Interview Cyber : Laurent Galvani, consultant cybersécurité senior chez Fidens, commente les nouvelles évolutions de la norme ISO 27002

« La norme ISO 27002 n’est pas certifiante mais regroupe les bonnes pratiques qui aideront à mettre en place les mesures demandées par l’ISO 27001 »

Pour échanger sur la nouvelle évolution de la norme ISO 27002  et ses conséquences sur les risques et la sécurité des systèmes d’information, nous avons le plaisir d’inviter Laurent Galvani. Après une formation initiale d’ingénieur en informatique complétée par un master en cryptologie, Laurent Galvani intègre Fidens en 2015 comme consultant en cybersécurité organisationnelle. Il travaille sur toutes les thématiques de gouvernance et a participé à la mise en place de nombreux SMSI (Système de Management de la Sécurité de l’Information).

La norme ISO 27002 représente un ensemble de bonnes pratiques dans le cadre de la mise en place ou le maintien d’un SMSI, lui-même encadré par la norme ISO 27001. Pouvez-vous nous rappeler rapidement ce qu’englobe cette norme 27001 ?

La certification internationale ISO 27001 atteste de la mise en place effective d’un système de management de la sécurité de l’information (SMSI) pour un organisme, un produit ou un service. Elle répond aux enjeux de gouvernance et de conformité autour des exigences de sécurité de l’information et englobe un ensemble de processus techniques et de mesures de sécurité qu’elles soient organisationnelles, physiques ou logiques. Grâce à ces mesures de protection, un SMSI peut piloter la cybersécurité en s’appuyant notamment des politiques, des plans d’actions, des moyens de contrôles et des indicateurs de risques..  Sans oublier en toile de fond la notion d’amélioration continue.

La démarche qui vise à la certification ISO 27001 est progressive et permet d’améliorer les différentes pratiques de l’organisation au fur et à mesure. Mais si aujourd’hui les entreprises ou administrations pour lesquelles on ne trouve aucune mesure de gestion de la sécurité sont peu nombreuses, les pratiques restent en revanche plus ou moins bonnes et plus ou moins organisées selon les cas. Et c’est justement le SMSI qui apporte une structure et gouvernance et peut ainsi aligner les pratiques déjà existantes sur quelque chose de reconnu comme étant fonctionnel.

Enfin, les entreprises et les organisations qui ont parmi leurs objectifs la certification internationale ISO 27001 peuvent s’appuyer sur la norme annexe ISO 27002. Elle n’est pas certifiante mais regroupe les bonnes pratiques qui aideront à mettre en place les mesures demandées par l’ISO 27001.

La norme ISO 27002 vient justement de connaître une mise à jour. Pouvez-vous nous dire quels sont les principaux changements de cette version 2022 ?

Le nombre de mesures couvert par la norme annexe ISO 27002 vient de passer de 114 à 93, sachant que 19 mesures ont fusionné. Ces 93 mesures sont regroupées dans 4 grandes thématiques : la sécurité organisationnelle, la sécurité liée aux personnes, la sécurité physique et la sécurité technique. Le champ d’application est donc toujours aussi large, car il concerne aussi bien le recrutement et tout le cycle de vie des salariés (de l’onboarding à l’offboarding), que la gestion et l’examen de la configuration des pare-feux et solutions logicielles de sécurité en passant par le contrôle physique des accès au bâtiment.

Pour aller plus loin, voici une vidéo du Clusif dans laquelle François Zamora de l’Afnor donne des clés de lecture pour la norme ISO 27002.

Pouvez-vous nous indiquer quelles sont les nouvelles mesures phares de l’évolution de cette norme ISO 27002 ?

Les nouvelles mesures de la norme ISO 27002 version 2022 sont au nombre de 11. L’examen de celles-ci montre que les plus importantes sont certainement les suivantes :

• Threat intelligence : ce chapitre regroupe les activités de veille, de collecte d’informations et d’analyse des codes et menaces émergentes qui doivent être réalisées.
• ICT readiness for business continuity : il s’agit du Plan de Continuité Informatique qui doit être développé, déployé, maintenu, testé et amélioré.
• Physical security monitoring : ce chapitre précise quant à lui que les locaux doivent être surveillés et sous contrôle en permanence pour détecter tout accès physique non autorisé.
• Configuration management : ce chapitre vise les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux. Elles doivent être établies, documentées, mises en œuvre, contrôlées et revues.
• Data leakage prevention : des mesures doivent être prises afin d’empêcher la fuite des données importantes pour l’entreprise avec le contrôle des canaux de communication, limitant la connexion de périphériques amovibles, etc.
• Web filtering : l’accès pour les salariés aux sites web externes doit être géré afin de réduire l’exposition aux contenus malveillants.

Pour aller plus loin, cette vidéo propose de faire le tour de cette version 2022 en un peu plus de 6 minutes :

Pouvez-vous nous détailler quelques-unes de ces mesures ?

Concernant le chapitre nommé Physical security monitoring, il faut bien avoir à l’esprit que les personnes peuvent avoir accès au SI « logiquement », mais également « physiquement ». Pour ce deuxième point, on pense en premier lieu aux collaborateurs, mais il ne faut pas oublier les contrôles des prestataires extérieurs, comme ceux qui s’occupent de l’entretien / du ménage ou les personnels en charge de la maintenance par exemple. Car une personne malveillante qui débranche un câble sur un serveur pour y brancher autre chose peut faire plus de dégâts qu’un pirate informatique qui accède au SI à distance. Il faut également penser à surveiller les accès en dehors des horaires d’ouverture.

Cette nouvelle mesure indique donc que la sécurité des locaux doit être maîtrisée, grâce à des systèmes de surveillance (alarmes, vidéosurveillance…) et des contrôles. L’entreprise doit également être en mesure de dire, pour chaque personne ayant accès au code du bâtiment, les heures d’entrée et de sortie. Le tout devant être facilement géré depuis une console centrale par exemple.

Quel est le champ d’application de la mesure Configuration management ?

L’idée derrière cette nouvelle mesure est qu’il faut documenter une procédure pour gérer les configurations, c’est-à-dire les rôles, les responsabilités et comment sont maîtrisés l’évolution et les changements de ces configurations. Il faut donc créer des modèles ou des « templates » de configuration pour tous les composants, qu’ils soient matériels, logiciels ou réseaux. La gestion des configurations doit être assez poussée car si un équipement est mal configuré, il peut ouvrir une porte d’accès qui va rendre le SI vulnérable.

Y a-t-il une autre mesure que vous voulez commenter ?

A mon sens il faut porter une attention particulière à la mesure Data leakage prevention, qui demande à identifier et classifier les informations : lesquelles sont les plus sensibles, lesquelles sont publiques et demandent moins d’attention, etc. Il s’agit ensuite d’identifier et de surveiller les canaux de fuite potentielle comme les emails, les systèmes de transfert de fichiers, les clés USB… Et de réfléchir aux moyens à mettre en œuvre pour empêcher cette fuite de l’information. Par exemple : mettre en quarantaine un email suspect, empêcher le branchement de clés USB, jusqu’à la mise en place d’une solution DLP (pour Data Loss Prevention) qui surveille l’ensemble du SI à partir d’une configuration donnée. Une solution DLP est ainsi capable de bloquer un contenu et déclencher une alerte si une action ne correspond pas à la politique de sécurité qu’on lui a indiquée.

Pour quelles typologies d’entreprises cette norme ISO 27002 est-elle importante ?

Toutes les typologies d’entreprises ou d’organisations publiques sont concernées, quelles que soient leurs tailles, et de tous secteurs (grands comptes, coopératives, PME…). Tout dépend en fait de leur niveau de maturité en matière de cybersécurité. Certaines structures peuvent déjà avoir dans leurs objectifs de mettre en place un SMSI et s’appuient sur la norme ISO 27002 comme référentiel de bonnes pratiques. D’autres en revanche veulent d’abord faire un état des lieux pour justement être capable de juger du niveau de maturité, de protection et de sécurité de leur SI. Dans ce dernier cas il faut choisir un référentiel comme le guide d’hygiène informatique de l’ANSSI  et ses 42 mesures, le PCI DSS (Payment Card Industry Data Security Standard, dans le cadre du traitement et de l’examen des données des titulaires de cartes bancaires, y compris les start-ups) ou justement l’ISO 27002. Etant donné qu’il s’agit de bonnes pratiques de sécurité, elles peuvent même intervenir plusieurs fois dans le cycle de vie d’une politique de sécurité, dont la mise en place s’étale nécessairement sur plusieurs années.

Avez-vous des conseils ou des retours d’expérience à nous partager pour aider les entreprises à mettre en place les normes ISO 27001 et 27002 ?

Il est primordial de se faire accompagner par un partenaire habitué à « subir » des audits, car même des normes aussi détaillées que les ISO 27001 et 27002 sont soumises à interprétation. En effet, chacune des exigences contient des pistes très variées mais en fonction du contexte, de la maturité et des ressources de l’organisation, le niveau de mis en œuvre sera différent. Il faut donc un accompagnant expert qui bénéficie de suffisamment d’expérience pour savoir comment les auditeurs interprètent les textes, qui a déjà documenté des politiques, des procédures et les éléments demandés dans la nouvelle mise en œuvre de ces normes pour orienter son client.

De plus, la formalisation de ces normes ISO est très chronophage. Ainsi, avoir recours à un prestataire qui dispose déjà de processus, modèles et de templates peut faire gagner beaucoup de temps et de ressources aux entreprises et aux collectivités, surtout s’il propose de remplir lui-même ces modèles pour le client. 

Chez Fidens nous proposons un accompagnement optimal durant chaque phase du projet. Nous disposons déjà de plus d’une centaine d’accompagnements à la mise en œuvre de SMSI réalisés avec succès, dans différents secteurs d’activité et dans des organisations de toutes tailles, publiques et privées. En plus de nos consultants experts et certifiés Lead Implementer ou Lead Auditor ISO 27001 et HDS, nous pouvons également mettre à disposition notre logiciel APOS, dédié au pilotage de la Cybergouvernance.