ISO 27001:2022

À QUOI FAUT-IL S'ATTENDRE ?

 ISO 27001 :2022 à quoi faut-il s'attendre

QU’EST-CE QU’ISO 27001 ?

La norme ISO/IEC 27001 définit les exigences du système de management de la

sécurité de l’information (SMSI) et fournit un ensemble de mesures de sécurité de
référence dans son Annexe A.
Elle permet en outre d’accompagner les organismes dans la mise en place d’un SMSI
à l’aide d’une approche systémique.
Elle apporte un cadre permettant d’initier, de mettre en œuvre, de maintenir et
d’améliorer la sécurité de l’information.
Elle se compose des politiques, procédures, mesures de sécurité, qui gérées
collectivement par un organisme lui permettent de protéger ses actifs
informationnels et d’assurer l’atteinte des 3 objectifs majeurs de la sécurité de
l’information : La confidentialité, l’intégrité et la disponibilité de l’information.

QUEL EST L’OBJECTIF VISÉ ?

Le système d’information est constitué de l’ensemble des moyens techniques,

organisationnels, matériels ou immatériels manipulant l’information.
La sécurité de l'information garantit la confidentialité, la disponibilité et l'intégrité de
l'information à savoir toute donnée ayant du sens qu’elle soit tangible ou intangible.
Il convient cependant de souligner que la finalité visée pour chaque entreprise est
surtout d’assurer la sécurité des actifs à savoir tout ce qui a de la valeur et
notamment des actifs critiques comprenant :
Les actifs primordiaux (Processus métiers et Informations)
Les actifs supports (Matériel, Logiciels, Personnel, Réseau… etc) qui ont pour rôle
de supporter les actifs primordiaux.
Une information peut donc être considérée comme un actif mais tout actif ne
représente pas forcément une information.
De ce fait, la mise en place d’un système de management de la sécurité de
l’information aura pour conséquence d’aligner la sécurité avec les objectifs métiers
de l'organisation.
Cela présente l’avantage d’accorder une grande importance aux processus métiers.
Parmi les conséquences, on notera une meilleure compréhension et une meilleure
contextualisation des besoins en matière de sécurité au regard des risques qui
pèsent sur les objectifs métiers.
 OBTENIR UNE CERTIFICATION ISO 27001 ? POUR QUOI FAIRE ?

L’implémentation d'un SMSI suivant la norme ISO 27001 présente

des nombreux avantages notables, à savoir :

Amélioration de la sécurité de l’information et des actifs critiques via

une bonne gestion des risques

Bonne gouvernance (Gain de performance et transparence)

Conformité légale et réglementaire

Avantage concurrentiel, impact sur l’image et la notoriété,

accroissement de la confiance des clients

Revenus supplémentaires

Norme reconnue à l’échelle internationale

Réductions des coûts

Meilleure cartographie de votre écosystème (Vulnérabilités, Menaces,

Risques, Actifs)

Acquisition d’indicateurs facilitant le pilotage de la sécurité

Accroissement de votre capacité de résilience en cas

d’incidents

Processus d’amélioration continue

QUI EST CONCERNÉ ?

Il s’agit d’une norme normative qui peut être mise en œuvre par tous types
d'organisations de toutes tailles confrontées à des risques en matière de sécurité
de l’information.
 COMMENT FONCTIONNE L’IMPLÉMENTATION D’UN SMSI ?

Elle se déroule sur une période de 6 à 12 mois en moyenne et varie selon la

taille, le périmètre retenu ou encore le niveau de maturité en matière de
sécurité des organisations.
Elle s’appuie sur un cycle itératif appelé roue de Deming composé de 4 phases
distinctes : Planification, Développement/Mise en place, Contrôle et
Ajustement.

