1 La norme ISO/IEC 27002
La norme NF EN ISO/IEC 27002:2022 (Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information), issue initialement de l’ISO/IEC 17799, est un code de bonne pratique qui couvre les aspects techniques, organisationnels, sociaux et juridiques de la sécurité de l’information, en complément des exigences de certification décrites dans la norme NF EN ISO/IEC 27001:2023[1]. Le paragraphe d’introduction 0.1 de la norme ISO NF EN ISO/IEC 27002:2022 mentionne cette double lecture[2] : « Le présent document […] est à utiliser comme document de référence pour déterminer et mettre en œuvre des mesures de sécurité pour le traitement des risques de sécurité de l’information dans un système de management de la sécurité de l’information (SMSI) basé sur l’ISO/IEC 27001. Il peut également être utilisé comme guide de bonnes pratiques pour les organisations qui déterminent et mettent en œuvre les mesures de sécurité de l’information communément admises. »
La norme ISO 17799, publiée en décembre 2000, a connu une première révision puis un changement de nom en avril 2005 où, à la faveur de la création de la série de normes ISO 27000 dédiée à la sécurité de l’information, elle est devenue l’ISO 27002. L’ISO 27002 a fait l’objet de deux révisions majeures, en 2013 (2017 pour la version française) et en 2022.
La dernière version de la norme ISO 27002 (ISO/IEC 27002:2022) est disponible depuis février 2022, en distribution internationale de langue anglaise. La version française (NF EN ISO/IEC 27002:2022), datée de novembre 2022, a été publiée début 2023.
Les modifications les plus significatives, apportées par cette nouvelle version, sont les suivantes :
– changement de titre : le précédent titre était Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour les mesures de sécurité de l’information ;
– nouvelle organisation des mesures de sécurité, maintenant réparties dans 4 thèmes au lieu de 14 dans la version antérieure. Ces nouvelles catégories sont : « Mesures de sécurité organisationnelles » (article 5 de la norme), « Mesures de sécurité applicables aux personnes » (article 6 de la norme), « Mesures de sécurité physique » (article 7 de la norme) et « Mesures de sécurité technologiques » (article 8 de la norme), contenant respectivement 37, 8, 14 et 34 mesures ;
– création de 11 nouvelles mesures de sécurité :
- catégorie « Mesures de sécurité organisationnelles » : renseignements sur les menaces ; sécurité de l’information dans l’utilisation de services en nuage ; préparation des TIC[3] pour la continuité d’activité ;
- catégorie « Mesures de sécurité physique » : surveillance de la sécurité physique ;
- catégorie « Mesures de sécurité technologiques » : gestion des configurations ; suppression des informations ; masquage des données ; prévention de la fuite de données ; activités de surveillance ; filtrage web ; codage sécurisé ;
– fusion de certaines mesures portant sur des sujets connexes, ce qui engendre une diminution globale de leur nombre, qui passe de 114 à 93 ;
– présentation plus détaillée des mesures, avec l’apparition de nouveaux attributs ;
– introduction d’une approche basée sur les objectifs de sécurité plutôt que sur les objectifs assignés aux mesures, offrant ainsi une plus grande cohérence avec les attentes définies dans la norme ISO 27001, en lien notamment avec la politique de sécurité de l’information de l’organisme.