Derniers changements expliqués - Contrôles ISO 27001-2022 - Annexe A

Introduction

ISO 27001 est une norme internationale pour la sécurité de l'information. Elle a été publiée en 2015 pour aider les organisations à établir, mettre en œuvre, maintenir et améliorer leur système de gestion de la sécurité de l'information (SGSI).

La sécurité de l'information est devenue un enjeu majeur pour les entreprises, surtout avec la croissance exponentielle des cyberattaques, si bien que de plus en plus d'entreprises adoptent la norme pour mettre en place un système de gestion de la sécurité de l'information efficace.

Iso 27001 est une norme qui encadre les SGSI, donc de plus en plus d'entreprises deviennent certifiées pour gérer leurs risques liés à ce sujet.

Aujourd'hui, il y a plus de 58 000 entreprises certifiées, dont plus de 16 % dans le secteur des technologies de l'information. (Ces chiffres datent de 2021 et ont donc probablement augmenté de manière significative depuis).

Dans cet article, nous verrons ce qu'est la norme et nous détaillerons plus précisément le sujet des contrôles ISO 27001.


Qu'est-ce que l'ISO 27001 ?

Selon l'Organisation internationale de normalisation :

“ISO/IEC 27001 est la norme la plus connue au monde pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle définit les exigences qu'un SGSI doit respecter.

La norme ISO/IEC 27001 offre aux entreprises de toutes tailles et de tous secteurs d'activité des conseils pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information.

La conformité à ISO/IEC 27001 signifie qu'une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité des données détenues ou traitées par l'entreprise, et que ce système respecte toutes les bonnes pratiques et principes inscrits dans cette norme internationale”.


Quels sont les objectifs de la norme ?

La certification établit un ensemble de normes à utiliser dans votre entreprise pour atteindre six objectifs essentiels :

  • Confidentialité : Préserver la confidentialité des informations, c'est-à-dire les protéger contre toute divulgation non autorisée.

  • Intégrité : Préserver l'intégrité des informations, c'est-à-dire les protéger contre toute modification non autorisée.

  • Disponibilité : Veiller à la disponibilité des informations, c'est-à-dire les protéger contre toute interruption non autorisée de leur disponibilité.

  • Responsabilité : Définir les responsabilités en matière de protection de l'information.

  • Traçabilité : La capacité de suivre l'origine et l'historique des informations.

  • Non-répudiation : C'est la capacité de prouver l'origine et l'intégrité des informations.

Quels sont les avantages d'être certifié ISO 27001 pour une entreprise ?


Amélioration de la sécurité de l'information :

La certification Iso 27001 permet à une organisation de mettre en œuvre un système de gestion de la sécurité de l'information (SGSI) conforme aux normes internationales, garantissant que l'information est traitée en toute sécurité, et donc de réduire la vulnérabilité de l'entreprise face aux cyberattaques. Selon Afnor, 89 % des entreprises certifiées estiment avoir moins d'incidents de sécurité.

Renforcement de la confiance des parties prenantes :

Les parties prenantes telles que les clients, les partenaires commerciaux et les investisseurs sont souvent rassurées par la certification ISO 27001 car elle démontre l'engagement de l'organisation en faveur de la sécurité de l'information.

Avoir la norme peut aussi se révéler être un argument commercial face à un concurrent qui ne l'a pas, ou fidéliser la clientèle. En fait, 88 % des entreprises interrogées par Afnor reconnaissent que la certification leur a permis de conserver certains de leurs clients qui seraient probablement partis autrement.

Amélioration de la culture de sécurité :

Disposer de la certification en place favorise une culture de la sécurité de l'information au sein de l'organisation. En effet, les employés seront sensibilisés lors de la mise en œuvre de la norme mais aussi par le respect des nouveaux processus, les employés seront plus sensibles à ces sujets.

