ISO 27002, les mesures et objectifs de sécurité évoluent

Faites évoluer votre système de management de la sécurité de l'information

IACOLARE Vincent

En tant que membre des commissions de normalisation Afnor en sécurité de l’infrmation, Synertal a contribué aux travaux de l’ISO 27002 (committee draft). Et en profite ici pour livrer les principaux changements qui s’annoncent.
ISO/IEC 27002 (CD 2, mai 2020) - Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l'information.

Catalogue de mesures

L'ISO 27002  donne des lignes directrices et bonnes pratiques de management de la sécurité de l'information  largement reconnues.
Elle facilite ainsi la sélection et la mise en œuvre de mesures de sécurité nécessaires  prenant en compte le ou les environnement(s) de risques de sécurité de l'information d’une organisation, utilisable dans le cadre d’un système de management de sécurité de l’information (iso 27001) et plus globalement de toute démarche de sécurité de l’information (continuité d’activité, cyber-sécurité, élaboration de ses propres lignes directrices de management de la sécurité de l'information..).

La particularité de cette nouvelle version qui s’annonce est de présenter un ensemble de mesures structurées non plus selon une arborescence imposée mais plutôt comme un catalogue de mesures  structuré selon en quatre thèmes avec des attributs à chaque mesure pour en faciliter la sélection.
Odoo • Texte et Image
Odoo • Image et Texte

Thèmes et attributs de sélection

Les quatre thèmes sont :


1) Humain, s'ils concernent des personnes individuelles (chapitre 6 – 8 mesures)

2) Physique, s'ils concernent des objets physiques (chapitre 7 – 14 mesures)
3) Technologiques, s'ils concernent la technologie (chapitre 8 – 36 mesures)
4) Sinon, ils sont classés comme organisationnels (chapitre 5 – 37 mesures).
Il est dommage selon nous de ne pas avoir fait des ces thèmes un cinquième type d'attributs, ce qui aurait permis d'avoir un catalogue alphabétique de mesures.


A chaque mesure est associé quatre type attributs (chapitre 4.2) avec les valeurs d'attribut correspondantes (précédées d'un "#" pour en faciliter la recherche) :

  • Types de contrôle : #prévention, #détection, #correction.

  • Propriétés de sécurité de l'information : #confidentialité, #intégrité, # disponibilité.

  • Concepts de cybersécurité : #identifier, #protéger, #détecter, #répondre, #recouvrir.

  • Capacités opérationnelles : #gestion des actifs, #protection de l'information, #sécurité des ressources humaines, #Sécurité physique, #Sécurité système et réseau, #Sécurité des applications, #Configuration, #Gestion des identités et des accès, #Gestion des menaces et des vulnérabilités, #Continuité, #Sécurité des relations avec les fournisseurs, #Légal et conformité, #Gestion des événements de sécurité des informations, #Assurance de sécurité.
    Il est dommage selon nous de ne pas avoir ajouter des attributs permettant de différencier la phase de "build" (conception de la sécurité) de la phase de "run" (exploitation).

Les "nouvelles" mesures par rapport à l’édition précédente sont :

- 5.7 Veille sur les menaces
- 5.23 Sécurité de l'information pour l'utilisation des services en nuage
- 5.30 Préparation des TIC pour la continuité des activités
- 7.4
Pilotage de la sécurité physique
- 8.9 Gestion de configuration
- 8.10 Suppression d'informations
- 8.11 Masquage des données
- 8.12 Prévention des fuites de données
- 8.13 Protection de l'information à l'aide des technologies de droits numériques
- 8.17 Activités de
pilotage
- 8.21 Divulgation et traitement des vulnérabilités dans la fourniture de produits et services TIC
- 8.24 Filtrage Web
- 8.30 Codage sécurisé

Pour en savoir plus sur le cycle de révision des normes ISO, voir article beeznet