Accueil de l'Académie
Blogs
La norme ISO 27001 mise à jour à la version 2022 - qu'est-ce qui a changé ?
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

La norme ISO 27001 mise à jour à la version 2022 - qu'est-ce qui a changé ?

Collection ISO 27001
La norme ISO 27001 mise à jour à la version 2022 - qu'est-ce qui a changé ?
Collection NIS2
La norme ISO 27001 mise à jour à la version 2022 - qu'est-ce qui a changé ?
Cyberday blog
La norme ISO 27001 mise à jour à la version 2022 - qu'est-ce qui a changé ?

Après neuf ans, la norme ISO 27001, la plus importante norme de sécurité de l'information au monde, a été mise à jour. La dernière mise à jour de la norme a eu lieu le 25.10.2022, bien que la liste des contrôles de la norme ISO 27002 ait déjà été mise à jour auparavant.

Cette mise à jour n'apporte que des changements modérés, mais il est important de les comprendre de près. Qu'est-ce qui a changé si l'on compare les versions 2013 et 2022 et comment ces mises à jour sont-elles visibles le jour du Cyberday?‍

Résumé de la mise à jour de la norme ISO 27001 2022

La partie principale de la norme, à savoir les clauses 4 à 10 de la norme ISO 27001, n'a pas fait l'objet de changements significatifs lors de la révision.

Les contrôles de sécurité de la norme ISO 27002 (ou l'annexe A, si vous préférez) ont à leur tour fait l'objet de modifications modérées :

  • 11 contrôles totalement nouveaux sont introduits
  • Aucun contrôle n'est totalement supprimé des normes, mais de nombreux contrôles sont fusionnés.
  • En raison des fusions, le nombre total de contrôles a finalement diminué de 114 à 93, bien qu'en tant qu'entité, les contrôles aient gagné en contenu
  • Les contrôles sont répartis en 4 sections, au lieu des 14 précédentes.
La nouvelle révision de la norme ISO 27001:2022 est désormais disponible dans Cyberday

Nouveaux contrôles dans la norme ISO 27001/27002:2022

Les 11 contrôles totalement nouveaux de la norme ISO 27002 sont les suivants :

  • 5.7 Renseignements sur les menaces: L'organisation doit disposer de processus clairs concernant la collecte et l'analyse des informations relatives aux menaces pour la sécurité.
  • 5.23 Sécurité de l'information pour l'utilisation des services en nuage: L'organisation doit disposer de principes de haut niveau concernant l'utilisation des services en nuage et la gestion des risques connexes, ainsi que de critères permettant, par exemple, de sélectionner des fournisseurs sûrs, de contrôler les activités des fournisseurs de services en nuage et d'utiliser des accords pour exiger des mesures de sécurité suffisantes de la part des partenaires.
  • 5.30 Préparation des TIC à la continuité des activités: Les exigences de continuité pour les services TIC clés doivent être clairement identifiées et dérivées des autres plans de continuité clés de l'organisation.
  • 7.4 Contrôle de la sécurité physique: L'organisation doit définir clairement le type de systèmes de surveillance utilisés dans ses locaux physiques et assurer une surveillance suffisante des installations comportant des systèmes critiques.
  • 8.9 Gestion de la configuration: Des modèles standard de configuration sécurisée des systèmes de données, des réseaux et d'autres équipements doivent être utilisés et d'autres processus existent pour contrôler les configurations correctes.
  • 8.10 Suppression des informations: Les données stockées dans les systèmes de données, les appareils ou tout autre support de stockage doivent être supprimées lorsqu'elles ne sont plus nécessaires.
  • 8.11 Masquage des données: Les besoins de masquer certaines données sensibles (par exemple par le biais du masquage, de la pseudonymisation ou de l'anonymisation) doivent être identifiés et mis en œuvre si nécessaire.
  • 8.12 Prévention des fuites de données: Les systèmes de données, les réseaux et les autres dispositifs qui traitent, stockent ou transmettent des données sensibles doivent faire l'objet de mesures de prévention des fuites de données.
  • 8.16 Activités de surveillance: L'organisation doit définir des processus clairs pour surveiller les réseaux et les systèmes de données afin de détecter tout comportement anormal et, le cas échéant, poursuivre le processus jusqu'à la gestion des incidents de sécurité.
  • 8.23 Filtrage du web: L'organisation doit identifier les types de sites web auxquels le personnel doit ou ne doit pas avoir accès. L'accès aux sites web externes inutiles doit être géré de manière à réduire l'exposition, par exemple, aux logiciels malveillants.
  • 8.28 Codage sécurisé: L'organisation doit avoir défini des règles claires pour le codage sécurisé (par exemple, des lignes de base minimales en matière de sécurité), qui garantissent que le logiciel est écrit et testé correctement et réduisent le potentiel de vulnérabilités techniques dans les services créés.

