SÉCURITÉ DE L’INFORMATION 

: LA NORME ISO 27001 A ÉTÉ MISE À JOUR

ÊTES-VOUS
PRÊT ?
Guide de comparaison des mesures : ISO 27001:2013 et ISO 7001:2022
Changements majeurs
Précédent Suivant

En février 2022, la norme ISO 27002:2022, qui permet

de contrôler les meilleures pratiques que les entreprises Au total, il y a

11
peuvent mettre en œuvre pour améliorer la sûreté, Il y a désormais

93
a été mise à jour. Par conséquent, une nouvelle version Le texte
de la norme internationale ISO 27001 qui décrit
les exigences d’un système de management nouvelles mesures.
de la
de la sécurité de l’information (SMSI) a également
été publiée le 25 octobre 2022. mesures
majorité
56
au lieu de des mesures a été quelque

114
La nouvelle version de la norme comprend les mesures peu modifié, ce qui pourrait
décrites par la norme ISO 27002:2022, et les entreprises avoir un impact sur la manière
devront revoir leur évaluation des risques pour déterminer dont la norme est interprétée
mesures de la norme ISO 27001:2013
et mise en œuvre.
si des mises à jour ou de nouvelles gestions des risques ont été fusionnées en 24 mesures
dans la norme ISO 27001:2022.
doivent être mises en œuvre.
Les entreprises ayant déjà obtenu la certification
ISO 27001:2013 disposeront de trois ans pour passer
à la nouvelle norme. Les mesures Humaines Physiques
Organisationnelles Techniques :
sont désormais  : 2 fusions,  : 5 fusions,
 : 28 fusions, 21 fusions,
réparties en quatre
3 nouveaux 0 nouveau 1 nouveau 7 nouveaux
« nouveaux » thèmes.

LRQA | Guide de comparaison ISO 27001:2022 | Page 2

 Précédent Suivant

Comparaison des mesures : ISO 27001:2013 (Annexe A) vs ISO 27001:2022 (Annexe A)

Les mesures décrites dans la norme ISO 27002:2022 seront incluses dans l’annexe A de la norme ISO 27001:2022, qui représente le principal champ de modification de la nouvelle norme. Les tableaux ci-dessous
fournissent une comparaison utile de toutes les mesures disponibles et de leur correspondance avec celles de la version précédente, y compris les nouvelles mesures et les fusions qui sont mises en évidence.

PRÉCÉDENT ISO 27001:2013 NOUVEAU ISO 27001:2022

MESURE INTITULÉ MESURE THÈME (NOUVEAU) INTITULÉ

POLITIQUES DE SÉCURITÉ DE L’INFORMATION

A5.1.1 Politiques de sécurité de l’information A.5.1 Mesures organisationnelles Politiques de sécurité de l’information

A.5.1.2 Examen des politiques de sécurité de l’information Fusionnées en A.5.1

ORGANISATION DE L’INFORMATION

A.6.1.1 Rôles et responsabilités en matière de sécurité de l’information A5.2 Mesures organisationnelles Rôles et responsabilités en matière de sécurité de l’information

A.6.1.2 Séparation des tâches A.5.3 Mesures organisationnelles Séparation des tâches

A.6.1.3 Contact avec les autorités A.5.5 Mesures organisationnelles Contact avec les autorités

A.6.1.4 Contact avec des groupes d’intérêt spécifiques A.5.6 Mesures organisationnelles Contact avec des groupes d’intérêt spécifiques

NOUVEAU A.5.7 Mesures organisationnelles Renseignement sur les menaces

A.6.1.5 Sécurité de l’information dans le management de projet A.5.8 Mesures organisationnelles Sécurité de l’information dans le management de projet

A.6.2.1 Politique relative aux appareils mobiles A.8.1 Techniques Terminaux pour les utilisateurs

