Les changements apportés à la version 2022 des référentiels de sécurité de l'information concernent principalement les contrôles qui aident les entreprises à faire face à l'évolution des scénarios de sécurité et des risques associés.
La dernière mise à jour du référentiel ISO/IEC 27002 remonte à 2013 et des modifications mineures ont été apportées en 2017. Une révision était donc attendue depuis longtemps. Aujourd'hui, les risques liés à la sécurité de l'information, à la cybersécurité et à la protection de la vie privée ont radicalement changé. La menace qui pèse sur toutes les entreprises s'est intensifiée et le management de la sécurité de l'information est devenu une question de continuité et de résilience des activités. Les attaques ou les violations peuvent, au mieux, constituer une nuisance, mais il arrive de plus en plus souvent que des entreprises soient gravement touchées, que la production soit entravée ou complètement arrêtée pendant des jours, voire des semaines.
"Le sujet est au cœur de la plupart des agendas et des conseils d'administration des entreprises. Il semble que tout le monde soit exposé à des risques, mais beaucoup n'ont pas mis en place un système approprié et solide pour identifier, gérer et atténuer les risques liés à la sécurité de l'information. La mise à jour de la norme aide les entreprises à faire face à l'évolution des scénarios de sécurité de l'information", explique Nanda Kumar Shamanna, ICT business manager chez DNV Business Assurance .
La nouvelle version aborde les contrôles liés aux technologies numériques et du cloud pour intégrer les menaces de cybersécurité et de confidentialité (telles que les ransomwares et les malwares). Le référentiel a également été revu pour prendre en compte d'autres perspectives de sécurité, à travers l'identification de divers attributs.
Les changements apportés à ce référentiel auront un impact sur le référentiel certifiable ISO/IEC 27001. La révision du référentiel ISO/IEC 27001 devrait être publiée plus tard cette année, peut-être en octobre. Les changements devraient être uniquement liés aux contrôles (annexe A). Le calendrier de transition sera décidé dans le cadre de la publication d'ISO/IEC 27001:2022 plus tard cette année ; cependant, avec la publication d'ISO/IEC 27002, il est possible de commencer les préparatifs.
Les principaux avantages de la nouvelle version pour les entreprises certifiées :
- Traite de nouveaux scénarios et risques
- Aide à comprendre d'autres perspectives de sécurité
- Inclut les aspects de cybersécurité et de confidentialité
- Nouveaux contrôles pour s'assurer que les nouveaux scénarios et risques ne sont pas manqués
Pour les entreprises, cela signifie principalement la révision des processus et des systèmes liés à la direction, à la sécurité de l'entreprise, à la fonction informatique, à la livraison (si fournisseur de services) et aux autres fonctions de soutien.