspondance avec ISO/IEC 27002:2013
L’impact ultime de la norme ISO 27002 réside dans sa contribution à la stabilité du ISMS d’une organisation.
Une différence essentielle est que la norme ISO 27002 n’est pas destinée à faire la distinction entre les
contrôles applicables utilisés ou non au sein d’une organisation. La norme ISO 27002 doit être utilisée
comme une référence pour la sélection des contrôles de sécurité plutôt que comme un processus de
certification.


Réduction des contrôles de sécurité en raison de la consolidation
Avec la consolidation des contrôles dans la norme ISO 27002, le nombre de contrôles de sécurité passe de
114 à 93. Plus précisément, sur les 93 contrôles, 58 ont été mis à jour, 24 ont été fusionnés et 11 nouveaux
contrôles ont été créés.


Aperçu des onze nouveaux contrôles
Bien qu’ils soient déjà référencés dans de multiples contrôles, la dernière version de la norme ISO 27002 a
donné à ces sujets un détail plus précis et des orientations dans leur propre contrôle.
Sur les onze contrôles, il y en a trois qui ont le plus d’impact :

 7 – Renseignements sur les menaces : Le maintien de la sécurité de votre organisation n’est possible qu’en
identifiant les possibilités de menaces. Ce n’est qu’en procédant ainsi que vous serez en mesure de
calculer les risques éventuels pour l’entreprise et de mettre en œuvre des mesures pour les atténuer. Ce
contrôle organisationnel offre une orientation pour la collecte et l’analyse des données concernant les
menaces à la sécurité de l’information. Une attention particulière est accordée à la stratégie, à la mise en
œuvre tactique et aux opérations de renseignement sur les menaces.
 
 23 – Sécurité de l’information pour l’utilisation des services en nuage :  Les organisations migrent vers les
services en nuage à un rythme toujours plus rapide. En raison de ce rythme, la plupart des entreprises
 partent du principe que l’identification et le contrôle des risques de sécurité relèvent de la responsabilité
du fournisseur de services cloud. Or, ce n’est pas souvent le cas. Ce contrôle fournit des orientations
pour l’acquisition, l’utilisation, la gestion et la sortie des services cloud tiers. Elle stipule clairement que
votre organisation doit définir en détail les responsabilités de votre organisation et de votre fournisseur de
services cloud.
 
 28 – Codage sécurisé : Les entreprises qui développent des logiciels étant en constante augmentation, des
sections mal codées peuvent entraîner des vulnérabilités importantes. Par exemple, l’absence de
validation des paramètres d’entrée peut entraîner des injections SQL, des attaques XSS, etc. Les
conseils de contrôle technique fournis ici garantissent les principes de codage sécurisé qui doivent être
appliqués dans le développement de logiciels.


Introduction de valeurs d’attributs pour les contrôles
 
La dernière modification majeure introduit cinq attributs, avec des valeurs pour chacun d’eux.
 
 Concepts de cybersécurité : #Identifier, #Protéger, #Détecter, etc.
 Propriétés de la sécurité de l’information :  #Confidentialité, #Intégrité et #Disponibilité
 Domaines de la sécurité : #Gouvernance_et_Ecosystème, #Protection, #Défense, etc.
 Types de contrôle : #Préventif, #Détective et #Correctif
 Capacités opérationnelles : #Gouvernance, #Gestion des actifs, #Protection de l’information, etc.
Désormais, en faisant référence à l’annexe A, les attributs lieront une ou plusieurs valeurs de chaque attribut
à l’un des contrôles de sécurité. Cette modification a pour effet de faciliter le regroupement et le tri. Par
exemple, si une organisation souhaite renforcer les contrôles préventifs, le filtrage à l’aide de la valeur
#preventative dans l’attribut Types de contrôle présentera une liste de références de contrôles préventifs.
L’annexe B de cette version reste rétroactive à l’ISO/CEI 27002:2013 et permet une transition facile vers la
version actualisée de l’ISO 27002.