A.6.2.2 Télétravail A.6.7 Humaines Télétravail

LRQA | Guide de comparaison ISO 27001:2022 | Page 3

 Précédent Suivant

SÉCURITÉ DES RESSOURCES HUMAINES

A.7.1.1 Sélection A.6.1 Humaines Sélection

A.7.1.2 Modalités et conditions de travail A.6.2 Humaines Modalités et conditions de travail

A.7.2.1 Responsabilités de la direction A.5.4 Mesures organisationnelles Responsabilités de la direction

A.7.2.2 Sensibilisation, éducation et formation à la sécurité de l’information A.6.3 Humaines Sensibilisation, éducation et formation à la sécurité de l’information

A.7.2.3 Processus disciplinaire A.6.4 Humaines Processus disciplinaire

A.7.3.1 Fin ou changement de responsabilités professionnelles A.6.5 Humaines Responsabilité après la fin ou le changement d’emploi

GESTION D’ACTIFS

A.8.1.1 Inventaire des actifs A.5.9 Mesures organisationnelles Inventaire des informations et autres actifs associés

A.8.1.2 Fusionnée dans A.5.9

Propriété des actifs

A.8.1.3 Utilisation acceptable des actifs A.5.10 Mesures organisationnelles Utilisation acceptable des informations et autres actifs associés

A.8.1.4 Restitution des actifs A.5.11 Mesures organisationnelles Restitution des actifs

A.8.2.1 Classification des informations A.5.12 Mesures organisationnelles Classification des informations

A.8.2.2 Étiquetage des informations A.5.13 Mesures organisationnelles Étiquetage des informations

A.8.2.3 Traitement des actifs Fusionnée dans A.5.10

Fusionnée dans A.5.10

A.8.3.1 Gestion des supports amovibles A.7.10 Physiques Supports de stockage

A.8.3.2 Élimination des supports Fusionnée dans A.7.10

A.8.3.3 Transfert de support physique Fusionnée dans A.7.10

LRQA | Guide de comparaison ISO 27001:2022 | Page 4

 Précédent Suivant

CONTRÔLE D’ACCÈS

A.9.1.1 Politique de contrôle d’accès A.5.15 Mesures organisationnelles Contrôle d’accès

A.9.1.2 Accès aux réseaux et services réseau Fusionnée dans A.5.15 Fusionnée dans A.5.15

A.9.2.1 Enregistrement et désenregistrement des utilisateurs A.5.16 Mesures organisationnelles Gestion des identités

A.9.2.2 Fourniture d’accès utilisateur A.5.18 Mesures organisationnelles Droits d’accès

A.9.2.3 Gestion des droits d’accès privilégiés A.8.2 Techniques Droits d’accès privilégiés

A.9.2.4 Gestion des informations secrètes d’authentification des utilisateurs A.5.17 Mesures organisationnelles Informations d’authentification

A.9.2.5 Examen des droits d’accès des utilisateurs Fusionnée dans A.5.18

A.9.2.6 Suppression ou ajustement des droits d’accès Fusionnée dans A.5.18

A.9.3.1 Utilisation d’informations d’authentification secrètes Fusionnée dans A.5.17

A.9.4.1 Restriction d’accès aux informations A.8.3 Technique Restriction d’accès aux informations

A.9.4.2 Procédures de connexion sécurisées A.8.5 Technique Authentification sécurisée

A.9.4.3 Système de gestion des mots de passe Fusionnée dans A.5.17

A.9.4.4 Utilisation de programmes utilitaires privilégiés A.8.18 Techniques Utilisation de programmes utilitaires privilégiés

A.9.4.5 Contrôle d’accès au code source du programme A.8.4 Techniques Accès au code source

CRYPTOGRAPHIE

A.10.1.1 Politique d’utilisation des contrôles cryptographiques A.8.24 Technique Utilisation de la cryptographie

A.10.1.2 Gestion des clés Fusionnée dans A.8.24 avec A.10.1.1

LRQA | Guide de comparaison ISO 27001:2022 | Page 5

 Précédent Suivant

SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE

A.11.1.1 Périmètre de sécurité physique A.7.1 Physiques Périmètres de sécurité physique

