ISO 27002:2013

ISO 27002

Code de bonne pratique pour
le management de la sécurité de l’information

Date de publication octobre 2013
Nombre de pages (corps du document) 88
Nombre de pages (annexes) 2
Traduction en français Oui

Bref rappel et évolution

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO 17799:V2000, puis en ISO 17799:V2005. En 2007, la norme ISO/CEI 17799:2005 a été rebaptisée en ISO 27002 pour s’intégrer dans la suite ISO 2700x. En 2013, elle a été refondue (enfin) pour la rendre plus pertinente et équilibrée.

Ce catalogue de bonnes pratiques a permis dans les années 2000 de se mettre d’accord sur le périmètre de la sécurité de l’information, sur la gestion des actifs …

Evolution de la norme entre les versions ISO 27002:2005 et ISO 27002:2013

Cette évolution largement attendue permet de supprimer des mesures de sécurité obsolètes de clarifier des mesures précédemment incompréhensibles, ainsi qu’une restructuration bénéfique de certains chapitres.

 On peut citer le découpage de l’ancien chapitre 10 : exploitation et gestion des communications, qui faisait à lui seul presque un quart du document en deux chapitres distincts :

  • 5.Sécurité liée à l’exploitation    et     6.Sécurité des communications

    L’intérêt de la norme ISO 27002:2013 … et ses limites

    Le premier intérêt d’utiliser ISO 27002 est évidemment sa diffusion et sa reconnaissance internationale. Un consensus est acquis sur le domaine couvert par la sécurité de l’information (versus le seul périmètre de la sécurité informatique) et sa structuration par domaine.

    Cela permet ainsi une simplification dans l’utilisation de méthodes de sécurité (« parler le même langage »), de la communication entre sociétés ou entités d’une même entreprise.

    Ensuite, l’ensemble des mesures de sécurité qui y sont définies peuvent être considérées comme les bonnes pratiques actuelles.

    Mais il faut également considérer les limites d’ISO 27002. La plus sérieuse est qu’elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l’entreprise.

    Ainsi, il est aberrant d’imaginer qu’il faille mettre en œuvre l’ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.

    Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l’information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela. Ainsi dans sa version 2013, la norme n’aborde pas les thématiques spécifiques liées au Cloud Computing.

    Contexte national ou international ?

    Si dans un contexte d’entreprise internationale, l’utilité de cette norme ISO 27002 ne fait aucun doute, qu’en est-il pour les organismes nationaux (administration, collectivités, hopitaux, …) ?

    Il est vrai que la culture qualité est en plein déploiement dans de nombreux organismes nationaux et que le passage d’un mode de services cloisonnés à un mode processus est déjà assez difficile à digérer …

    Mais depuis plusieurs années l’e-administration se déploie, d’abord en interne puis en relation entre elles (notion de guichet, de service unique, …). Dans ce contexte, les besoins d’interconnexion entre organismes sont réels et les besoins de sécuriser leur échanges également.

    On retombe alors dans ce besoin d’un référentiel commun et en ce sens ISO 27002 reste intéressant, en liaison avec les préconisations de la DCSSI pour constituer une politique de sécurité de l’information.

     

    Mais en tout état de cause, l’ISO 27002 ne définit aucune exigence en matière de système de management, produit … on ne peut donc absolument pas parler de certification ISO 27002

    COPYRIGHT YSOSECURE © 2002 - 2021