Nouvelle norme ISO 27002:2022

Qu'est-ce que cela signifie pour le CyberManager et la norme ISO 27001 ?

Depuis février dernier, il y a une nouvelle norme ISO/IEC 27002:2022. Nous recevons de nombreuses questions à ce sujet de la part de nos clients aux Pays-Bas. Ce blog couvre :

1. Nouvelle norme ISO/IEC 27002:2022
2. L'ISO 27001 n'est pas la même chose que l'ISO 27002
3. Audit et certificat ISO 27001, l'annexe A et le VVT
4. En quoi la nouvelle norme ISO 27002:2022 diffère-t-elle de la précédente ?
5. Quel est le rapport entre la nouvelle norme ISO 27002 et ma certification ISO 27001 ?
6. Est-ce que quelque chose va changer dans CyberManager en termes de contenu et de fonctionnalité ?

1) Nouvelle norme ISO/IEC 27002:2022

ISO/IEC 27002:2022 est le successeur d'ISO/IEC 27002:2013. Il existe une certaine confusion à ce sujet, car aux Pays-Bas, elle est disponible sous le nom de NEN-EN-ISO/IEC 27002:2017. Quelle est cette différence de désignation et d'année ?

L'Organisation internationale de normalisation (ISO) établit des normes. L'organisation est une alliance d'organisations nationales de normalisation dans 163 pays, comme aux Pays-Bas où nous connaissons le NEN. Au niveau international, l'ISO travaille beaucoup avec la CEI, la Commission électrotechnique internationale, c'est pourquoi certaines normes portent la désignation ISO/CEI. NEN est l'abréviation de NEderland Normalisation Institute, qui est responsable de l'enregistrement des normes. La désignation EN signifie "European Standards Organisation" et s'applique à l'ensemble de l'Europe. Les instituts nationaux de normalisation tels que le NEN les publient ensuite dans leur propre pays. Une norme ISO/CEI NEN-EN signifie donc qu'il s'agit d'une norme internationale qui est également acceptée en Europe et qui est également acceptée aux Pays-Bas par le NEN. Un ajout tel que NL est souvent ajouté pour indiquer qu'elle est également disponible en langue néerlandaise.

Comme il peut s'écouler du temps entre la traduction et/ou l'alignement d'une norme internationale sur la législation locale, il peut y avoir une différence de contenu (minimale) et de publication. Mais à la base, la norme "nationale" NEN-EN-ISO/IEC 27002:2017 est la même que l'ISO/IEC 27002:2013.

2) La norme ISO 27001 n'est pas la même que la norme ISO 27002.

La norme ISO 27001 est une norme mondialement reconnue dans le domaine de la sécurité de l'information. L'utilisation de ce que l'on appelle le système de gestion de la sécurité de l'information (SGSI) décrit la mise en œuvre du processus de gestion des risques liés à la sécurité de l'information. Il n'est actuellement possible de se certifier que selon la norme ISO 27001.
Les versions actuelles sont les suivantes :

• ISO/IEC 27001:2013 (international), qui est toujours la norme actuelle.
• NEN-EN-ISO/IEC 27001:2017 (également disponible en néerlandais via le NEN comme -NL mais ne diffère pas en termes de contenu)

3) Audit et certificat ISO 27001, l'annexe A et le VVT

Un audit ISO 27001 se concentre principalement sur l'assurance des processus, le SMSI, mais l'audit teste également les mesures de contrôle décrites dans l'annexe A (ou annexe A en néerlandais) du document de la norme ISO 27001. Cette annexe A est une liste de mesures de contrôle et celles-ci sont (y compris la numérotation, les chapitres et les paragraphes) reprises de la norme ISO 27002, mais ne sont pas les mêmes.  

La norme ISO 27002 va au-delà de cette simple énumération de mesures de contrôle et propose un examen plus approfondi de chaque mesure de contrôle sous la forme de "meilleures pratiques" (techniques, méthodes de travail, le cas échéant, à appliquer, etc.) pour étoffer la mesure de contrôle.

Vous êtes libre d'appliquer d'autres mesures de contrôle (les vôtres ou celles d'autres normes telles que CIS, NIST-CSF, etc.) pour autant que vous puissiez démontrer que vous respectez les mesures de contrôle de l'annexe A.

Pour chaque mesure de gestion, vous devez indiquer si elle est applicable ou non et si elle a été mise en œuvre ou non. Vous le déclarez dans la déclaration d'applicabilité (VVT). Cette VVT contient la référence à la version utilisée lors de l'audit ISO 27001, par exemple EN-EN-ISO/IEC 27001:2017 +A11:2020.

Hé, une autre indication "+A11:2020" ? Ce "+A11" fait référence aux changements par rapport à ceux effectués par le NEN et le ":2020" à l'année où ce changement a été effectué. Le NEN utilise sa propre numérotation pour la même norme aux Pays-Bas, ce qui peut donc prêter à confusion. D'autres pays peuvent également utiliser leur "propre" numérotation différente.
J'espère que vous comprenez toujours...... ?

