La norme ISO/CEI 27001:2022 prend davantage en compte les cyber-risques
L'escalade des cyber-risques, les technologies innovantes, la connectivité accrue signifient que la norme ISO/CEI 27001 devait évoluer. C'est pourquoi une nouvelle version améliorée de la norme a été récemment publiée.
Afin de répondre aux défis mondiaux en matière de cybersécurité et de renforcer la confiance numérique, une nouvelle version améliorée vient d'être lancée. ISO/IEC 27001 La norme la plus connue au monde en matière de gestion de la sécurité de l'information aide les organisations à protéger leurs informations, un facteur essentiel dans le monde de plus en plus numérique d'aujourd'hui.
L'importance de la certification ISO/IEC 27001
La cybercriminalité devient de plus en plus grave et sophistiquée à mesure que les pirates informatiques développent des techniques de cybercriminalité de plus en plus avancées. Le rapport Global Cybersecurity Outlook du Forum économique mondial indique que les cyberattaques ont augmenté de 125 % à l'échelle mondiale en 2021 et que tout porte à croire que cette augmentation se poursuivra jusqu'en 2022. Dans ce paysage en rapide évolution, les dirigeants doivent adopter une approche stratégique des cyber-risques.
La certification ISO/CEI 27001, qui a été adoptée par des dizaines de milliers d'organisations, montre l'engagement d'une organisation en matière de sécurité de l'information et donne aux clients et autres partenaires l'assurance qu'elle prend au sérieux la protection des informations qu'elle contrôle. La norme est indépendante de la technologie, de sorte que l'environnement technologique d'une entreprise n'a aucune importance. Elle est formulée de manière à pouvoir être appliquée par toute organisation, de la petite entreprise à la grande entreprise de plusieurs milliards de dollars.
Développer pour faire face aux menaces
ISO/CEI 27001 spécifie les exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un SMSI pour la sécurité et la protection. Elle contient également des exigences pour l'évaluation et le traitement des risques liés à la sécurité de l'information, adaptées aux besoins d'une organisation. Appliquée correctement, la norme peut conduire aux résultats suivants :
- Crédibilité accrue
- Réduction des risques de fraude, de perte d'informations et de divulgation
- Démontrer l'intégrité de ses propres systèmes
- Changement de la culture d'entreprise et plus grande prise de conscience de l'importance de la sécurité de l'information
- De nouvelles opportunités commerciales avec des clients soucieux de la sécurité
- Une plus grande sensibilisation à la confidentialité sur le lieu de travail
- Meilleure préparation à l'inévitable - le prochain événement ou incident de sécurité
Willy Fabritius, Global Head, Strategy & Business Development de SGS, une entreprise mondiale de test, d'inspection et de certification, commente : "La dernière mise à jour de la norme ISO/CEI 27001 remonte à 2013, et le cybermonde et ses menaces ont évolué de manière spectaculaire. La norme devait s'y adapter". Un changement important existe déjà rien que dans le titre de la norme. Il s'intitule : ISO/CEI 27001:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l'information - Exigences. Parmi les autres changements, on peut citer la numérotation des sections, un texte nouveau et réorganisé, ainsi que des mises à jour de l'annexe A. La norme ISO 9001 a été modifiée en conséquence.
Mise en œuvre de la norme ISO/IEC 27001:2022 : qu'est-ce que cela signifie ?
Si une organisation est déjà conforme à la norme ISO/CEI 27001, aucune modification technique n'est nécessaire, mais seulement des mises à jour de la documentation. Il se peut qu'elle doive réviser ses politiques internes en fonction des nouvelles sous-clauses et des exigences modifiées. Les résultats de leur évaluation des risques et les plans de traitement des risques doivent également être revus et la déclaration d'applicabilité (Statement of Applicability - SoA) doit être mise à jour.
La période de transition est de trois ans à compter de la date de publication officielle de la norme ISO/CEI 27001:2022, ce qui laisse suffisamment de temps pour se conformer aux exigences. Un certificat ISO/CEI 27001 déjà obtenu reste valable jusqu'à la fin de cette période. Willy Fabritius recommande : "Si vous renouvelez votre certification pendant la période de transition, vous pouvez vous conformer aux nouveaux contrôles afin d'éviter de remettre cela à la dernière minute".
