Niji utilise des cookies techniques pour le bon fonctionnement du site et des cookies de mesure d’audience pour analyser le trafic. Des cookies sont également déposés par des tiers pour vous permettre de partager des contenus sur les réseaux sociaux. Si les cookies techniques ne nécessitent pas votre consentement, vous pouvez choisir d’accepter, de personnaliser ou de refuser les autres cookies. Votre choix est conservé pendant un an, il est modifiable à tout moment via le lien « Gérer vos cookies ». L’absence de choix sera considérée comme un refus.

Pour en savoir plus sur ces cookies, consultez notre politique de gestion des données via le lien « Vos données ».

06 décembre 2021

Mise à disposition d’un outil pour la révision d’ISO/IEC 27002 signé Imineti by Niji

Mise à disposition d’un outil pour la révision d’ISO/IEC 27002 signé Imineti by Niji

Ce contenu propose une synthèse cadrée et rédigée par Matthieu GRALL, Directeur Technique Niji et Myron BOUA, Consultant Niji.

 

Il était une fois la norme britannique BS 7799, qui fut la base de la création des normes ISO/IEC 27002 (bonnes pratiques de sécurité de l’information) et 27001 (exigences pour un système de management de la sécurité de l’information).

Plusieurs versions ont ensuite permis d’améliorer ISO/IEC 27001 et ISO/IEC 27002, qui sont finalement devenues des références incontournables en sécurité de l’information : tout le monde les utilise, au moins en guise d’inspiration, voire pour structurer leur métier, et certains vont même jusqu’à faire certifier leur SMSI.

Elles servent aujourd’hui pour sensibiliser, former, définir des politiques de sécurité, mettre en œuvre un SMSI, accompagner, auditer et certifier.

 

La nouvelle version de l’ISO/IEC 27002, qui doit être publiée en janvier 2022, va un peu bouleverser les choses, dans la mesure où elle a été complètement restructurée !

Comme pour chaque révision, les mesures existantes ont été améliorées (simplifiées ou clarifiées), modernisées (threat intel, cloud, surveillance de la sécurité physique, prévention de la fuite de données, filtrage internet, codage sécurisé, etc.) et certaines ont été subdivisées.

 

Mais c’est dans la structure de la norme que tout a changé :

  1. Les mesures sont maintenant classées par thèmes : personnes, physiques, technologiques, et organisationnelles ;
  2. Elles ont toutes des attributs :
    1. Types (en référence au concept de défense en profondeur) : prévention, détection, correction ;
    2. Propriétés : disponibilité, intégrité, confidentialité ;
    3. Concepts (qui correspondent plutôt à la vision américaine pour classer les mesures) : identification, protection, détection, traitement, récupération ;
    4. Capacités opérationnelles : gouvernance, actifs, ressources humaines, systèmes et réseaux, etc. ;
    5. Domaines (qui correspondent plutôt à la version française et européenne) : gouvernance, protection défense, résilience.

La bonne nouvelle, c’est que cela en fait une véritable base de connaissances, qui va théoriquement permettre de faciliter et de diversifier son usage. Par exemple, les thèmes peuvent se révéler plus pratiques pour attribuer des actions à des responsables, les types sont utiles à appliquer le principe de défense en profondeur, les propriétés aident au traitement des risques, etc.

La mauvaise nouvelle, c’est qu’il va tous nous falloir faire évoluer nos outils et documentations, nos documentations, notamment pour ceux qui mettent en œuvre un SMSI certifié. De nombreuses normes vont aussi devoir être adaptées : l’ISO/IEC 27001 évidemment, mais aussi l’ISO/IEC 27701 qui complète à a fois l’ISO/IEC 27001 et l’ISO/IEC 27002 par les aspects relatifs à la protection de la vie privée, etc.

Pour vous aider à vous adapter à la nouvelle version d’ISO/IEC 27002, nous vous fournissons un tableur qui :

  • indique la correspondance entre les anciens chapitres et les nouveaux ;
  • identifie les attributs de chaque mesure ;
  • permet de faire des tris et des filtres, utiles selon vos besoins.

Pour consulter le tableur, veuillez cliquer sur ce lien.

Le tableur est sous licence CC-BY, de façon à pouvoir être partagé et amélioré par tous. Nous vous demandons juste de respecter cette licence en rappelant les contributeurs.

 

Contact Relations Presse
Frédéric PAYEN
Directeur Marketing et Communication
presse@niji.fr