Les changements de la norme ISO 27002 et leur impact sur votre
organisation
Lors de la planification de votre projet de système de gestion de la sécurité de l’information ISO 27001, il
serait prudent de supposer que les normes ISO 27001 et ISO 27002 constituent la pierre angulaire de votre
ISMS. L’utilisation des contrôles de sécurité inclus dans la nouvelle norme ISO 27002 permettra de s’aligner
sur les meilleures pratiques actuelles du secteur. Votre infrastructure peut bénéficier davantage des
nouvelles introductions en tant qu’intégration renforcée aux cadres, règlements ou normes existants.

a durée de vie d’une norme ISO est de 5 ans. Une ré-évaluation est nécessaire pour déterminer si la norme demeure valide, si elle doit
être révisée ou encore si elle doit être rétractée.

La norme 27002:2022 a été publiée le 15 février 2022.

Quelle est la différence entre ISO 27001 et ISO 27002 ?

La norme ISO 27001 spécifie les normes de mise en œuvre d’un système de management de la sécurité de l’information (SMSI), tandis
que la norme ISO 27002 fournit un ensemble de contrôles de sécurité (ou « mesures ») qui peuvent être mis en œuvre pour renforcer votre
sécurité.

La norme ISO 27001 utilise les réglementations de la norme ISO 27002 dans son annexe A, mais la formulation est sensiblement
différente, le terme « devrait » étant remplacé par « doit ».

L’ISO 27001 est la norme de vérification, tandis que l’ISO 27002 est « simplement » un code de pratique.

Important : À ce stade, il n’est pas prévu que l’ISO publie une norme ISO 27001:2022 en 2022. Une modification sera néanmoins
apportée à la version actuelle. L’annexe A sera remplacée par une version normative des 93 nouveaux contrôles inclus dans l’ISO
27002:2022.

Quelles sont les nouveautés de la norme ISO 27002:2022 ?

L’édition 2013 de l’ISO/IEC 27002 a été remplacée par l’édition 2022 de la norme. Le nombre de contrôles de sécurité a diminué de 114 à
93 dans l’ISO/IEC 27002:2022.

 Une nouvelle classification des contrôles de sécurité en quatre grandes catégories (ou thèmes) a été introduite.
 Le « code de pratique » a été supprimé.
  La norme offre désormais une description complète des contrôles de sécurité avec leurs propriétés associées.

Les modifications apportées à la nouvelle version de la norme sont destinées à simplifier la sélection des contrôles de sécurité. Cependant,
les deux versions ont la même fonction. L’intention de la norme ISO/IEC 27002:2022 est de servir d’ensemble de référence pour les
entreprises qui sélectionnent et mettent en œuvre des mesures de sécurité de l’information adaptées au contexte.

11 contrôles sont nouveaux, 23 contrôles ont été renommés, un contrôle a été divisé en deux sous-contrôles, 57 contrôles ont été
consolidés en 24, et 34 contrôles sont inchangés.

Les nouvelles catégories sont :

 5. Organisationnel (37 contrôles)

 6. Personnel (8 contrôles)
 7. Physique (14 contrôles)
 8. Technologique (34 contrôles)

Certains contrôles de la norme ISO 27001:2013 semblent avoir été fusionnés dans la norme ISO 27002:2022, tandis que les contrôles
suivants semblent nouveaux et pourraient nécessiter quelques ajustements de votre mise en œuvre existante – si vous souhaitez les
inclure dans votre déclaration d’applicabilité :
Améliorations de la norme ISO 27002:2022

L’édition 2022 comprend moins de contrôles et de chapitres, a simplifié certains domaines et a combiné des éléments de sorte que moins
d’étapes sont nécessaires pour satisfaire à la norme.