En outre, de nombreux contrôles ont été fusionnés dans cette mise à jour. Cela signifie que de plus en plus de contrôles commencent à avoir une taille significative et à exiger une exécution soigneusement planifiée.

En outre, les modifications mineures apportées aux contrôles sont les suivantes :

  • 57 contrôles ont été fusionnés
  • 23 contrôles ont été renommés
  • 1 contrôle a été divisé

Chez Cyberday , nous nous réjouissons de cette évolution. Nous avons déjà constaté que de nombreux contrôles deviennent de plus en plus importants et partagent, par exemple, 50 % de leur contenu avec des contrôles similaires d'autres normes. C'est pourquoi nous avons créé un "niveau de tâche" générique entre, par exemple, les contrôles ISO et les tâches de votre propre SMSI. Les tâches racontent de manière plus détaillée comment vous mettez en œuvre chaque contrôle.

Nouvelles sections de contrôle dans la norme ISO 27001/27002:2022

Dans la nouvelle version, les contrôles sont divisés en 4 sections. Les contrôles sont classés par catégories... :

  • Les contrôles de personnes, s'ils concernent des personnes individuelles‍
  • Les contrôles physiques, s'ils concernent des objets physiques‍
  • Les contrôles technologiques, s'ils concernent la technologie
  • et d'autres contrôles de l'organisation

Cette répartition des contrôles de sécurité met bien en évidence les différentes approches que les entreprises peuvent généralement utiliser pour lutter contre tout type de cybermenace - les actions organisationnelles, humaines, techniques et physiques peuvent toutes être pertinentes et c'est généralement une combinaison qui produit les meilleurs résultats. De cette manière, la norme garantit que les organisations ne se contentent pas, par exemple, d'examiner les moyens techniques de protéger les données.

En plus de ces 4 sections principales, la nouvelle version de la norme fournit un grand nombre de catégorisations supplémentaires pour les contrôles. Ces catégorisations peuvent également être utilisées pour aider les organisations à mettre en œuvre leur SMSI.

Les contrôles sont également classés par catégories :

  • ‍Types de contrôle - des contrôles préventifs, détectifs et correctifs
  • Propriétés de sécurité de l'information - s'il s'agit principalement de protéger la confidentialité, l'intégrité ou la disponibilité des données
  • Concepts de cybersécurité - Identifier, Protéger, Détecter, Répondre ou Récupérer (en utilisant une méthode similaire à celle du NIST CSF par exemple)
  • Capacités opérationnelles - en adoptant le point de vue du praticien et en incluant, par exemple, des valeurs telles que la gouvernance, la gestion des actifs, la sécurité des ressources humaines, la sécurité physique, la sécurité des systèmes et des réseaux et la gestion des menaces et des vulnérabilités.

La dernière catégorisation est relativement proche des 14 domaines précédemment inclus dans la révision de 2013. Si vous ne vous sentez pas immédiatement à l'aise avec les quatre sections principales, vous pouvez chercher un soutien supplémentaire ici.

Cette catégorisation permet également d'améliorer la compatibilité de la norme ISO 27001 avec d'autres normes de sécurité de l'information courantes, telles que NIST CSF, CIS 18 ou CSA CCM.

