Si la transition numérique améliore les performances, la productivité et l’innovation, elle laisse aussi place à de nombreuses menaces. D’où l’importance de se doter d’un système de gestion de la sécurité informatique efficace et résilient. C’est justement l’objectif de la norme ISO 27002. Elle fournit aux entreprises un cadre enrichi des meilleures pratiques en matière de cybersécurité. Découvrez cette norme internationale, ses avantages et son contenu.
C’est quoi la norme ISO/CEI 27002 ?
Une norme de référence en cybersécurité
La norme ISO/CEI 27002 donne des lignes directrices pour aider les organisations à mettre en œuvre et améliorer leur système de management de la sécurité de l’information (SMSI). Pour ce faire, ISO 27002 fournit aux entreprises un guide de bonnes pratiques pour protéger efficacement leurs données. Celle-ci repose sur une démarche proactive de la cybersécurité. Ce qui implique la mise en place d’objectifs de contrôle, tels que le contrôle d’accès, la cryptographie, la sécurité des ressources humaines et la réponse aux incidents.
Aujourd’hui, toutes les organisations sont menacées par le risque cyber, que ce soit via un accès non autorisé, une perte ou un vol de données, … C’est pourquoi la norme ISO 27002 s’adresse à toutes les structures, quel que soit leur taille ou leur secteur d’activité.
ISO 27002 et ISO 27001
À côté de la norme ISO 27002, il y a une autre norme internationale de référence en matière de cybersécurité : ISO/IEC 27001. Si ces deux normes poursuivent le même objectif (aider les organisations à améliorer leur SMSI), leur contenu diffère.
La norme ISO 27001 décrit toutes les exigences relatives à la mise en place d’un système de management de la sécurité de l'information. De son côté, ISO/IEC 27002 s’attache aux bonnes pratiques et objectifs de contrôle.
En plus d’une différence en termes de contenu, ISO 27001 et ISO 27002 diffèrent aussi au niveau de la certification. En effet, vous ne pourrez pas vous certifier ISO 27002, seulement ISO 27001. Pour autant, cette norme est loin d’être anodine, puisque la certification ISO/CEI 27001 fait directement référence aux bonnes pratiques de la norme ISO 27002. Alors mieux vaut les maîtriser pour réussir sa certification, et surtout, pour implémenter un SMSI performant.
Pourquoi mettre en place la norme ISO 27002 ?
Même si la norme ISO 27002 ne donne pas lieu à une certification, suivre ses lignes directrices est plus qu’essentiel pour les organisations. Et pour cause, elle vous offre :
- Un cadre de sécurité : à travers ses lignes directrices basées sur les meilleures pratiques cyber, la norme ISO 27002 couvre tous les aspects de la sécurité informatique.
- La gestion des risques de sécurité : l’adoption d’une approche proactive de la cybersécurité permet de détecter les vulnérabilités et les risques avant qu’ils ne causent des dommages irréparables.
- La conformité réglementaire : avec le RGPD, les organisations sont dans l’obligation de tout mettre en œuvre pour protéger les données à caractère personnelles. Le SMSI est justement l’une des méthodes les plus efficaces pour atteindre cet objectif.
- La confiance : une entreprise qui protège ses données sensibles renforce la confiance de ses partenaires et clients.
- La résilience opérationnelle : comme l’entreprise sait identifier rapidement les failles de sécurité, elle est moins susceptible de souffrir d’un incident informatique.
Que dit la norme ISO/IEC 27002 (version 2022) ?
La norme ISO/IEC 27002 de 2013 a été modifiée en 2022. Cette nouvelle version reprend les grandes lignes de la version initiale, tout en la rendant plus claire et compréhensible. C’est ainsi que le nombre de mesures est passé de 114 à 93 regroupées dans 4 grandes thématiques.
Les 4 grandes thématiques
Chaque thématique de la norme ISO/IEC 27002:2022 regroupe des contrôles spécifiques :
- Sécurité organisationnelle : c’est la façon dont la sécurité de l'information est gérée et contrôlée dans l'organisation. On y retrouve, par exemple, la définition des responsabilités, la gestion des risques liés à la cybersécurité, la gestion des ressources humaines, la gestion de la conformité ou encore les audits de sécurité. L'objectif étant de s'assurer que la cybersécurité soit bien intégrée dans la culture de l'organisation.
- Sécurité liée aux personnes : c’est la gestion des ressources humaines, comme la sélection, la formation, et la sensibilisation des employés, ou encore la gestion des accès et des droits des utilisateurs. En plus des collaborateurs en interne, cette thématique traite également des relations avec les tiers, comme les sous-traitants et les partenaires. L’objectif étant de réduire les négligences humaines, première cause des failles de sécurité.
- Sécurité physique : ce sont toutes les mesures de sécurité physique qui protègent les actifs de l'organisation. Par exemple la mise en place de contrôles d'accès physique, la protection contre le vol, les incendies ou les inondations, la surveillance des locaux, etc.
- Sécurité technique : cela englobe les contrôles techniques qui protègent les systèmes informatiques et les réseaux, y compris les pare-feu, les systèmes de détection d'intrusion, le chiffrement des données, les systèmes de gestion des identités et des accès, ainsi que la sécurité des logiciels et des systèmes d'exploitation.
À travers ces 4 grandes thématiques, la norme ISO 27002 couvre l’ensemble de la gestion de la sécurité de l'information.
Les 11 nouveaux contrôles
En plus réorganiser les mesures de sécurité, la norme ISO 27002 fournit 11 nouveaux contrôles. À savoir :
- La threat intelligence ;
- Les informations de sécurité pour l’usage des services cloud ;
- La préparation ICT pour garantir la sécurité du business ;
- Le monitoring de la sécurité physique ;
- La gestion de la configuration ;
- La suppression d’information ;
- Le data masking ;
- La prévention des fuites de données ;
- Les activités de monitoring ;
- Le web filtering ;
- Le codage sécurisé.
Avec tous ces contrôles, ISO 27002 aide l’organisation à protéger efficacement son système informatique.
Vous souhaitez connaître ses bonnes pratiques en détail ? Formez-vous avec la CyberUniversity.