Changements importants dans la nouvelle version de la norme ISO 27001
La dernière version de la norme ISO 27001, l’une des normes les plus importantes au monde pour la gestion de la sécurité de l’information, a été considérablement mise à jour.
Ces modifications ont pour but d’aider les entreprises à mieux se protéger contre les menaces toujours plus nombreuses dans le domaine de la cybersécurité.
Les mesures de sécurité de l’annexe A, décrites en détail dans la norme ISO 27002, sont particulièrement concernées.
Dans la nouvelle version, 11 nouvelles mesures ont été introduites et les mesures existantes ont été regroupées.
Le nombre total de mesures de sécurité a ainsi été réduit de 114 à 93.
Ces mesures sont désormais réparties en quatre catégories : organisationnelles, personnelles, physiques et techniques.
Aperçu des nouvelles mesures
Les onze nouvelles mesures de la version révisée de la norme ISO 27001 visent à adapter la sécurité de l’information aux menaces actuelles et aux évolutions technologiques.
Voici le détail des nouvelles mesures introduites :
1. le renseignement sur les menaces (Threat Intelligence)
Les entreprises sont de plus en plus contraintes de détecter les menaces à un stade précoce et d’agir en conséquence.
La nouvelle mesure de Threat Intelligence doit permettre aux entreprises d’analyser et de comprendre les menaces de manière ciblée.
Elles peuvent ainsi prendre des mesures proactives avant qu’un incident ne se produise.
La collecte, l’analyse et l’utilisation des données sur les menaces deviennent alors un élément central de la stratégie de sécurité.
2. sécurité du cloud
L’utilisation de services en nuage est en constante augmentation.
La nouvelle version de la norme ISO 27001 impose des exigences spécifiques en matière de sécurité dans le cloud.
Les entreprises doivent s’assurer que leurs données sont suffisamment protégées dans les environnements cloud et définir des exigences de sécurité appropriées pour les fournisseurs de services cloud.
3. préparation aux TIC
Les technologies de l’information et de la communication (TIC) sont aujourd’hui un élément central de nombreux processus d’entreprise.
L’intégration de l’état de préparation des TIC dans la gestion de la continuité des activités permet aux entreprises de poursuivre leurs activités en cas d’incident.
Cette mesure exige que les entreprises conçoivent leurs systèmes TIC de manière à ce qu’ils puissent être rapidement rétablis en cas d’urgence.
4. surveillance physique
La sécurité physique des bâtiments et des infrastructures informatiques reste un aspect important de la sécurité de l’information.
Avec la nouvelle mesure de surveillance physique, la surveillance des accès non autorisés est encore renforcée.
Les entreprises doivent continuellement améliorer leurs systèmes de surveillance afin de détecter les intrusions à un stade précoce et de pouvoir réagir de manière appropriée.
5. gestion de la configuration
Cette nouvelle mesure exige une documentation précise et une vérification régulière des configurations informatiques.
L’objectif est de s’assurer que tous les systèmes sont correctement configurés et qu’aucune vulnérabilité ne résulte de paramètres non sécurisés.
Une documentation systématique et compréhensible des configurations minimise le risque d’erreurs et d’attaques.
6. suppression d’informations
Les données qui ne sont plus nécessaires doivent être supprimées en toute sécurité.
Cette mesure vise à garantir que les données sensibles qui ne sont plus pertinentes sont irrémédiablement supprimées afin de minimiser les risques de violation de la protection des données.
7. masquage de données
Les données sensibles ne doivent pas être accessibles à tous.
La nouvelle mesure de masquage des données permet de s’assurer que les informations sensibles restent cachées lors du traitement, de l’analyse ou du test des systèmes.
Cela permet notamment de protéger les données personnelles et d’empêcher tout accès non autorisé aux informations confidentielles.
8. prévention des fuites de données (Data Leakage Prevention)
La protection contre la fuite accidentelle de données est essentielle.
La prévention des fuites de données comprend des mesures qui empêchent les données sensibles de quitter l’entreprise de manière incontrôlée.
Cela inclut la protection contre les actions inconscientes ou malveillantes des employés et la surveillance des interfaces externes.
9. activités de surveillance
Les entreprises doivent de plus en plus être attentives aux comportements anormaux dans leurs systèmes.
Cette mesure exige que les entreprises mettent en place des mécanismes de surveillance qui identifient les activités inhabituelles ou remarquables.
Ainsi, les incidents de sécurité potentiels peuvent être détectés à un stade précoce et des contre-mesures peuvent être prises.
10. filtrage du web
Le contrôle de l’accès aux sites web est un autre aspect important de la sécurité.
La nouvelle mesure de filtrage web vise à garantir que l’accès aux contenus malveillants ou indésirables est limité.
Cela réduit le risque que les employés accèdent à des sites Web non sécurisés qui contiennent des logiciels malveillants ou d’autres menaces.
11. développement de logiciels sécurisés
Les exigences en matière de développement logiciel sécurisé ont été étendues.
Les entreprises doivent s’assurer que toutes les phases du processus de développement logiciel sont conçues pour être sécurisées.
Cela inclut l’application de pratiques de développement sécurisées et la vérification régulière de la sécurité des logiciels.
Impact sur les entreprises
Les mesures nouvelles et révisées de la norme ISO 27001 mettent les entreprises au défi de revoir leurs pratiques de sécurité existantes et de les adapter si nécessaire.
Chaque mesure doit être évaluée individuellement en fonction de sa valeur ajoutée pour la sécurité de l’information.
Des facteurs tels que la taille de l’entreprise, le secteur d’activité et les menaces spécifiques auxquelles l’entreprise est exposée jouent un rôle important.
La réduction du nombre total de mesures de 114 à 93 vise à aider les entreprises à gérer plus efficacement leurs mesures de sécurité.
En regroupant des mesures similaires, l’effort de mise en œuvre est réduit tout en augmentant l’efficacité des mesures.
La nouvelle structure des catégories (organisationnelles, personnelles, physiques et techniques) facilite également la classification et la gestion des mesures.
Mise en œuvre des nouvelles exigences
La mise en œuvre des nouvelles mesures de sécurité peut être complexe, car elle dépend fortement de la structure individuelle de l’entreprise.
Les entreprises doivent d’abord effectuer une analyse des risques afin de déterminer quelles mesures sont pertinentes pour elles.
Ensuite, les processus et technologies appropriés doivent être mis en œuvre pour répondre aux exigences de la norme ISO 27001.
Certaines des nouvelles mesures, telles que la sécurité du cloud ou les activités de surveillance, peuvent nécessiter l’acquisition de nouvelles technologies ou la formation du personnel.
D’autres, comme la gestion des configurations ou l’effacement des données, nécessitent avant tout des ajustements organisationnels et une collaboration plus étroite entre les équipes informatiques et de sécurité.
Conclusion
La nouvelle version de la norme ISO 27001 apporte des changements significatifs, notamment en ce qui concerne les mesures de sécurité de l’Annexe A. Les entreprises doivent s’adapter à ces nouveautés et modifier leurs mesures de sécurité de l’information en conséquence.
Cela nécessite non seulement un savoir-faire technique, mais aussi des mesures organisationnelles et stratégiques pour mettre en œuvre efficacement les nouvelles exigences.
Pour les entreprises qui ont besoin d’aide dans la mise en œuvre des nouvelles mesures, Syngenity® GmbH propose des conseils et des services complets.
Contactez-nous dès aujourd’hui via notre site web : www.syngenity.de pour obtenir un devis sans engagement.
