Comment faire la transition vers la nouvelle norme de sécurité ISO 27001:2013 ?

L’organisation internationale de normalisation a récemment publié une nouvelle version de la norme ISO 27001 dédiée au management de la sécurité de l’information. Quels sont les changements majeurs et comment l’inclure dans votre modèle de gouvernance ? Présentation de cette nouvelle version définitivement  orientée  vers la gestion des risques.

La gestion des risques au cÅ“ur de la sécurité

Pour cette nouvelle norme ISO 27001:2013, la sécurité de l’information et des systèmes d’information est aujourd’hui indissociable de la gestion des risque. Ainsi, toute entreprise, quelle que soit sa taille, doit établir un environnent de contrôle adapté et capable d’offrir un ensemble cohérent de mesures de protection.

Le terme adapté ci-dessus doit s'interpréter de 2 manières:

• Une gestion des risques adaptée à  l’environnement : Les mesures standards n’ont pas leur place pour offrir une réponse efficace et pragmatique. Les mesures de protection doivent être adaptée à  l’infrastructure en place, à  l’organisation et aux méthodes de travail ainsi qu’aux outils existants;
• Une gestion adaptée à  l’appétit du risque : Gérer les risques, c’est trouver la bonne alchimie entre 3 options principales :
  • réduire le risque en mettant en place des contrôles et des mesures de protections supplémentaire,
  • transférer le risque par exemple à  un partenaire externe comme une assurance ou dans le cas de l’externalisation de service ou
  • accepter le risque.

Cette dernière option est d’ailleurs incontournable. La stratégie consiste donc à  savoir finalement quelle combinaison réduire- transférer-accepter correspond le mieux à  votre vision.

La nouvelle version de la norme de sécurité ISO 27001:2013

Après les normes BS 7799, ISO 17799 et dernièrement ISO 27001:2005, voici une nouvelle version définie par l’organisme ISO: la normes  ISO / CEI 27001:2013. Comme les  précédentes  versions, ISO 27001:2013 est dédiée au management de la sécurité de l’information. Les objectifs de ce texte sont définis par ISO de la manière suivante en introduction sur son site  :

La présente Norme internationale a été élaborée pour fournir des exigences en vue de l’établissement, de la mise en Å“uvre, de la tenue à  jour et de l’amélioration continue d’un système de management de la sécurité de l'information. L’adoption d’un système de management de la sécurité de l’information relève d’une décision stratégique de l’organisation. L'établissement et la mise en Å“uvre d’un système de management de la sécurité de l’information d’une organisation tiennent compte des besoins et des objectifs de l'organisation, des exigences de sécurité, des processus organisationnels mis en Å“uvre, ainsi que de la taille et de la structure de l’organisation. Tous ces facteurs d’influence sont appelés à  évoluer dans le temps.

Le système de management de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un processus de gestion des risques et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.

Il est important que le système de management de la sécurité de l’information fasse partie intégrante des processus et de la structure de management d’ensemble de l’organisation et que la sécurité de l’information soit prise en compte dans la conception des processus, des systèmes d’information et des mesures. Il est prévu qu’un système de management de la sécurité de l’information évolue conformément aux besoins de l’organisation.

source :  ISO/IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements

Les changements entre la version 2005 et 2013

La nouvelle version ISO 27001:2013  amène bien entendu son lot de changements et d’évolutions plus ou moins profonds depuis la version précédente ISO 27001:2005.

A un premier niveau, l’augmentation du nombre de domaines met en évidence des thèmes qui requièrent dorénavant une attention distincte. Ce sont en particulier les aspects liés aux fournisseurs externes, aux méthodes de cryptographies et à  la sécurité opérationnelle qui sont les 3 nouveaux domaines de la norme  ISO 27001:2013. Ces aspects étaient bien entendu déjà  pris en considération mais ne constituaient pas des thèmes spécifiques.

Le tableau ci-dessous présente les changements de structure de la norme  ISO 27001:2013  vis à  vis de ISO 27001:2005 et trace les correspondances entre domaines globalement similaires (clic pour agrandir):

 

Comme plusieurs analyses le rapportent, cette nouvelle version gagne en maturité en adoptant la dernière structure standardisée de l’ISO mais également un rajeunissement de la terminologie qui va pouvoir mieux s’adapter aux environnements actuels et à  la l’interprétation antérieure beaucoup plus dogmatique.

Dans cette version, la fameuse roue de deming n’est plus une obligation mais la démarche visant l’amélioration permanente persiste bien entendu. Comme mentionné, la gestion et  l'évaluation  des risques  est au cÅ“ur de la démarche et s’aligne dorénavant sur le standard parallèle  ISO 31000.  L’accent est mis sur l’établissement d’objectifs et le suivi de la performance et des métriques et les exigences  d’engagement de la direction se caractérise dorénavant par la notion de leadership.

D’un point de vue formel,  les exigences de la déclaration d‘applicabilité  SOA sont similaires mais plus de clarté sur les contrôles dans les processus de traitement des risques est dorénavant requise.  

L’annexe A de la norme ISO 27001:2013 a également été modifiée pour tenir compte de l’évolution des menaces, éliminer certains doublons et avoir un regroupement plus logique de certaines informations.

Liens utiles pour faire la transition vers ISO 27001:2013

Plusieurs sources d’informations sur ce sujet sont disponibles sur le web et dont voici une sélection des plus utiles pour comprendre les changements et faciliter votre transition vers ISO 27001:2013.

Le groupe de consultants sécurité BSI fournit plusieurs documents fort utiles et détaillés :

• The new ISO/IEC 27001:2013 standard | BSI Group
• Download our ISO/IEC 27001 transition guide
• Download ISO/IEC 27001 mapping document

Pour vos dossier, le fichier de comparaison des domaines ISO 27001:2005 et ISO 27001:2013 au format pdf  est disponible via le lien suivant :  Comparison ISO 27001 v2005 – v2013

Suite à  une intervention effectuée au Club 27001 le 18 septembre 2013 par  Beatrice Joucreau et Julien Levrard du  cabinet de consultants en sécurité informatique français  HSC – Hervé Schauer Consultants, une présentation est en ligne. Elle s’intitule  Analyse des nouveautés présentes dans la norme ISO 27001:2013 par rapport à  sa version 2005 ainsi que de leurs conséquences pour l’implémentation de SMSI et est accessible via les liens suivants :  

• HSC – Présentations – ISO 27001:2013 – Comparatif avec la version 2005
• HSC – Présentation des changements de la norme ISO27001:2013

Une analyse des changements  et des impacts pour les professionnels de la sécurité informatique intitulée  La nouvelle norme ISO/IEC 27001:2013 a été réalisée  par  Stéphane Perroud (Lead Trainer IT Security, Digicomp Lausanne) et  Raphael Rues (Product Manager IT Management et Governance, Digicomp Genève) et est disponible ici :  

• La nouvelle norme ISO/IEC 27001:2013

Voici également d’autres articles en relation avec ce sujet :

• ISO/IEC 27001:2013 – Wikipedia, the free encyclopedia
• Quelles évolutions pour la norme ISO 27001 en 2013 ? > magsecurs
• Sécurité : la norme ISO 27001:2013 est enfin sortie

ainsi qu’une présentation sur slideshare :