La version 2022 de la norme relative aux Systèmes de Management de la Sécurité de l'Information (SMSI) permet aux entreprises de mieux comprendre la situation actuelle en matière de risques et de mettre en œuvre les contrôles de sécurité nécessaires.
La sécurité de l'information est un sujet qui est au top de l'agenda de la plupart des entreprises. Entre l'adoption accrue du Cloud et des technologies d'automatisation, l'intelligence artificielle, la cybersécurité, la vie privée, les logiciels malveillants et les ransomwares, les entreprises font face à de nouveaux scénarios. Cela signifie réévaluer leur image actuelle des risques et gérer les nouvelles menaces de manière active et structurée.
"La version précédente de la norme est sortie en 2013. Le monde a beaucoup évolué depuis. La nouvelle version est la bienvenue dans la mesure où elle fournit les contrôles de sécurité nécessaires et des conseils pour aider les entreprises à établir la confiance dans la façon dont elles travaillent pour protéger les atouts critiques de l'entreprise", dit Nanda Kumar Shamanna, Global ICT service responsible chez DNV Business Assurance.
Principaux changements dans la version 2022
Les changements concernent principalement les contrôles de sécurité de l'information de l'annexe A, anticipés par la publication de la norme ISO/IEC 27002:2022 en février. 11 nouveaux contrôles de sécurité ont été ajoutés, 58 ont été mis à jour et 24 ont été fusionnés pour refléter les nouveaux scénarios auxquels les entreprises sont confrontées. Le langage des contrôles a été rafraîchi et les conseils de la norme ISO/IEC 27002 sont mis à jour pour aider les entreprises à gérer les risques, à s'assurer que rien n'est oublié et à assurer un suivi adéquat. Outre les modifications apportées aux contrôles, la norme ISO/IEC 27001 est également réalignée sur les dernières mises à jour de la structure de haut niveau (HLS) de l'ISO. Toutefois, ces changements sont considérés comme mineurs, car l'édition 2013 était l'une des premières normes à adopter la HLS.
Les principaux domaines du système de management qui sont impactés sont le leadership, la sécurité d'entreprise, la fonction informatique et les autres fonctions de support. Pour les prestataires de services, la prestation est également impactée.
"La nouvelle version permet une gestion des risques plus efficace grâce aux contrôles de sécurité actualisés. Elle fournit une approche structurée aux entreprises pour réévaluer leur image actuelle des risques et rétablir les contrôles de sécurité.", explique Nanda Kumar Shamanna.
Le délai de transition est fixé à trois ans, ce qui signifie que les certificats existants doivent être transférés vers la nouvelle version avant novembre 2025.