Pour vous aider à identifier les contrôles pertinents lors de l’atténuation des risques, les contrôles de l’ISO 27002 sont maintenant marqués
par :

1. Type de contrôle : préventif, détectif, correctif.

2. Propriétés de sécurité de l’information : confidentialité, intégrité, disponibilité (la triade bien connue de la CIA)
3. Concepts de cybersécurité : identifier, détecter, protéger, répondre, récupérer (parfait pour les références croisées avec le cadre
de cybersécurité du NIST).
 4. Capacités opérationnelles : sécurité des applications, gestion des actifs, continuité, gouvernance, sécurité des ressources
humaines, gestion des identités et des accès, protection des informations, assurance de la sécurité des informations, gestion des
événements liés à la sécurité des informations, aspects juridiques et conformité, sécurité physique, configuration sécurisée,
sécurité des systèmes et des réseaux, sécurité des relations avec les fournisseurs, gestion des menaces et des vulnérabilités
5. Domaines de sécurité : défense, gouvernance et écosystème, protection et résilience.

D’autre part, de nouveaux points focaux ont été établis, mettant davantage l’accent sur la prévention, la détection et la réaction aux
cyberattaques, ainsi que sur la protection des données – déjà connue grâce au NIST Cybersecurity Framework. Cela signifie généralement
que l’effort nécessaire à leur mise en œuvre va augmenter pour les entreprises. Dans le même temps, il devient plus difficile d’écarter les
contrôles s’ils ne sont pas applicables dans votre organisation.

Les changements à venir dans la norme ISO 27001:2022

Il n’était pas prévu que l’ISO publie une norme ISO 27001:2022 en 2022. Les changements annoncés prévoyaient que seule l’annexe A
soit mise à jour avec la nouvelle norme ISO 27002. Contre toute attente, l’amendement proposé a été rejeté le mois dernier (mai 2022), ce
qui a conduit à la création d’une nouvelle version de la norme ISO 27001 (DIS).

Il y aura certainement d’autres changements à venir dans la nouvelle version de la norme, demeurez à l’écoute et nous vous tiendrons au
courant lorsque nous en saurons d’avantage.

Comment passer à la nouvelle version de l’annexe A de l’ISO 27001 ?

Les organisations déjà certifiées disposeront d’un délai de grâce d’un à trois ans pour mettre en œuvre la nouvelle version de l’annexe dès
sa publication. Cette période dépend de votre organisme de certification et doit être discutée avant l’audit de surveillance ou de re-
certification.

Si vous êtes dans la phase de mise en œuvre du SMSI, vous devriez commencer immédiatement à travailler sur les étapes
suivantes pour vous assurer que vous êtes prêt pour la version :

1 – Gestion des risques

De nombreuses organisations utilisent l’annexe A pour aborder une partie du processus d’identification des risques. Il s’agit d’une bonne
stratégie pour s’assurer que certains risques ne sont pas négligés. Avec un changement significatif de la structure de contrôle et les
options à angles multiples fournies par la classification des mesures de sécurité, la première étape devrait être d’effectuer une nouvelle
identification des risques.
Votre plan de traitement des risques actuel doit également être mis à jour pour refléter la nouvelle structure et la nouvelle numérotation des
contrôles. Nous avons créé un modèle avec smartcockpit qui permet une double association des contrôles avec les versions 2013 et 2022,
permettant une transition en douceur.

2 – Déclaration d’applicabilité

Comme prévu, votre déclaration d’applicabilité (DdA) devra être remaniée afin de correspondre à la nouvelle classification des contrôles.
Cela signifie également que certaines exclusions ne seront pas applicables et que vous devrez peut-être en justifier de nouvelles.

3 – Politiques et procédures

La documentation de votre organisation, comme le SoA, devra être revue pour s’assurer que les politiques et procédures reflètent la
nouvelle numérotation. Cela vous donnera également l’occasion d’adapter et éventuellement de réorganiser votre approche des
documents. Les SGSI modernes utilisent une méthodologie de documentation agile pour que les documents soient courts et que les
employés puissent trouver plus facilement les informations.

