La norme ISO 27001 : 2022 cadre la mise en place d’un système de management de la Sécurité de l’information, de la Cybersécurité, de la Privacy. Elle a été mise à jour en 2022. Elle a peut-être fait moins de bruit dans la sphère cyber, et intéressera d’avantage les certifiés ou en cours de certification, mais comme sa petite sœur plus tôt, la 27001 cuvée 2022 a été publiée récemment. Alors révolution, ou pas ? Découvrez ses nouveautés !
En ouvrant la norme, rien de révolutionnaire en apparence. Pas de #hashtag, un nombre de pages pratiquement équivalent, un sommaire qui semble identique, l’ISO nous referait-elle le coup de 2017 à repayer une norme sans changement ?
Oui et non !
En regardant de plus près, les petits ajustements (au nombre de 11, tiens comme le nombre de nouvelles exigences 27002) semblent anodins. Et pourtant la norme ISO 27001 : 2022 recèle quelques évolutions intéressantes.
ISO 27001 : 2022 : Ça commence dès le titre !
Fini la vue technique et technologique, le titre a changé au profit de la Cyber et de la Privacy, pour donner le ton et s’intéresser aux risques et préoccupations du moment. Plus facile pour rassurer le leadership et impliquer les comités de direction ?
Les processus et l’amélioration continue mis en avant !
Encore une fois, quelques mots ajoutés (en §4.4) et une inversion de chapitre (§10) qui peuvent paraitre sans importance, et pourtant, deux messages fort à adresser :
- L’approche processus, qui était plutôt héritée de la qualité et peu mise en avant, prend tout son sens, devient centrale et indissociable du SMSI.
- L’amélioration continue passe avant les audits et rend toute son importance à cette notion, chère à cette norme, qui saura trouver ses détracteurs, car oui on peut être certifié sans être à l’état de l’art, mais connaitre ses risques et axes de progrès est tout aussi important.
Les parties intéressées, va falloir s’y préoccuper !
2 nouveautés (§4.2 & §9.3), rien que pour cette notion, difficile de faire comme si elles n’existaient pas. Souvent délaissées et ignorées dans les SMSI, on préfère s’intéresser au cœur de métier, leurs besoins vont devoir être correctement pris en compte et surtout vérifiés lors des revues de direction. A vos sondages ou tout autres moyens de retour sur satisfaction.
Encore plus d’efficacité !
Ce terme était déjà un peu présent dans la version 2013, mais il trouve une nouvelle place dans la partie contrôle (§9.1), renforçant le fait de venir évaluer cette notion après la mise en œuvre de l’action. Restera le débat entre efficacité et efficience, à vos échelles !
Le C dès le P !
Modification la plus importante en nombre de mots (§8.1), dès la définition de nos actions lors de la phase du Plan, il faut déjà penser à la phase du Check en identifiant les critères et en adaptant (comme pour la gestion par les risques, on ne fait pas du contrôle bêtement pour contrôler).
Autre ajout important et qui vient faire écho à la 27002 et sa nouvelle exigence Cloud, en précisant que tout ce qui est externe au SMSI doit être contrôlé. Et cela n’inclut plus que les processus externalisés, mais les produits et services aussi. Fini de dire que je suis en « aaS » et je délègue les responsabilités, il va falloir aller contrôler qu’ils respectent bien vos exigences.
Mais aussi…
… l’importance du plan d’action (§6.2) qui doit être contrôlé (lui aussi) et partagé. Fini la gestion des SMSI qui repose sur une seule personne, on ne répètera jamais assez, un SMSI a besoin de la participation de l’ensemble des acteurs qui le compose.
… les changements c’est aussi important (§6.3) : plus un oubli ou un besoin de précision, mais cela semble logique que le SMSI s’adapte au changement d’organisation et ne reste figé dans le temps.
… la communication ne doit pas être délaissée (§7.4) : là aussi, juste une modification de texte, mais qui met en avant précisément le comment on communique au sein du SMSI, l’imagination (et les canaux officiels) étant la seule limite.
Et dernière, mais non des moindres, un ajout subtil dans le premier paragraphe (pour ceux qui ont l’habitude de commencer au 4 qui est le certifiant, ça leur apprendra à lire dès le début), il est interdit d’exclure la moindre exigence de cette norme (hors annexe bien entendu) si on veut prétendre à la certification. Quel que soit le périmètre de votre SMSI, tout a son importance !
Pour les accompagnements Cyberconformité d’Advens, que change la norme ISO 27001 : 2022 ?
Et bien pas grand-chose, ces nouveautés de la norme ISO 27001 : 2022 nous donnant raison dans notre approche historique de la mise en conformité ISO. L’approche processus et l’amélioration continue étaient déjà deux de nos 4 piliers avec la gestion des risques et l’engagement de la direction.
Nos SMSI étaient déjà le reflet du Métier et de l’organisation, ils savent donc s’adapter à n’importe quel changement (et d’ailleurs, on a souvent le droit à des réorganisations en pleine construction du SMSI, sans impact).
La gestion par les contrôles et l’efficacité était déjà prise en compte. Seules les précisions apportées sur les parties intéressées seront à étudier, car il n’est pas toujours aisé de recueillir leur avis, mais comme toujours, nous saurons nous adapter et être force de proposition et d’innovation.
Et depuis le début, c’est au cœur de notre offre Cyberconformité ! La Cyber et la Privacy sont nos moteurs qui s’appuient sur de la technologie, des audits et de la gouvernance.
Bien entendu, nous prenons en compte dès maintenant l’ensemble de ces nouveautés, tout comme nous avons déjà pris en compte les nouveautés de la 27002, afin de délivrer des SMSI conformes mais surtout adaptés et pragmatiques ! L’ISO 27001 : 2022 c’est dès aujourd’hui chez Advens !