Consultez une analyse SWOT complète, réalisée par l'Université de East London, pour obtenir un aperçu des différentes opportunités, menaces, faiblesses et forces de la mise en œuvre de l'ISO 27001 dans votre entreprise.

Que contient la norme iso 27001 ?

La norme est divisée en deux parties distinctes.

Partie 1 : 11 clauses pour superviser la mise en œuvre de votre SGSI

La première partie se compose des 11 clauses ci-dessous, qui fournissent un cadre pour établir les politiques, procédures et pratiques nécessaires pour protéger les informations sensibles de l'organisation et assurer leur confidentialité, intégrité et disponibilité.

  • Introduction : Une introduction globale à la norme

  • Périmètre : Définition du périmètre du SGSI que l'organisation a l'intention de mettre en œuvre.

  • Références normatives : Listes des normes et documents auxquels une organisation doit se conformer tout en mettant en œuvre le SGSI.

  • Termes et définitions : Définition des termes et définitions utilisés dans la norme.

  • Contexte de l'organisation : Cette clause exige que l'organisation comprenne le contexte de son SGSI, y compris les enjeux internes et externes qui peuvent l'impacter.

  • Leadership : Importance du rôle de la direction générale dans l'établissement et le maintien du SGSI.

  • Planification : Description des exigences en matière d'évaluation et de traitement des risques, ainsi que de l'élaboration de la Déclaration d'Applicabilité (SoA).

  • Soutien : Cette clause décrit les exigences en matière de ressources, de compétences, de sensibilisation, de communication et de documentation nécessaires pour le SGSI.

  • Opération : Description des exigences pour la mise en œuvre des plans de traitement des risques, la surveillance et la révision du SGSI.

  • Évaluation des performances : Cette clause exige que l'organisation surveille, mesure, analyse et évalue les performances de son SGSI.

  • Amélioration : Exigence pour l'organisation d'améliorer continuellement son SGSI sur la base des résultats des évaluations de performances, des audits et des examens.

Partie 2 : Annexe A Cette annexe fournit une liste de contrôles de sécurité de l'information que les organisations peuvent utiliser comme base pour la mise en œuvre de leur système de gestion de la sécurité de l'information.

Elle est conçue pour aider les organisations à identifier les contrôles de sécurité appropriés à mettre en œuvre pour atteindre leurs objectifs SGSI.

Cette liste a récemment été mise à jour.

Contrôles de l'annexe A de l'ISO 27001-2013 et changements récents

ISO 27001-2013 - Annexe A

La norme a été mise à jour en octobre 2022, avec le principal changement dans l'Annexe A.

Auparavant, dans la version iso 27001-2013, l'Annexe A était composée de 114 contrôles répartis autour de 14 catégories différentes, listées ci-dessous.

  • Politique de sécurité de l'information

  • Organisation de la sécurité de l'information

  • Sécurité des ressources humaines

  • Gestion des actifs

  • Contrôle d'accès

  • Cryptographie

  • Sécurité physique et environnementale

  • Sécurité des opérations

  • Sécurité des communications

  • Acquisition, développement et maintenance du système

  • Relations avec les fournisseurs

  • Gestion des incidents de sécurité de l'information

  • Aspects de la sécurité de l'information liés à la gestion de la continuité des affaires

  • Conformité

ISO 27001-2022 - Annexe A

Avant 2022, la norme avait été mise à jour pour la dernière fois en 2013, en 9 ans, le monde de l'information a évolué drastiquement, la norme devait faire évoluer son référentiel pour correspondre à la réalité actuelle du terrain.

Le premier changement majeur est la liste des contrôles iso 27001, auparavant 114, ils sont désormais 93 dans la norme 2022. Parmi les 114 contrôles, 35 restent inchangés, 23 ont été renommés, 57 sont regroupés en 24 (pour plus de clarté), 11 nouveaux contrôles de sécurité ont été créés.