A.11.1.2 Contrôles d’entrée physiques A.7.2 Physiques Entrée physique

A.11.1.3 Sécurisation des bureaux, locaux et installations A.7.3 Physiques Sécurisation des bureaux, locaux et installations

NOUVEAU A.7.4 Physiques Surveillance de la sécurité physique

A.11.1.4 Protection contre les menaces externes et environnementales A.7.5 Physiques Protection contre les menaces physiques et environnementales

A.11.1.5 Travail dans des zones sécurisées A.7.6 Physiques Travail dans des zones sécurisées

A.11.1.6 Zones de livraison et de chargement Fusionnée dans A.7.2 avec A.11.1.2

A.11.2.1 Emplacement et protection de l’équipement A.7.8 Physiques Emplacement et protection de l’équipement

A.11.2.2 Services publics auxiliaires A.7.11 Physiques Services publics auxiliaires

A.11.2.3 Sécurité du câblage A.7.12 Physiques Sécurité du câblage

A.11.2.4 Maintenance de l’équipement A.7.13 Physiques Maintenance de l’équipement

A.11.2.5 Suppression d’actifs Fusionnée dans A.7.10

A.11.2.6 Sécurité des équipements et des actifs hors locaux A.7.9 Physiques Sécurité des actifs hors locaux

A.11.2.7 Mise au rebut ou réutilisation sécurisée de l’équipement A.7.14 Physiques Mise au rebut ou réutilisation sécurisée de l’équipement

A.11.2.8 Équipement utilisateur autonome Fusionnée dans A.8.1 avec A.6.2.1

A.11.2.9 Politique du bureau et de l’écran dégagés A.7.7 Physiques Bureau et écran dégagés

LRQA | Guide de comparaison ISO 27001:2022 | Page 6

 Précédent Suivant

SÉCURITÉ DES OPÉRATIONS

A.12.1.1 Modes opératoires documentés A.5.37 Mesures organisationnelles Modes opératoires documentés

A.12.1.2 Gestion du changement A.8.32 Techniques Gestion du changement

A.12.1.3 Gestion des capacités A.8.6 Techniques Gestion des capacités

A.12.1.4 Séparation des environnements de développement, de test et d’exploitation A.8.31 Techniques Séparation des environnements de développement, de test et de production

A.12.2.1 Mesures contre les malwares A.8.7 Techniques Protection contre les malwares

A.12.3.1 Sauvegarde des informations A.8.13 Techniques Sauvegarde des informations

A.12.4.1 Journalisation des événements A.8.15 Techniques Journalisation

A.12.4.2 Fusionnée dans A.8.1.5

Protection des informations du journal

A.12.4.3 Fusionnée dans A.8.1.5

Journaux des administrateurs et des opérateurs

NOUVEAU A.8.16 Techniques Activités de suivi

A.12.4.4 Synchronisation de l’horloge A.8.17 Techniques Synchronisation de l’horloge

A.12.5.1 Installation du logiciel sur les systèmes opérationnels A.8.19 Techniques Installation du logiciel sur les systèmes opérationnels

A.12.6.1 Gestion des vulnérabilités techniques A.8.8 Techniques Gestion des vulnérabilités techniques

NOUVEAU A.8.9 Techniques Gestion de la configuration

NOUVEAU A.8.10 Techniques Suppression d’informations

NOUVEAU A.8.11 Techniques Masquage de données

NOUVEAU A.8.12 Techniques Prévention des fuites de données

A.12.6.2 Restrictions relatives à l’installation du logiciel Fusionnée dans A.8.19 avec A.12.5.1

A.12.7.1 Contrôles d’audit des systèmes d’information A.8.34 Techniques Protection des systèmes d’information pendant les essais d’audit

