ISO 27001:2022 - Les 11 nouveaux contrôles

La nouvelle norme ISO/IEC 27001:2022 est une mise à jour du catalogue principal de contrôles ISO 27002, officiellement un "ensemble de contrôles de référence pour la sécurité de l'information". En plus de la restructuration générale et la mise à jour des contrôles de l'édition 2013, la commission a renforcé la couverture de la « Sécurité pour le Cloud Computing » avec le nouveau contrôle 5.23, ainsi que dix autres nouveaux contrôles, principalement dans la section 8. (contrôles technologiques) :

• Renseignements sur les menaces (5.7) : collectez des renseignements pertinents et exploitables sur les menaces à l'information, en les alimentant dans le processus de gestion des risques liés à l'information.

• Préparation des TIC pour la continuité des activités (5.30) : les organisations doivent se préparer à gérer des incidents graves qui affectent et/ou impliquent des processus critiques.

• Supervision de la sécurité physique (7.4) : Installer des alarmes anti-intrusion, CCTV, gardes, etc. pour les locaux commerciaux. Il s'agit d'un contrôle tellement basique et commun que vous ne pouvez pas croire qu'il manquait à l'édition précédente.

• Gestion de la configuration (8.9) : fait référence à la nécessité de gérer la sécurité et d'autres détails de configuration pour le hardware, les logiciels, les services et les réseaux.

• Suppression d'informations (8.10) : Il s'agit d'un autre contrôle « évident » indiquant que les données doivent être supprimées lorsqu'elles ne sont plus nécessaires pour éviter une divulgation inutile et pour des raisons de conformité. Cependant, les détails précis de la manière dont les informations sont supprimées sont importants dans la pratique.

• Masquage des données (8.11) : conformément à la politique de contrôle d'accès de l'organisation, en plus des autres exigences commerciales et obligations de conformité, les contrôles de sécurité sont appropriés pour atténuer le risque de divulgation d'informations personnelles sensibles.

• Prévention des fuites de données (8.12) : DLP est nécessaire pour protéger les informations sensibles contre la divulgation et l'extraction de données non autorisées (vol, surveillance, etc.).

• Activités de surveillance (8.16) : les « anomalies » dans les réseaux, systèmes et applications informatiques doivent être détectées et traitées pour atténuer les risques associés.

• Filtrage Web (8.23) : limiter l'accès aux sites Web inappropriés ou risqués est un contrôle de sécurité de l'information suffisamment important pour justifier son inclusion dans la norme ISO 27001.

• Codage sécurisé (8.28) : les logiciels doivent être conçus et programmés de manière sécurisée, ce qui réduit le nombre et la gravité des vulnérabilités exploitables résultant de défauts de conception et d'erreurs de programmation. Ce contrôle est presque entièrement piloté par le principe de « secure by design ».

Cependant, cette nouvelle norme est assez faible en ce qui concerne la sécurité de l'Internet des objets (IoT), ce qui n'est pas surprenant étant donné que ce domaine est encore immature. Les objets IoT prolifèrent si rapidement, et la technologie est si limitée en termes de traitement, de stockage et d'autres capacités, que les contrôles de sécurité des informations sont toujours problématiques.

À bientôt !