Comme le changement de norme comprend 12 nouveaux contrôles, la tâche la plus difficile est sans aucun doute d’aligner le traitement
des risques et la documentation.

Abilene Advisors a mis en place 42 SMSI ISO 27001 à ce jour, en audite plus de 50 par an et propose une approche globale de la
gouvernance et de la confidentialité des données.

Nous sommes là pour vous aider à assurer une transition en douceur de votre système de gestion; il suffit de nous contacter à
l’adresse salesteam@abileneadvisors.ch.

La version 2013 nous avait apporté une nouvelle répartition du contenu, notamment en intégrant la cryptographie et les relations avec les fournisseurs dans des
thématiques de sécurité spécifiques. Sa prochaine version, l’ISO 27002:2021 apporte elle aussi son lot de nouveautés, tant sur le fond que sur la forme.
De nombreux changements, déjà visibles dans le draft, ne seront pas sans conséquences pour les RSSI. Ils font écho à l’inflation normative observée ces dernières
années et méritent une analyse approfondie.

Les invariants 2013 > 2017 > 2021

Cette nouvelle version 2021 apporte beaucoup de modifications sur la forme, les invariants identifiés sont peu nombreux :
• Le document conserve son organisation en thématiques – mais celles-ci sont intégralement remaniées
• Les mesures (ou « controls » en anglais) sont désormais accompagnées de « préconisations de mise en œuvre » et « d’informations complémentaires »
• Certaines mesures reprennent les formulations précédentes étoffées d’informations complémentaires, d’autres sont regroupées en une seule mesure.

Le faible nombre d’invariants nous autorise à penser que nous ne sommes pas dans une révision partielle ou un remaniement, comme ce fut le cas entre les versions de
2005 et 2013.

Les évolutions de l’Annexe A

L’esprit de l’annexe A est conservé mais l’organisation, la forme et les propriétés des mesures ont été revues en profondeur :
• Structure générale,
• Articles,
• Attributs

Structure générale

L’index permet d’identifier plusieurs changements importants :

• Les 14 thématiques (catégories) de sécurité disparaissent du « chapitrage » de la norme (ils seront repris sous une autre forme)
• Les 114 mesures sont amputées de 21 éléments. Les 93 restantes sont largement inspirées des versions existantes mais elles sont aussi très étoffées.
Articles / Thématiques

Un constat immédiat, les 14 Articles (ou thématiques) très connus de l’ISO disparaissent. Ils ne sont plus que 4 :
1. Mesures organisationnelles
2. Mesures sur les personnes
3. Mesures physiques
4. Mesures techniques / technologiques

Cette nouvelle organisation est quelque peu déroutante à première vue mais à l’usage on finit par se rendre compte de son intérêt et de la flexibilité qu’elle apporte.

Mesures de sécurité

Contenu et propriétés
Les mesures de sécurité sont enrichies et contextualisées. Ont été ajoutés :
• Un champ « finalité » qui définit l’objectif et la raison de ce contrôle
• De nombreux Attributs (ou #Tags), issus de termes prédéfinis qui visent à mieux comprendre la portée ou le domaine d’application.

Tableau récapitulatif des écarts sur le contenu d’une mesure :

Emploi des « Attributs » des mesures

Les mesures sont enrichies d’« Attributs », ceci permet de prendre en compte le caractère multidimensionnel des mesures de sécurité. En effet, l’ancienne organisation en
14 articles de sécurité avait l’avantage de clarifier l’ensemble des thématiques à traiter mais posait une limite importante : chaque mesure ne pouvait appartenir qu’à une
seule thématique. Le fait de ne plus imposer aux mesures de sécurité d’être cantonnées à un chapitre permet de clarifier la norme autant que d’étendre sa portée :

