La norme ISO 27001 est largement reconnue comme la référence internationale en matière de gestion de la sécurité de l’information. Publiée pour la première fois en 2005, la norme a été mise à jour en 2013 et a récemment subi une nouvelle révision en 2022. Cette dernière version, l’ISO 27001:2022, présente plusieurs changements importants par rapport à la version précédente. Cet article examine les principales différences entre la norme ISO 27001:2013 et la norme ISO 27001:2022.

 

Structure révisée:

L’un des changements majeurs entre les deux versions est la structure révisée de la norme ISO 27001:2022. La nouvelle version adopte la structure de haut niveau (High-Level Structure – HLS) basée sur le cadre commun de toutes les normes de système de management (Annexe SL). Cette structure facilite l’intégration de l’ISO 27001 avec d’autres normes de système de management, telles que l’ISO 9001 (qualité) et l’ISO 14001 (environnement), permettant une approche plus cohérente et harmonisée dans les organisations.

Prise en compte des risques:

La norme ISO 27001:2022 met davantage l’accent sur l’approche basée sur les risques. Elle encourage les organisations à adopter une approche proactive en matière de gestion des risques de sécurité de l’information. Cette nouvelle version insiste sur l’identification, l’évaluation et le traitement des risques, en tenant compte des objectifs de l’organisation et des exigences des parties intéressées.

Considérations liées à l’externalisation:

La norme ISO 27001:2022 accorde une attention particulière à l’externalisation des activités liées à la sécurité de l’information. Elle encourage les organisations à prendre en compte les risques liés à l’externalisation et à mettre en place des mesures appropriées pour les gérer. Cela inclut la sélection rigoureuse des fournisseurs externes, la définition des responsabilités et des accords contractuels clairs, ainsi que la surveillance et l’évaluation régulières des performances des fournisseurs.

Prise en compte de l’évolution technologique:

La norme ISO 27001:2022 reflète les avancées technologiques récentes et les nouveaux défis liés à la sécurité de l’information. Elle aborde des sujets tels que la sécurité des systèmes en nuage (cloud computing), l’intelligence artificielle, l’internet des objets (IoT) et les technologies émergentes. Cette version actualisée met l’accent sur l’importance de maintenir une veille technologique continue pour identifier et traiter les menaces et les vulnérabilités émergentes.

Renforcement de la gouvernance et de la culture de sécurité:

La norme ISO 27001:2022 souligne l’importance de la gouvernance de la sécurité de l’information au plus haut niveau de l’organisation. Elle encourage les dirigeants à s’impliquer activement dans la gestion de la sécurité de l’information et à promouvoir une culture de sécurité au sein de l’entreprise. Cette nouvelle version met également l’accent sur l’éducation, la sensibilisation et la formation des employés afin de renforcer la compréhension et l’adhésion aux politiques et procédures de sécurité de l’information.

La transition de la norme ISO 27001:2013 vers la norme ISO 27001:2022 apporte des changements significatifs pour les organisations cherchant à renforcer leur gestion de la sécurité de l’information. La nouvelle version met davantage l’accent sur l’approche basée sur les risques, l’externalisation, l’évolution technologique, la gouvernance et la culture de sécurité. Les organisations devraient se familiariser avec les nouvelles exigences et entreprendre les actions nécessaires pour s’adapter à cette évolution. L’adoption de la norme ISO 27001:2022 permettra aux organisations de renforcer leur résilience face aux cybermenaces croissantes et de démontrer leur engagement envers la protection de l’information.