LRQA | Guide de comparaison ISO 27001:2022 | Page 7

 Précédent Suivant

SÉCURITÉ DES COMMUNICATIONS

A.13.1.1 Contrôles du réseau A.8.20 Techniques Sécurité des réseaux

A.13.1.2 Sécurité des services de réseau A.8.21 Techniques Sécurité des services de réseau

A.13.1.3 Séparation dans les réseaux A.8.22 Techniques Séparation des réseaux

NOUVEAU A.8.23 Techniques Filtrage Web

A.13.2.1 Politiques et procédures de transfert d’informations A.5.14 Mesures organisationnelles Transfert d’informations

A.13.2.2 Accords sur le transfert d’informations Fusionnée dans A.5.14

A.13.2.3 Messagerie électronique Fusionnée dans A.5.14

A.13.2.4 Accords de confidentialité ou de non-divulgation A.6.6 Humaines Accords de confidentialité ou de non-divulgation

ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DU SYSTÈME

A.14.1.1 Analyse et spécification des exigences en matière de sécurité de l’information Fusionnée dans A.5.8 avec A.6.1.5

A.14.1.2 Sécurisation des services applicatifs sur les réseaux publics A.8.26 Techniques Exigence de sécurité des applications

A.14.1.3 Protection des transactions des services applicatifs Fusion avec A.8.26

A.14.2.1 Politique de développement sécurisé A.8.2.5 Techniques Cycle de vie du développement sécurisé

A.14.2.2 Procédures de contrôle des changements du système Fusionnée dans A.8.32 avec A.12.1.2

A.14.2.3 Revue technique des applications après des changements de plate-forme d’exploitation Fusionnée dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.4

A.14.2.4 Restrictions sur les modifications apportées aux progiciels Fusionnée dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.3

A.14.2.5 Principes d’ingénierie des systèmes sécurisés A.8.27 Techniques Architecture des systèmes et principes d’ingénierie sécurisés

A.14.2.6 Environnement de développement sécurisé Fusionnée dans A.8.31 avec A.12.1.4

NOUVEAU A.8.28 Techniques Codage sécurisé

A.14.2.7 Développement externalisé A.8.30 Techniques Développement externalisé

A.14.2.8 Test de sécurité du système A.8.29 Techniques Test de sécurité en cours de développement et de réception

A.14.2.9 Test de réception du système Fusionnée dans A.8.29 avec A.14.2.8

A.14.3.1 Protection des données d’essai A.8.33 Techniques Informations d’essai

 Précédent Suivant

RELATIONS FOURNISSEURS

A.15.1.1 Politique de sécurité de l’information pour les relations avec les fournisseurs A.5.19 Mesures organisationnelles Sécurité de l’information dans les relations avec les fournisseurs

A.15.1.2 Aborder la sécurité dans les accords avec les fournisseurs A.5.20 Mesures esorganisationnelles Aborder la sécurité de l’information dans les accords avec les fournisseurs

A.15.1.3 Chaîne d’approvisionnement des technologies de l’information et de la communication A.5.21 Mesures organisationnelles Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des technologies
de l’information et de la communication (TIC)

A.15.2.1 Surveillance et passage en revue des services du fournisseur A.5.22 Mesures organisationnelles Surveillance, passage en revue et gestion du changement des services du fournisseur

A.15.2.2 Gestion des changements apportés aux services des fournisseurs Fusionnée dans A.5.22 avec A.15.2.1

NOUVEAU A.5.23 Mesures organisationnelles Sécurité de l’information pour l’utilisation des services cloud

GESTION DES INCIDENTS DE SÉCURITÉ DE L’INFORMATION

A.16.1.1 Responsabilités et procédures A.5.24 Mesures organisationnelles Planification et préparation de la gestion des incidents liés à la sécurité de l’information

A.16.1.2 Signalement d’événements liés à la sécurité de l’information A.6.8 Humaines Signalement d’événements liés à la sécurité de l’information

A.16.1.3 Signalement des faiblesses en matière de sécurité de l’information Fusionnée dans A.6.8 avec A.16.1.2