• Une même mesure peut contribuer à plusieurs thématiques de sécurité. Un exemple très simple : « 8.31 Separation of development, test and production
environments » concerne deux capacités opérationnelles : #Application_security #System_and_network_security
• Il n’est plus nécessaire de répéter une mesure dans tous les domaines de cybersécurité, ce qui va également contribuer à alléger la lecture et la révision.
Capacités opérationnelles Les 15 capacités sont proches des thématiques de l’ISO 2700:2013, une nouveauté #Information_Security_Assurrance

Domaines sécurité #Governance_and_Ecosystem, #Protection, #Defence, #Resilience

Cette nouvelle version de la norme nous libère de contraintes qu’elle avait générées en souhaitant structurer l’approche de la cybersécurité. Il est maintenant possible et
même recommandé de construire notre propre vue des mesures de sécurité et des plans de remédiation des risques sur la base des tags proposés ou de tags propres à
l’organisation : #bureautique, #industriel, #SIIV, #certifié… pour ne citer que quelques exemples.
Nous entrons dans une vision beaucoup plus matricielle et multidimensionnelle de la sécurité. Cette approche est beaucoup plus flexible et plus riche de possibilités. Reste
pour chaque organisation, à définir son modèle et son point d’équilibre entre exhaustivité, efficacité et pérennité. Excel pourrait ne plus suffire à gérer les nouvelles
caractéristiques du modèle de sécurité.

Protection de la vie privée

Guidée par l’influence du RGPD et des nombreuses initiatives en faveur de la protection des données personnelles et de la vie privée, l’annexe A reprend cette thématique
plus directement. Elle change de dénomination :
• 2013 – « Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information »
• 2021 – « Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information »

Le référentiel de mesures intègre aussi les acronymes associés :

• PIA privacy impact assessment
• PII personally identifiable information
• PIN personal identification number

Termes, définitions et Acronymes

Les « termes et définitions » et « acronymes » ne sont plus relayés dans l’ISO 27000. Essentiels dans la compréhension et l’utilisation du référentiel de mesures, ils sont
désormais intégrés à l’Annexe A.

Intérêt et bénéfices de l’ISO 27002:2021 ou « v3 »

Cette nouvelle version va forcément demander un temps d’adaptation. Elle s’inscrit dans la démarche d’amélioration défendue par toutes les normes de qualité et de
sécurité. On peut noter plusieurs réussites dans le processus de simplification et de normalisation :
• Le maintien de la cohérence avec la version précédente de la part des rédacteurs, via l’utilisation des Tags « capacités opérationnelles ». Cette mesure facilitera la
transition pour les habitués des deux versions précédentes.
• La convergence avec le NIST via les Tags « Concepts Cybersécurité ». Ce choix élargit le spectre d’application de l’ISO dans des contextes régis par le NIST plus que
par l’ISO.
• La flexibilité et même l’incitation de la norme à s’approprier et à adapter le système de tags (Attributs) à chaque contexte.
Il est déjà possible d’intégrer ces évolutions dans nos politiques et plans d’action de sécurité. Il serait même intéressant de l’anticiper pour toutes les missions d’audits
organisationnels ou de mise en place de politiques de sécurité en cours.

Conclusion
Les évolutions de l’annexe A offrent plus de flexibilité dans l’utilisation de la norme et de ses préceptes. Il est intéressant d’anticiper leurs conséquences pour les projets
de gouvernance et de certification : mise à jour des certifications existantes et certifications créées à partir de cette nouvelle structure.

Un effort de transposition du cadre 2013 dans le cadre 2021 est à prévoir pour toutes les parties prenantes côté sécurité.

Cette évolution de l’annexe A est une opportunité pour changer de paradigme cybersécurité :
• revoir nos politiques SSI et intégrer une approche multidimensionnelle,
• prendre en compte l’hétérogénéité des contextes sans complexifier nos référentiels internes,
• doter l’organisation de capacités de pilotage des risques et de la conformité adaptées.