Les 11 nouveaux contrôles créés correspondent aux éléments suivants : Information sur la menace, Sécurité de l'information pour les services cloud, Préparation ICT pour la continuité des affaires, Surveillance de la sécurité physique, Gestion de la configuration, Suppression de l'information, Masquage des données, Prévention de la fuite de données, Surveillance des activités, Filtrage web, Chiffrement sécurisé.

Deuxièmement, ces contrôles sont désormais catégorisés en 4 catégories différentes :

1 - Contrôles organisationnels (37 contrôles)

2 - Contrôles des personnes (8 contrôles)

3 - Contrôles physiques (14 contrôles)

4 - Contrôles technologiques (34 contrôles)

Enfin, la mise à jour met en œuvre cinq catégories d'attributs pour les contrôles de sécurité :

  • Types de contrôle : Préventifs, Détectifs et Correctifs

  • Concepts de cybersécurité : Identifier, Protéger, Détecter, etc.

  • Domaines de sécurité : Gouvernance et Écosystème, Protection, Défense, etc.

  • Propriétés de la sécurité de l'information : Confidentialité, Intégrité et Disponibilité

  • Capacités opérationnelles : Gouvernance, Gestion des actifs, Protection de l'information, etc.

Les cinq attributs attribuent une ou plusieurs valeurs de chaque attribut à l'un des contrôles de sécurité.

L'effet de ce changement est de faciliter le regroupement et le tri, et ainsi de vous aider à trouver les contrôles pertinents à mettre en œuvre en fonction de vos besoins. Par exemple, si vous souhaitez mettre en œuvre des contrôles liés à la gouvernance, vous pouvez simplement filtrer sur ce sujet et vous aurez une liste de contrôles pertinents à votre disposition.


Comment décider quels contrôles ISO 27001 mettre en œuvre ?

Tous les contrôles listés dans l'Annexe A ne sont pas obligatoires à mettre en œuvre dans votre entreprise. L'Annexe A est comme une liste, qui vous permet de sélectionner les contrôles dont vous avez besoin selon votre entreprise. Les contrôles que vous décidez de mettre en œuvre dépendront de l'évaluation des risques et des plans de traitement des risques que vous avez effectués lors des phases précédentes de la mise en œuvre de la norme.

Qui est responsable de la mise en œuvre des contrôles ISO 27001 ?

Dans une organisation, la responsabilité de la mise en œuvre des contrôles ISO 27001 incombe généralement à l'équipe de gestion de la sécurité de l'information. Cette équipe est responsable de la mise en œuvre et du maintien d'un système de gestion de la sécurité de l'information (SGSI) conforme aux exigences d'ISO 27001.

Cependant, comme nous l'avons vu plus tôt, l'Annexe A est composée de quatre catégories différentes de contrôles et 34 des 94 contrôles sont liés aux technologies de l'information. Ainsi, pour mettre en œuvre de manière optimale les contrôles de l'Annexe A, il est nécessaire d'avoir d'autres personnes impliquées dans la mise en œuvre des contrôles qui ont une vision de terrain et globale de l'entreprise sur les trois autres sujets différents.

De plus, au moins un membre de la direction de l'entreprise doit être impliqué dans la mise en œuvre de ce projet. Ce membre doit être responsable de la fourniture des ressources, du soutien et de l'engagement nécessaires pour assurer le succès du SGSI et la mise en œuvre efficace des contrôles de sécurité ISO 27001.

Comment Trout Software peut-elle aider avec les contrôles ISO 27001 ?

Tirer parti de l'automatisation de la conformité

L'ensemble des contrôles à mettre en place pour répondre aux normes ISO 27001 peut représenter une quantité significative de travail. Imaginez donc, la charge de travail que serait de vérifier ces contrôles à des périodes données, ne pas oublier une date de contrôle, effectuer le contrôle à la main, noter le résultat du contrôle dans un document et ensuite analyser tous les résultats 🤯 C'est tout simplement trop chronophage pour les équipes qui passeraient la plupart de leur temps à réaliser ces tâches.