A.16.1.4 Évaluation et décision sur les événements liés à la sécurité de l’information A.5.25 Mesures organisationnelles Évaluation et décision sur les événements liés à la sécurité de l’information

A.16.1.5 Réponse aux incidents liés à la sécurité de l’information A.5.26 Mesures organisationnelles Réponse aux incidents liés à la sécurité de l’information

A.16.1.6 Apprendre des incidents liés à la sécurité de l’information A.5.27 Mesures organisationnelles Apprendre des incidents liés à la sécurité de l’information

A.16.1.7 Recueil de preuves A.5.28 Mesures organisationnelles Recueil de preuves

Fusionnée
ASPECTS LIÉS À LA SÉCURITÉ DE L’INFORMATION DE LA GESTION DE LA CONTINUITÉ dans A.8.32 avec A.12.1.2, A.14.2.2 et A.14.2.4
DES OPÉRATIONS

A.17.1.1 Planification de la continuité de la sécurité de l’information A.5.29 Mesures organisationnelles Sécurité de l’information pendant une perturbation

A.17.1.2 Mise en œuvre de la continuité de la sécurité de l’information Fusionnée dans A.5.29 avec A.17.1.1 et A.17.1.3

A.17.1.3 Vérifier, examiner et évaluer la continuité de la sécurité de l’information Fusionnée dans A.5.29 avec A.17.1.1 et A.17.1.2

NOUVEAU A.5.30 Mesures organisationnelles Préparation des TIC à la continuité des opérations

A.17.2.1 Disponibilité des installations de traitement de l’information A.8.14 Techniques Redondance des installations de traitement de l’information

LRQA | Guide de comparaison ISO 27001:2022 | Page 9

 Précédent Suivant

CONFORMITÉ

A.18.1.1 Identification de la législation applicable et des exigences contractuelles A.5.31 Mesures organisationnelles Exigences légales, réglementaires et contractuelles

A.18.1.2 Droits de propriété intellectuelle A.5.32 Mesures organisationnelles Droits de propriété intellectuelle

A.18.1.3 Protection des enregistrements A.5.33 Mesures organisationnelles Protection des enregistrements

A.18.1.4 Confidentialité et protection des informations personnellement identifiables A.5.34 Mesures organisationnelles Confidentialité et protection des informations personnelles identifiables (PII)

A.18.1.5 Réglementation des contrôles cryptographiques Fusionnée dans A.5.31 avec A.18.1.1

PASSAGES EN REVUE DE LA SÉCURITÉ DE L’INFORMATION

A.18.2.1 Examen indépendant de la sécurité de l’information A.5.35 Mesures organisationnelles Examen indépendant de la sécurité de l’information

A.18.2.2 Conformité aux politiques et aux normes de sécurité A.5.36 Mesures organisationnelles Conformité aux politiques, règles et normes de sécurité de l’information

A.18.2.3 Passage en revue de la conformité technique Fusionnée dans A.5.36 avec A.18.2.2

LRQA | Guide de comparaison ISO 27001:2022 | Page 10

Nos services de formation et d’audit ISO 27001:2022
Précédent Suivant

Formations Analyse des écarts Audit de transition Audits intégrés

Développez vos connaissances Avec ce service facultatif, Nous évaluerons votre SMSI Si vous avez mis en place
de la norme ISO 27001:2022 l’un de nos auditeurs conformément aux exigences plusieurs systèmes de
grâce à une gamme spécialisés vous aidera de la norme ISO 27001:2022, management, vous pourriez
de formations conçues à identifier les domaines en accordant une attention bénéficier d’un audit intégré
pour différents niveaux essentiels, à haut risque ou particulière aux mesures et d’une surveillance plus
d’expérience, dispensées de faiblesse de votre système de l’Annexe A et à leur efficiente et plus rentable.
avec des méthodes avant votre audit de transition. impact sur votre système.
d’apprentissage variées.