Bien qu’il ne s’agisse pas d’une liste exhaustive, on peut citer quelques activités
tels que :

La compréhension de l'environnement et l’analyse des écarts entre

l’existant et l’objectif visé

La création de politiques de sécurité

L'identification, l’analyse, l’évaluation et le traitement des risques

La conception et la mise en place des mesures de sécurité

La mise en place d’un plan de gestion des incidents

La mise en place d’un plan de formation et de sensibilisation

La surveillance et la revue des mesures au travers d’audits internes

La mise en place d’un processus d’amélioration continue

À la suite des phases d’audits et en cas de délivrance de la certification, celle-ci

sera alors valide pour 3 années, à la suite de quoi un nouvel audit sera
nécessaire pour le renouvellement de la certification.
 Evolutions

Publiée dans sa première version en 2005 puis mise à jour en 2013,

une nouvelle version est sur le point d’être publiée en cette fin
d’année 2022.
Cela fait notamment suite à l’amélioration récente du la norme
ISO/IEC 27002 (Code de bonne pratique pour le management de la
sécurité de l’information) qui sert de référence pour la sélection des
mesures de sécurité.

L’ancienne version intégrait, dans son Annexe A, 114 contrôles divisés

en 14 chapitres. Désormais la nouvelle version intègre 93 contrôles
divisés en 4 chapitres :

ORGANISATIONNEL (37 POINTS DE CONTRÔLE)

PERSONNEL (8 POINTS DE CONTRÔLE)

PHYSIQUE (14 POINTS DE CONTRÔLE)

TECHNOLOGIQUE (34 POINTS DE CONTRÔLE)

11 contrôles sont nouveaux, 23 contrôles ont été renommés, un

contrôle a été divisé en deux sous-contrôles, 57 contrôles ont été
consolidés en 24, et 34 contrôles sont inchangés.
Pour rappel, une organisation souhaitant obtenir la certification doit
obligatoirement fournir une déclaration d’applicabilité des mesures
de l’annexe A.
Il s’agit d’un document permettant de justifier des décisions
d’inclusions ou d’exclusions de chaque mesure de sécurité en fonction
des résultats de l’appréciation des risques.
 On note également des nouveautés en ce qui concerne le
marquage des mesures de sécurité :

Type de contrôle : préventif, détective, correctif

Propriétés de sécurité de l’information : confidentialité, intégrité,

disponibilité

Concepts de cybersécurité : identifier, détecter, protéger,

répondre, récupérer (inspirés du cadre de cybersécurité du NIST)

Capacités opérationnelles : sécurité des applications, gestion des

actifs, continuité, gouvernance, sécurité des ressources humaines,
gestion des identités et des accès, protection des informations,
assurance de la sécurité des informations, gestion des
événements liés à la sécurité des informations, aspects juridiques
et conformité, sécurité physique, configuration sécurisée, sécurité
des systèmes et des réseaux, sécurité des relations avec les
fournisseurs, gestion des menaces et des vulnérabilités

Domaines de sécurité : défense, gouvernance et écosystème,

protection et résilience

Il est donc fort probable que la nouvelle version de la norme ISO/IEC

27001 soit fortement inspirée de la nouvelle version d’ISO/IEC
27002:2022.
Conseils de LUTESSA pour faciliter la
transition vers la nouvelle version

Pour les organismes n’ayant jamais été certifiés, il est clair que
désormais il faudra se référer aux nouvelles versions publiées en
2022.
Autrement, pour les organismes déjà certifiés sur la version de
2013, il sera alors nécessaire de prévoir une transition vers les
nouvelles exigences des versions d’ISO 27001:2022 et ISO
27002:2022 pour leurs prochains audits de renouvellement de la
certification. (Sous délai de 3 ans maximum)

En vue de faciliter cette démarche, il peut être utile dans un

premier temps d’effectuer de nouvelles analyses de risques en vue
d’exprimer les mesures de sécurité retenues selon les mesures
d’ISO 27002:2022.
Cela impactera donc la déclaration d’applicabilité qui devra à son
tour être mise à jour.

COMMENT LUTESSA PEUT VOUS AIDER À ALLER

PLUS LOIN ?

Disposant d’une expertise reconnue sur le marché sur les sujets de

gouvernance, de mise en conformité ou encore de gestion de
risques, Lutessa accompagne à ce jour de nombreuses
organisations dans l’implémentation ou le maintien de leurs
certifications ISO/IEC 27001.

CONTACT

Mail : hello@lutessa.com
Téléphone : 01 70 22 66 19
Site web : www.lutessa.com