Avec Trout Software, profitez de l'automatisation de la conformité, pour une conformité sans sueur 🎣

L'automatisation de la conformité fait référence à l'utilisation de la technologie pour rationaliser et simplifier les processus liés à la conformité. L'outil créé par Trout Software: Security hub, permet l'automatisation des contrôles de sécurité au sein d'une organisation. Ainsi, la mise en œuvre du contrôle, la répétition du contrôle, le résultat du contrôle et la synthèse de tous les contrôles sont automatisés et centralisés dans Security Hub.

Effectuer une surveillance continue des contrôles

Notre outil vous permet d'automatiser le livre de procédures créé, grâce à notre planificateur.

Comme vous pouvez le voir ci-dessous, il vous permet de choisir le carnet que vous venez de créer, puis de créer des paramètres en fonction de la fréquence souhaitée des contrôles.

Vous pouvez définir ses paramètres en fonction de la fréquence des vérifications, de la date et l'heure de la première vérification que vous souhaitez effectuer et enfin indiquer la fréquence à laquelle vous souhaitez que la vérification soit effectuée.

Une fois que vous avez défini les paramètres, vous pouvez cliquer sur "Planifier". Cela permet d'exercer des contrôles de manière régulière, d'avoir une vue d'ensemble sur le contrôle dans le temps et ainsi de mettre en place une approche ISO 27001, basée sur l'amélioration continue.

 

Foire aux questions :

Quelles sont les différences entre iso 27002 et iso 27001 ? 

ISO 27001 fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer continuellement un SGSI, tandis que ISO 27002 fournit des lignes directrices pour la mise en œuvre des contrôles spécifiés dans l'ISO 27001. La norme ISO27002 complète la norme ISO 27001, mais elle n'est pas certifiante.

Quel est le coût de la certification iso 27001 ? 

Le coût de la certification ISO 27001 peut varier en fonction de plusieurs facteurs, tels que la taille et la complexité de votre organisation, le périmètre de votre SGSI, et l'organisme de certification avec lequel vous choisissez de travailler.

À quelle fréquence dois-je revoir et mettre à jour les contrôles ISO 27001 ?

Une révision et une mise à jour régulières du SGSI et de ses contrôles sont nécessaires pour garantir leur efficacité et leur pertinence dans la gestion des risques de sécurité de l'organisation. La fréquence de ces examens dépend de divers facteurs tels que la taille de l'organisation, sa complexité, le périmètre du SGSI, et le profil de risque. Il est généralement recommandé de réaliser une révision formelle du SGSI et de ses contrôles au moins une fois par an, et aussi en cas de changements significatifs dans l'organisation, ses systèmes ou processus, ou le paysage des menaces. Cela aidera à garantir que le SGSI reste à jour et aligné avec les objectifs commerciaux et les besoins en matière de sécurité de l'organisation.

Combien de temps ai-je pour répondre aux nouvelles exigences de la norme Iso 27001 - 2022 ?

Selon ISO : “Les nouveaux audits ou recertifications après octobre 2023, doivent être effectués selon la version 2022.”


Quelle est la dernière norme pour iso 27001 ? 

L'ISO 27001 a été mise à jour pour la dernière fois en octobre 2022, représentant la version la plus récente. 

Combien de temps dure la certification iso 27001 ? 

La durée pour obtenir la certification ISO 27001 peut varier selon plusieurs facteurs, notamment la taille et la complexité de l'organisation, ses pratiques actuelles en matière de sécurité de l'information, et son niveau de préparation à la certification. 

En moyenne, le processus de certification prend généralement entre 6 à 12 mois, mais il peut être plus long dans certains cas.

Autres articles de blog de Trout

Pare-feu pour les enterprises manufacturiètes : Revue 2025

Quels sont les 11 nouveaux contrôles mis en œuvre par l'ISO/CEI 27001:2022 ?