LRQA | Guide de comparaison ISO 27001:2022 | Page 11

Travailler avec vous pour cibler tous
Précédent Suivant

les aspects de la cybersécurité

Notre expérience approfondie en systèmes de
management, combinée à des services de cybersécurité
primés et à des connaissances axées sur les menaces,
nous permet de fournir des analyses sur mesure et une
protection contre les menaces uniques auxquelles votre
entreprise est confrontée. Vous permettre de garder

Sécurité de Résilience Protection

une longueur d’avance sur les cyber-risques, aujourd’hui,
demain et dans le futur.
l’information opérationnelle contre la menace
cybernétique
Nous fournissons des services d’audit, de formation
et de certification conformes aux normes et systèmes
Nos services de conformité Soyez prêts à prévenir les
internationaux de premier plan, complétés par une large
et de certification vous aident dysfonctionnements, à réagir Gardez une longueur d’avance
gamme de services avancés de cybersécurité fournis par
à protéger les informations et à vous en remettre grâce à sur les cybermenaces grâce à
nos spécialistes, Nettitude. Nous collaborons avec votre
entreprise pour vous aider à identifier les menaces spécifiques stratégiques de l’entreprise nos services de certification,
des solutions sur mesure assurant
et à témoigner de meilleures de formation ainsi que
auxquelles vous êtes confrontés et à élaborer des stratégies la première ligne de défense
pour les atténuer. Nous travaillerons avec vous pour certifier pratiques mondialement de gouvernance, de risque et permettant de faire face à
vos systèmes, identifier les vulnérabilités et aider à prévenir reconnues. et de mise en conformité. toutes sortes de cyberattaques.
les attaques et incidents qui pourraient avoir un impact sur
l’intégrité de votre marque, vos finances et vos opérations.

En savoir plus En savoir plus En savoir plus

LRQA | Guide de comparaison ISO 27001:2022 | Page 12

 Précédent

VOTRE AVENIR. NOTRE PRIORITÉ.

À propos de LRQA :
Conjuguant des expertises inégalées en matière de certification, d’audit personnalisé et en formation, LRQA est l’un des principaux prestataires
mondiaux de solutions de gestion de risques et en sécurité des denrées alimentaires. En collaborant avec des exploitations agricoles, des pêcheries,
des producteurs agroalimentaires, des restaurants, des hôtels et des distributeurs internationaux, nous les aidons à gérer les risques liés à la sécurité
des denrées alimentaires et au développement durable tout au long des chaînes logistiques. Ainsi, nous sommes devenus un prestataire mondial de
l’amélioration continue. Nous sommes fiers de notre héritage. Mais ce qui compte vraiment, c’est qui nous sommes aujourd’hui. Cela façonne notre
partenariat avec nos clients de demain. Alliant des valeurs fortes, des décennies d’expérience en gestion et atténuation des risques ainsi qu’un regard
porté sur l’avenir, nous sommes là pour accompagner nos clients et rendre leurs entreprises plus sûres, plus sécurisées et plus durables. Nous nous
assurons qu’ils façonnent leur propre avenir, plutôt que de le subir en aidant nos clients à faire face à un environnement où les risques évoluent en
permanence grâce à nos solutions complètes et innovantes, allant de l’audit indépendant, de la certification et de la formation, aux services de conseil
technique, en passant par la technologie de gestion en temps réel et la transformation de la chaîne d’approvisionnement basée sur les données.

Contactez-nous
Consultez www.lrqa.com/fr-fr pour plus d’informations, e-mail commercial.france@lrqa.com ou appelez le 04 51 08 13 00

LRQA
Tour Swiss Life
1 boulevard Vivier Merle
69003
Lyon
France

Nous mettons tout en œuvre pour que toutes les informations fournies soient exactes et actuelles. Toutefois, LRQA décline toute responsabilité en cas d’inexactitudes ou de modifications d’informations.
Pour en savoir plus sur LRQA, cliquez ici. © LRQA Group Limited 2022