4) En quoi la nouvelle norme ISO 27002:2022 diffère-t-elle de la précédente ?

Nous n'allons pas détailler tous les changements dans ce blog, certains sont déjà connus, mais nous allons surtout expliquer les choses qui affecteront nos utilisateurs.

Dans l'ancienne norme ISO/CEI 27002:2013, chaque mesure de gestion (meilleure pratique) consistait en un :

• Description du contrôle (mesure de gestion)
• Conseils de mise en œuvre, ou "meilleures pratiques")

La nouvelle norme ISO/IEC 27002:2022 ne parle plus de "meilleures pratiques", mais uniquement de mesures de gestion (contrôles), qui consistent désormais en :

• Description du contrôle (mesure de gestion)
• Objectif
• Orientation

Un tableau d'attributs (voir l'exemple ci-dessous) est également affiché pour chaque contrôle (mesure de contrôle), ce qui peut aider à sélectionner (filtrer) les mesures de contrôle sur différents points.

Trois types de contrôle pour sélectionner les mesures de contrôle du point de vue du moment et de la manière d'agir en cas d'incident de sécurité de l'information.

Préventif ; le contrôle doit empêcher l'apparition d'un incident de sécurité de l'information,

Détective ; la surveillance a lieu lorsqu'un incident de sécurité de l'information se produit,

Correctif ; le contrôle a lieu après qu'un incident de sécurité de l'information se soit produit.

Un trio de propriétés de la sécurité de l'information : pour sélectionner les mesures de gestion du point de vue des caractéristiques de l'information telles que : La confidentialité, l'intégrité et/ou la disponibilité.

Les concepts de cybersécurité sont un attribut permettant de sélectionner les mesures de gestion du point de vue des concepts de cybersécurité définis dans le cadre de cybersécurité ISO/IEC TS 27110 et dans le modèle CSF du NIST : Identifier, Protéger, Détecter, Répondre et Récupérer.

Les capacités opérationnelles sont un attribut permettant de sélectionner les mesures de gestion du point de vue du propriétaire ou du gestionnaire d'une zone donnée. Les valeurs de l'attribut sont les suivantes : Gouvernance, gestion des actifs, sécurité de l'information, RH, sécurité physique, sécurité des systèmes et des réseaux, sécurité des applications, configuration sécurisée, gestion des identités et des accès, gestion des vulnérabilités et des menaces, continuité, gestion des fournisseurs, conformité aux lois et aux règlements, gestion des incidents de sécurité de l'information et assurance.

Security domains est un attribut permettant de sélectionner des mesures de gestion du point de vue de quatre domaines de sécurité de l'information : Gouvernance et écosystème, Protection, Défense et Résilience.

Tous les attributs de la norme ISO 27002 décrits ci-dessus sont génériques et les organisations peuvent choisir d'ignorer un ou plusieurs de ces attributs ou de créer les leurs.

5) Quel est le rapport entre la nouvelle norme ISO 27002 et ma certification ISO 27001 ?

Rien pour l'instant, il n'y a pas de nouvelle norme ISO 27001 et donc pas encore de nouvelle annexe A. Il y en aura une bien sûr. Il y en aura une, bien sûr, et les annexes A seront alors conformes les unes aux autres en termes de présentation et d'énumération de la description des mesures de contrôle. L'organisation NEN prévoit une annexe A mise à jour pour la norme ISO/CEI 27001:2013 existante en mai, avec une désignation peut-être +A1:2022 ? Après tout, il s'agira alors du premier "amendement" à la nouvelle annexe 2022. Nombreux sont ceux qui attendent la version modifiée de la norme néerlandaise NEN-EN ISO/IEC 27001:2017 +A1:2022. Elle est attendue pour la fin de l'année 2022.

Si vous avez déjà un certificat, vous ne devez rien faire immédiatement. Une période de transition de 2 ans s'applique une fois que la nouvelle norme ISO27001 est en place avec l'annexe A mise à jour. Si vous êtes au milieu d'un processus de certification, la question de savoir s'il est préférable de se concentrer sur la nouvelle norme ISO27001 et l'annexe A dépend du moment où vous effectuerez l'audit. Convenez-en avec votre organisme de certification ou votre partenaire de mise en œuvre, par exemple !

 6) Est-ce que quelque chose va changer dans le CyberManager en termes de contenu et de fonctionnalité ?

La structure de la nouvelle annexe A ne sera très probablement pas très différente de l'annexe A actuelle. Donc également une liste de mesures de gestion mais :

• La classification sera fondée sur la nouvelle annexe A qui est basée sur la norme ISO 27002:2022.
  
