Évolution de la norme ISO 27002 : en quoi est-ce intéressant ?

La norme ISO 27002, code de bonne pratique pour les mesures de sécurité de l’information, dont la dernière version date de mai 2017, évolue de manière majeure. La nouvelle version est attendue officiellement pour ce mois de janvier ou courant février 2022.

À quoi ça sert la norme ISO 27002 ? C’est un ensemble de propositions de mesures pour aider à répondre, en particulier, aux exigences de l’annexe A de l’ISO 27001. Et l’ISO 27001 identifie les exigences à mettre en œuvre pour un système de management de la sécurité de l’information (SMSI).

Les organismes sont certifiés HDS (hébergeurs de données de santé) sont obligatoirement certifiés ISO 27001. L’évolution de l’ISO 27002 intéresse au moins les structures déjà certifiées, et d’autres qui y travaillent.

Actuellement, la norme ISO 27002 comporte 14 chapitres et 114 mesures. La nouvelle version comportera une structure divisée en quatre thèmes et 93 mesures :

• 37 mesures organisationnelles ;
• 8 mesures liées aux personnes ;
• 14 mesures physiques ;
• 34 mesures technologiques.

« 93 mesures au lieu de 114, ce sera donc plus facile ? » « Pas si sûr, cher Padawan ». En fait, certaines mesures précédentes fusionnent. Et de nouvelles mesures apparaissent, dont :

• Intelligence des menaces ;
• Sécurité de l’information dans l’utilisation de services en nuage (certains emploient « Cloud » au lieu de nuage, qui est tout de même plus poétique !) ;
• Prévention de la fuite des données (toujours utile d’avoir un plombier !) ;
• Filtrage internet.

La description des mesures de sécurité comprend également des préconisations et quatre attributs :

• Types de mesures : Prévention, Détection, Correction ;
• Propriétés : Confidentialité, Intégrité, Disponibilité ;
• Concepts : Identification, Protection, Détection, Traitement, Récupération ;
• Capacités opérationnelles, dont Gouvernance, Gestion des actifs, Protection des informations…

L’ISO 27001 va évoluer, à son rythme aussi, pour prendre en compte les changements de l’ISO 27002, puis viendra le schéma de certification.

Pour les structures déjà certifiées HDS ou ISO 27001, ou en cours d’homologation, rassurez-vous, le schéma de certification ne va pas changer tout de suite.

Cependant, je vous conseille de réaliser un audit de conformité sur la base de la nouvelle version de l’ISO 27002, en imaginant les prochaines exigences de l’annexe A modifiée. Je tiens à cette précision : on ne fait pas d’audit de conformité sur l’ISO 27002, c’est un ensemble de bonnes pratiques, et non des exigences. J’entends parfois des consultants ou des DSI parler d’audit ISO 27002 : « Non, ce n’est pas possible ! »

Et puis, un beau jour, vous allez bénéficier du futur référentiel Maturin-H, basé notamment sur l’ISO 27001.

Alors je vous invite à mettre œuvre une démarche, vertueuse, de gouvernance de la SSI : un SMSI. Vous pouvez étendre les fondamentaux associés à la conformité avec le RGPD (base ISO 27701) et aussi à la gouvernance du SI. Avec un double objectif : fournir un service d’accès à l’information de qualité pour les besoins des métiers de l’établissement et améliorer les pratiques. Certains rêveront de tendre vers l’excellence.

C’est une belle opportunité d’apporter de la méthode, du pragmatisme et du bon sens. Et ne me dites pas que c’est coûteux : ça l’est moins que de travailler sans méthode et dans l’urgence.

Certains vont dire : « Oui, tu racontes cela, parce que tu es consultant, formateur et auditeur de certification. C’est pour capter de nouvelles prestations ! » « Oui, peut-être, mais pas uniquement ! »

Une démarche vertueuse et qui permet d’apporter du bon sens dans les prises de décision permet aussi d’apporter plus de dialogue avec les parties intéressées, en interne, avec les prestataires ou avec la tutelle. « C’est des vœux pieux, tout ça ! On n’a pas le temps de rédiger des procédures, d’échanger avec les métiers… », diront certains. « Et puis, on fait quoi quand le DG dit que c’est du flan et qu’il peut écrire lui-même une PSSI en consultant un livre ». Oui, je sais, les contextes sont parfois difficiles.

Et pourtant, c’est un projet à fortes valeurs ajoutées, si on sait déterminer les apports pour les métiers, pour la DSI, et si on a une direction impliquée. C’est un projet d’établissement et un travail d’équipe.

Maintenant, à vous de décider !

Prochaines sessions > Du 25 au 29 avril 2022 à Paris
Pour en savoir plus :  

L'auteur

Yves Normand - Consultant senior et formateur en SSI certifié ISO 27001 Lead Implementer, ISO 27001 Lead Auditor, ISO 27005 Risk Manager et Certified DPO.