La norme ISO 27001 occupe une place centrale dans les métiers de la Gouvernance et du Management du risque. Sa nouvelle version, publiée le 25 octobre 2022, s’inscrit dans une démarche itérative, conforme à la tradition de révision – tous les 5 ans – pour les normes de la famille ISO. Cette mise à jour est particulièrement pertinente compte tenu des nouveaux enjeux de cybersécurité auxquels les entreprises sont confrontées, en particulier en matière de protection des données personnelles.
La norme a été rebaptisée « Sécurité de l’information, cybersécurité et protection de la vie privée » pour refléter ces évolutions, en lien étroit avec les réglementations mises en œuvre depuis la révision précédente en 2017 – notamment le RGPD. Découvrez ici les principaux changements apportés par cette version remasterisée et leur impact concret sur les entreprises.
La norme ISO 27001:2022 – Gouvernance et Management des risques
La publication de la nouvelle version de la norme ISO 27001, le 25 octobre 2022, marqua une démarche itérative liée aux enjeux de cybersécurité actuels. Cette version s’intitule désormais « Sécurité de l’information, cybersécurité et protection de la vie privée ». Elle s’adapte aux nouvelles réglementations en vigueur, notamment le RGPD, avec des révisions tous les 5 ans.
Changements apportés par la version 2022
Bien que la structure de la norme ISO 27001 reste inchangée avec ses 10 chapitres, certaines clauses ont été réorganisées pour une meilleure lisibilité des exigences. Des ajouts ont été faits pour certaines clauses, tandis que l’Annexe A (norme 27002) a connu des changements majeurs.
Évolutions au sein de la norme 27002:2022
La norme 27002 a été épurée pour être plus opérationnelle et compréhensible. Les mesures de sécurité sont désormais regroupées en quatre thématiques : contrôles organisationnels, du personnel, physiques et techniques. Le nombre d’exigences a été réduit, passant de 114 à 93, tout en mettant l’accent sur la protection des données personnelles.
Nouveaux attributs de sécurité pour une meilleure conformité
La version 2022 de la norme ISO 27001 a ajouté des caractéristiques associées sous forme de mots-clés pour chaque exigence. Ces attributs facilitent la vérification de la conformité, s’inspirant des cinq fonctions du référentiel NIST pour la cybersécurité.
Limites de la nouvelle version
Bien que la norme ISO 27001:2022 soit plus fluide et opérationnelle, certaines mesures de sécurité se chevauchent et abordent la même thématique. Il est essentiel de regrouper les mesures connexes pour faciliter les audits.
Limites de la nouvelle version
La mise en application de la nouvelle norme dépend du niveau de maturité cyber de chaque entreprise. Les délais de mise à jour varient en fonction de plusieurs critères, mais une entreprise déjà certifiée peut s’aligner sur les nouvelles exigences en quelques mois.
L’évolution de la norme ISO 27001 vers sa version 2022 l’a rendu plus accessible pour les entreprises et organisations. En se concentrant sur la prévention, la détection et la correction, cette norme offre un socle solide de sécurité pour toutes les entités. Elle permet aux entreprises de réduire leur exposition aux risques, de maîtriser leur patrimoine informationnel et de faire face aux nouvelles menaces cyber.