  1. Ancien : 14 chapitres et 114 mesures de gestion
  2. Nouveau : 4 chapitres (humain, technique, physique et organisationnel)

• 93 mesures de gestion au lieu de 114, donc moins de travail ? 11 nouvelles mesures ont été ajoutées mais elles sont dans le total de 93. Mais comment ? Dans le nouveau 27002, 114 mesures de gestion qui étaient déjà nombreuses ont été fusionnées, certaines sont restées les mêmes et une mesure a été divisée pour arriver à 82. La liste complète des différences entre l'ISO 27002 et l'ISO 27002:2013 se trouve dans l'annexe B de l'ISO 27002:2022.

Il sera familier aux utilisateurs de CyberManager qui utilisaient l'ensemble de mesures CyberManager. Au lieu des 4 nouvelles sections et des 82 mesures de gestion fusionnées, l'ensemble de mesures CyberManager était déjà basé sur 7 sections et 71 mesures fusionnées.

Nous comprenons donc cette nouvelle norme ISO 27002:2022, mais nous sommes allés un peu plus loin. À propos, cet ensemble de mesures CyberManager peut toujours être utilisé dans le nouveau format.

Une fois que la nouvelle annexe A sera en place, les éléments suivants seront traités :

6.1) Ajout de la norme NEN-EN ISO/IEC ISO27001:2017 +A1:2022 si vous avez une licence.

6.2) Nous fournissons une autre classification des mesures

Repositionner les mesures dans le chapitre approprié, certaines fusions et ajouter/intégrer les 11 nouvelles mesures.

Tous les liens existants avec les mesures de gestion (contrôles) vers d'autres normes telles que ISAE 3402, SOC 2, etc. continueront d'exister. En fait, rien ne change en ce qui concerne les mesures existantes et fusionnées.

De nouveaux modèles pour les nouvelles mesures : La nouvelle norme ISO 27002 a donc également ajouté de nouvelles mesures de gestion, qui doivent donc également être ajoutées ou intégrées à l'ensemble des mesures :

- Renseignements sur les menaces (cl. 5.7)

- Sécurité des informations pour l'utilisation des services en nuage (cl. 5.23)

- Préparation des TIC à la continuité des activités (cl. 5.30)

- Surveillance de la sécurité physique (cl. 7.4) Gestion de la configuration (cl. 8.9)  

- Suppression d'informations (cl. 8.10) 

- Masquage des données (cl. 8.11)

- Prévention des fuites de données (cl. 8.12)

- Activités de surveillance (cl. 8.16) 

- Filtrage du Web (cl. 8.23)

- Codage sécurisé (cl. 8.28)

Vous devez mettre en œuvre ces nouvelles mesures de gestion, que vous utilisiez l'"ancienne" norme ISO 27002:2017, l'ensemble de mesures CyberManager ou un autre ensemble comme l'ancienne norme ISO 27002.

Un accroc ?

La norme ISO 27002:2022 comprend un tableau de référence permettant de suivre les "anciennes" mesures de gestion jusqu'aux nouvelles. Pour certaines mesures de gestion, le texte a changé, d'une part en raison de la fusion (dans ce cas, peu de choses ont changé en termes de contenu), mais le texte peut également avoir changé.  Pour certaines mesures de gestion pour lesquelles les meilleures pratiques ont maintenant été incluses en tant que directive de mise en œuvre, le contenu de la mesure de gestion a également changé, de même que l'annexe A.

Avec une nouvelle cartographie, vous n'y êtes pas. Nous vous le ferons remarquer en temps voulu, mais vous devrez vérifier si vos mesures actuelles sont toujours adaptées.

6.3) Et en termes de fonctionnalité ?

Le processus de sélection des mesures pour générer des propositions de mesures (baseline) dans le CyberManager s'aligne déjà largement sur l'utilisation de ces attributs. 

Le système offre déjà la possibilité de travailler avec des sélections (attributs) telles que les types de contrôle, mais un type de détection n'a pas encore été appliqué.

Les fonctions de sécurité de l'information ont déjà été mises en œuvre.

Les concepts de cybersécurité et les domaines de sécurité sont déjà appliqués comme attributs de niveau de sécurité pour le BIO (niveaux BBN1, BBN2 et BBN3) et les concepts de cybersécurité pour le contrôle CIS et le NIST CSF.

L'attribut "Capacités opérationnelles" est partiellement couvert dans le CyberManager par des types de processus/organisation et/ou de ressources.

La nouvelle norme ISO27002:2022 n'apporte donc pas de changements majeurs, mais si nécessaire, nous la compléterons afin que l'alignement avec la norme ISO27002:2020, pour les clients qui souhaitent l'utiliser, soit aussi optimal que possible.

Par commodité pour ce blog, quelques éléments ont été traduits de la norme ISO/IEC 27002:2022
mais nous vous conseillons d'attendre la traduction officielle en néerlandais des nouvelles normes.

Sources :
Informations mises à disposition par le NEN lors du webinaire de février,
la norme ISO/IEC 27002:2022, le site web NEN, le site web ISO.org et notre organisme de certification.