Le contexte
L’ISO/IEC 27002 Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information est une norme (non certifiable) étendant l’annexe A de la norme ISO/IEC 27002:2013 (corrigée marginalement en 2014 et 2015). Cette annexe A est une particularité dans les normes de systèmes de management. Elle vise à compléter le système de management de la sécurité de l’information par des objectifs et des mesures de référence, visant à couvrir les risques communs (par exemple d’origine accidentelle) ou déployer ce qui est admis comme étant des pratiques minimales des métiers concernés par la sécurité de l’information.
L’ISO/IEC 27001 en vigueur en France est la norme ISO/IEC 27001:2017, dont la libre consultation est sponsorisée par l’Agence du Numérique en Santé. Son Annexe A est toujours celle complétée par l’ISO/IEC 27002:2013 (corrigée 2014 et 2015). Cependant, présageant d’une nouvelle norme ISO/IEC 27001:2022, l’ISO/IEC 27002:2022 est sortie en début d’année. Elle apporte son lot de changements et d’éclaircissements. En voici une première approche :
Un comparatif d’ensemble
| Critère d’appréciation | ISO/IEC 27002:2013 | ISO/IEC 27002:2022 | Commentaire |
|---|---|---|---|
| Titre | Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information | Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information | Titre plus direct, plus clair, qui passe des « bonnes pratiques » à des « mesures ». On parle aussi maintenant de sécurité de l’information, de cybersécurité et de protection de la vie privée. |
| Nombre de chapitres | 13 | 4 | Une organisation plus claire, structurée sur la base de contrôles organisationnels (§5), humains (§6), physiques (§7) et technologiques (§8) |
| Nombre de mesures | 114 | 93 | Un découpage plus lisible, plus concis, plus direct. On se perd moins dans les détails, on vise vraiment une sécurité « couvrante » et non une addition de mesures. |
| Nombre de pages | 90 | 164 |
| Nom du chapitre | Nombre de mesures | Proportion |
|---|---|---|
| Mesures organisationnelles | 37 | 40% |
| Mesures humaines (RH) | 8 | 9% |
| Mesures physiques | 14 | 15% |
| Mesures technologiques | 34 | 36% |
Notre analyse
On voit bien, dans la structure de la norme, combien la sécurité de l’information c’est avant tout pour des humains et par des humains. En effet, les mesures technologiques ne font que 36% de l’ensemble, et un peu plus du double des mesures physiques : avoir des systèmes ultra-sécurisés et redondés sur ses serveurs alors que la porte de la salle est facilement crochetable ou inondable, ce n’est pas bon signe. Et si on y rajoute une porte blindée (et le gros œuvre qui va avec) avec serrure inviolable, cela ne sert à rien si on recrute le premier espion qui passe. Enfin, on a beau avoir évité tout cela, si un incident survient le week-end et qu’il n’y a personne pour s’en rendre compte, cela finit rapidement en accident.
Vous l’aurez compris, la sécurité de l’information ne couvre pas réellement les risques auxquels une organisation est confrontée si on considère le sujet comme uniquement technologique. Et les auteurs de la norme ISO/IEC 27002:2022 l’ont rendu encore plus explicite que par le passé.
Enfin, l’approche technologique a été rafraîchie pour correspondre à l’air du temps, créant 7 nouvelles mesures technologiques et reprenant le contenu des mesures maintenues.
Et sur le terrain, quoi de neuf ?
| Mesures de 2013 disparues en 2022 | 0 |
| Mesures de 2013 fusionnées en 2022 | 6.2.1, 11.2.8 8.3.1, 8.3.2, 8.3.3, 11.2.5 10.1.1, 10.1.2 11.1.2, 11.1.6 12.1.2, 14.2.2, 14.2.3, 14.2.4 12.4.1, 12.4.2, 12.4.3 12.5.1, 12.6.2 12.6.1, 18.2.3 14.2.8, 14.2.9 16.1.2, 16.1.3 17.1.x 18.1, 18.5 18.2.2, 18.2.3 |
| Mesures apparues en 2022 | 5.30 Disponibilité 7.4 Surveillance de la sécurité physique 8.9 Gestion de la configuration 8.10 Purge des informations 8.11 Masquage des informations 8.12 Prévention des fuites d’information 8.16 Surveillance des activités 8.23 Filtrage web 8.28 Programmation sécurisée |
En quoi cette norme si précise peut-elle être intéressante pour toutes les organisations, quelle que soit leur taille ?
Si la norme ISO/IEC 27001 structure l’organisation de la sécurité de l’information, passage qui devrait être obligé dans toutes les organisations depuis le début du XXIè siècle au moins, et ce quelle que soit leur taille, la norme ISO/IEC 27002:2022 quant à elle indique un socle de mesures de sécurité de base, génériques et couvrant les risques les plus communs en matière de sécurité de l’information.
Adopter (déployer, contrôler et améliorer) un tel socle a de nombreux avantages. Citons par exemple :
- Atténuer immédiatement l’ensemble des risques accidentels ;
- Réduire le temps d’investigation pour reproduire ce qui a été concentré ici de connaissances académiques ;
- Pouvoir s’appuyer, tant pour les AIPD qu’en appréciation des risques cyber, sur la méthode EBIOS RM qui pré-suppose l’adoption d’un socle de mesures de sécurité couvrant les risques accidentels, et ainsi gagner un temps considérable et un niveau de qualité supérieur, et donc de sécurité.
- Ne pas avoir à documenter (et donc y réfléchir), pour chaque traitement de données, les différentes mesures génériques déployées pour atténuer les risques de perte de confidentialité, d’intégrité et de disponibilité, laissant toute l’attention des équipes sur les risques intentionnels, en évitant les risques communs (registre des traitements et AIPD) ;
Acheter une norme, pour ça… c’est un investissement que je ne me vois pas défendre…
- La norme ISO/IEC 27001:2017 est consultable sur le site de l’AFNOR, sans frais (sponsorisé par l’État Français), et son annexe A reprend la norme ISO/IEC 27002:2013 par le sommaire, c’est déjà ça ;
- L’ISO/IEC 27002:2022 est la dernière arrivée, bien à jour, bien pensée…
- Rouler en moto sur l’autoroute sans casque ni gants et en claquettes, avec votre jeune enfant à l’arrière : il est peu probable que cette situation vous convienne. Et cela équivaut pourtant à ne pas mettre en place un socle de mesures de sécurité de base dans votre organisation. Cela vous convient ?
Alors si cette aventure sur l’autoroute ne vous donne pas envie, vous aurez compris pourquoi il est essentiel de mettre en place un système de gestion de la sécurité de l’information, dans les petites comme dans les grandes organisations, avec ses mesures de base associées.
Au besoin, contactez-nous pour vous accompagner et… trouver votre route.
Crédit photo: Caters News Agency