Mise en œuvre de la norme ISO 27001/27002:2022 à Cyberday

Nous venons de publier le nouveau cadre ISO 27001:2022 dans Cyberday. Vous pouvez activer le nouveau cadre dans la bibliothèque de cadres de Cyberday.

Le pourcentage de chevauchement dans le contenu de Cyberday est supérieur à 90 %. Cela signifie que plus de 90 % des tâches sur lesquelles vous avez travaillé dans le cadre de 2013 augmentent également votre conformité en vue de la révision de 2022. Pour effectuer la transition, il vous suffit essentiellement de mettre en œuvre les nouveaux 9 % de tâches. 👍

Le cadre de la norme ISO 27001:2022 est divisé en trois niveaux, comme dans la version 2013 :

  • ISO 27001:2022 Core: sous-ensemble de 20 % de la norme ISO 27001 complète. Sans ces cyberéléments essentiels, il est très difficile de promettre à vos clients que leurs données sont en sécurité.
  • ISO 27001:2022 étendue: Sous-ensemble de 50 % de la norme ISO 27001 complète. Elle prévoit des contrôles avancés pour améliorer la sécurité, mais ne va pas jusqu'au niveau de la certification.
  • ISO 27001:2022 complète: SMSI complet au niveau de la certification. Ensemble complet de contrôles de sécurité et d'exigences pour une gestion correcte de la sécurité de l'information, par exemple en ce qui concerne les audits internes et les aspects liés à la gestion des risques.

Nous avons choisi d'utiliser les quatre principales sections de la catégorisation et la catégorisation des capacités opérationnelles dans notre rapport-cadre/déclaration d'applicabilité.

Rapport de conformité / Section de synthèse du SdA dans Cyberday

Ce rapport de conformité principal inclut également les exigences obligatoires de la norme ISO 27001. Il s'agit donc d'un document d'évaluation de la conformité (SoA) à forte valeur ajoutée, qui montre comment vous vous conformez aux exigences du SMSI et comment vous avez mis en œuvre les contrôles de la norme 27002.

Vous pouvez voir tout cela en action, en essayant notre nouveau cadre ISO 27001:2022 dans votre propre compte. Si vous n'en avez pas encore, inscrivez-vous pour un essai gratuit.

Questions fréquemment posées

Q : Nous avons travaillé avec la version 2013 de Cyberday. Pourrai-je bénéficier du travail effectué sur la nouvelle version ?

C'est tout à fait vrai ! Le pourcentage de chevauchement du contenu dans Cyberday pour la révision de la norme 2013 par rapport à la norme 2022 est supérieur à 90 %. Cela signifie que plus de 90 % des tâches sur lesquelles vous avez travaillé dans le cadre de 2013 augmentent également votre conformité à la révision de 2022. Pour effectuer la transition, il vous suffit de mettre en œuvre les 9 % de nouvelles tâches. 👍

Q : Nous avons déjà mis en œuvre la norme ISO 27001. Dans quel délai devons-nous réagir ?

Les entreprises certifiées selon la révision 2013 doivent passer à la révision 2022 avant le 31.10.2025. Cela signifie qu'il y a une période de transition de 36 mois.

Q : L'ancienne version standard restera-t-elle disponible lors du Cyberday?

Oui. Pendant la période de transition, les versions 2013 et 2022 de la norme ISO 27001 seront disponibles dans notre bibliothèque de cadres.

Rédigé par
Aleksi Pulkkanen
18.11.2022
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Mise en œuvre du SMSI : comparaison des documents, wikis, outils SMSI et GRC

Il existe plusieurs approches différentes pour mettre en place un SGSI. Dans cet article, nous allons comparer ces différentes méthodes pour vous aider à comprendre laquelle est la mieux adaptée aux besoins de votre organisation en matière de gestion de la sécurité.
6.3.2025

Pourquoi la conformité à la norme ISO 27001 est-elle plus importante que jamais ?

Année après année, la norme ISO 27001 est restée l'une des références en matière de sécurité de l'information. La norme mondiale est restée pertinente, mais d'où vient la norme ISO 27001 ? Et pourquoi sa popularité ne cesse-t-elle de croître ?
27.2.2025

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité