Article initialement publié le 09/02/2023 et mis à jour le 30/06/2025
« La norme ISO 27002 n’est pas certifiante mais regroupe les bonnes pratiques qui aideront à mettre en place les mesures demandées par l’ISO 27001 »
Pour échanger sur la nouvelle évolution de la norme ISO 27002 et ses conséquences sur les risques et la sécurité des systèmes d’information, nous avons le plaisir d’inviter Laurent Galvani. Après une formation initiale d’ingénieur en informatique complétée par un master en cryptologie, Laurent Galvani intègre Fidens en 2015 comme consultant en cybersécurité organisationnelle. Il travaille sur toutes les thématiques de gouvernance et a participé à la mise en place de nombreux SMSI (Système de Management de la Sécurité de l’Information).
La norme ISO 27002 représente un ensemble de bonnes pratiques dans le cadre de la mise en place ou le maintien d’un SMSI, lui-même encadré par la norme ISO 27001. Pouvez-vous nous rappeler rapidement ce qu’englobe cette norme 27001 ?
La certification internationale ISO 27001 atteste de la mise en place effective d’un système de management de la sécurité de l’information (SMSI) pour un organisme, un produit ou un service. Elle répond aux enjeux de gouvernance et de conformité autour des exigences de sécurité de l’information et englobe un ensemble de processus techniques et de mesures de sécurité qu’elles soient organisationnelles, physiques ou logiques. Grâce à ces mesures de protection, un SMSI peut piloter la cybersécurité en s’appuyant notamment des politiques, des plans d’actions, des moyens de contrôles et des indicateurs de risques.. Sans oublier en toile de fond la notion d’amélioration continue.
La démarche qui vise à la certification ISO 27001 est progressive et permet d’améliorer les différentes pratiques de l’organisation au fur et à mesure. Mais si aujourd’hui les entreprises ou administrations pour lesquelles on ne trouve aucune mesure de gestion de la sécurité sont peu nombreuses, les pratiques restent en revanche plus ou moins bonnes et plus ou moins organisées selon les cas. Et c’est justement le SMSI qui apporte une structure et gouvernance et peut ainsi aligner les pratiques déjà existantes sur quelque chose de reconnu comme étant fonctionnel.
Enfin, les entreprises et les organisations qui ont parmi leurs objectifs la certification internationale ISO 27001 peuvent s’appuyer sur la norme annexe ISO 27002. Elle n’est pas certifiante mais regroupe les bonnes pratiques qui aideront à mettre en place les mesures demandées par l’ISO 27001.
La norme ISO 27002 vient justement de connaître une mise à jour. Pouvez-vous nous dire quels sont les principaux changements de cette version 2022 ?
Le nombre de mesures couvert par la norme annexe ISO 27002 vient de passer de 114 à 93, sachant que 19 mesures ont fusionné. Ces 93 mesures sont regroupées dans 4 grandes thématiques : la sécurité organisationnelle, la sécurité liée aux personnes, la sécurité physique et la sécurité technique. Le champ d’application est donc toujours aussi large, car il concerne aussi bien le recrutement et tout le cycle de vie des salariés (de l’onboarding à l’offboarding), que la gestion et l’examen de la configuration des pare-feux et solutions logicielles de sécurité en passant par le contrôle physique des accès au bâtiment.
Pour aller plus loin, voici une vidéo du Clusif dans laquelle François Zamora de l’Afnor donne des clés de lecture pour la norme ISO 27002.
Pouvez-vous nous indiquer quelles sont les nouvelles mesures phares de l’évolution de cette norme ISO 27002 ?
Les nouvelles mesures de la norme ISO 27002 version 2022 sont au nombre de 11. L’examen de celles-ci montre que les plus importantes sont certainement les suivantes :
- Threat intelligence : ce chapitre regroupe les activités de veille, de collecte d’informations et d’analyse des codes et menaces émergentes qui doivent être réalisées.
- ICT readiness for business continuity : il s’agit du Plan de Continuité Informatique qui doit être développé, déployé, maintenu, testé et amélioré.
- Physical security monitoring : ce chapitre précise quant à lui que les locaux doivent être surveillés et sous contrôle en permanence pour détecter tout accès physique non autorisé.
- Configuration management : ce chapitre vise les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux. Elles doivent être établies, documentées, mises en œuvre, contrôlées et revues.
- Data leakage prevention : des mesures doivent être prises afin d’empêcher la fuite des données importantes pour l’entreprise avec le contrôle des canaux de communication, limitant la connexion de périphériques amovibles, etc.
- Web filtering : l’accès pour les salariés aux sites web externes doit être géré afin de réduire l’exposition aux contenus malveillants.
Pour aller plus loin, cette vidéo propose de faire le tour de cette version 2022 en un peu plus de 6 minutes :
Pouvez-vous nous détailler quelques-unes de ces mesures ?
Concernant le chapitre nommé Physical security monitoring, il faut bien avoir à l’esprit que les personnes peuvent avoir accès au SI « logiquement », mais également « physiquement ». Pour ce deuxième point, on pense en premier lieu aux collaborateurs, mais il ne faut pas oublier les contrôles des prestataires extérieurs, comme ceux qui s’occupent de l’entretien / du ménage ou les personnels en charge de la maintenance par exemple. Car une personne malveillante qui débranche un câble sur un serveur pour y brancher autre chose peut faire plus de dégâts qu’un pirate informatique qui accède au SI à distance. Il faut également penser à surveiller les accès en dehors des horaires d’ouverture.
Cette nouvelle mesure indique donc que la sécurité des locaux doit être maîtrisée, grâce à des systèmes de surveillance (alarmes, vidéosurveillance…) et des contrôles. L’entreprise doit également être en mesure de dire, pour chaque personne ayant accès au code du bâtiment, les heures d’entrée et de sortie. Le tout devant être facilement géré depuis une console centrale par exemple.
Quel est le champ d’application de la mesure Configuration management ?
L’idée derrière cette nouvelle mesure est qu’il faut documenter une procédure pour gérer les configurations, c’est-à-dire les rôles, les responsabilités et comment sont maîtrisés l’évolution et les changements de ces configurations. Il faut donc créer des modèles ou des « templates » de configuration pour tous les composants, qu’ils soient matériels, logiciels ou réseaux. La gestion des configurations doit être assez poussée car si un équipement est mal configuré, il peut ouvrir une porte d’accès qui va rendre le SI vulnérable.
Y a-t-il une autre mesure que vous voulez commenter ?
A mon sens il faut porter une attention particulière à la mesure Data leakage prevention, qui demande à identifier et classifier les informations : lesquelles sont les plus sensibles, lesquelles sont publiques et demandent moins d’attention, etc. Il s’agit ensuite d’identifier et de surveiller les canaux de fuite potentielle comme les emails, les systèmes de transfert de fichiers, les clés USB… Et de réfléchir aux moyens à mettre en œuvre pour empêcher cette fuite de l’information. Par exemple : mettre en quarantaine un email suspect, empêcher le branchement de clés USB, jusqu’à la mise en place d’une solution DLP (pour Data Loss Prevention) qui surveille l’ensemble du SI à partir d’une configuration donnée. Une solution DLP est ainsi capable de bloquer un contenu et déclencher une alerte si une action ne correspond pas à la politique de sécurité qu’on lui a indiquée.
Pour quelles typologies d’entreprises cette norme ISO 27002 est-elle importante ?
Toutes les typologies d’entreprises ou d’organisations publiques sont concernées, quelles que soient leurs tailles, et de tous secteurs (grands comptes, coopératives, PME…). Tout dépend en fait de leur niveau de maturité en matière de cybersécurité. Certaines structures peuvent déjà avoir dans leurs objectifs de mettre en place un SMSI et s’appuient sur la norme ISO 27002 comme référentiel de bonnes pratiques. D’autres en revanche veulent d’abord faire un état des lieux pour justement être capable de juger du niveau de maturité, de protection et de sécurité de leur SI. Dans ce dernier cas il faut choisir un référentiel comme le guide d’hygiène informatique de l’ANSSI et ses 42 mesures, le PCI DSS (Payment Card Industry Data Security Standard, dans le cadre du traitement et de l’examen des données des titulaires de cartes bancaires, y compris les start-ups) ou justement l’ISO 27002. Etant donné qu’il s’agit de bonnes pratiques de sécurité, elles peuvent même intervenir plusieurs fois dans le cycle de vie d’une politique de sécurité, dont la mise en place s’étale nécessairement sur plusieurs années.
Avez-vous des conseils ou des retours d’expérience à nous partager pour aider les entreprises à mettre en place les normes ISO 27001 et 27002 ?
Il est primordial de se faire accompagner par un partenaire habitué à « subir » des audits, car même des normes aussi détaillées que les ISO 27001 et 27002 sont soumises à interprétation. En effet, chacune des exigences contient des pistes très variées mais en fonction du contexte, de la maturité et des ressources de l’organisation, le niveau de mis en œuvre sera différent. Il faut donc un accompagnant expert qui bénéficie de suffisamment d’expérience pour savoir comment les auditeurs interprètent les textes, qui a déjà documenté des politiques, des procédures et les éléments demandés dans la nouvelle mise en œuvre de ces normes pour orienter son client.
De plus, la formalisation de ces normes ISO est très chronophage. Ainsi, avoir recours à un prestataire qui dispose déjà de processus, modèles et de templates peut faire gagner beaucoup de temps et de ressources aux entreprises et aux collectivités, surtout s’il propose de remplir lui-même ces modèles pour le client.
Chez Fidens nous proposons un accompagnement optimal durant chaque phase du projet. Nous disposons déjà de plus d’une centaine d’accompagnements à la mise en œuvre de SMSI réalisés avec succès, dans différents secteurs d’activité et dans des organisations de toutes tailles, publiques et privées. En plus de nos consultants experts et certifiés Lead Implementer ou Lead Auditor ISO 27001 et HDS, nous pouvons également mettre à disposition notre logiciel APOS, dédié au pilotage de la Cybergouvernance.
Mise à jour 2025 : Évolutions et retours d’expérience sur la norme ISO 27002:2022
« Deux ans après la publication de la norme ISO 27002:2022, le marché a mûri et les organisations ont développé des approches efficaces pour intégrer ces changements dans leur SMSI »
La norme ISO 27001 a également été mise à jour en octobre 2022 pour s’aligner avec les modifications apportées à l’ISO 27002. Cette mise à jour a introduit une nouvelle annexe A qui reflète la structure et les contrôles de l’ISO 27002:2022.
Pour les organisations déjà certifiées ISO 27001:2013, une période de transition a été définie jusqu’au 31 octobre 2025, date à laquelle toutes les certifications devront être conformes à la version 2022. Cette échéance se rapproche et les retours d’expérience montrent qu’une anticipation de cette transition est fortement recommandée pour éviter les difficultés liées à une mise en conformité tardive.
Laurent Galvani précise : « Nous constatons que les organisations qui ont entamé leur transition dès 2023 ont pu l’intégrer de manière progressive dans leur cycle d’amélioration continue, ce qui s’est avéré beaucoup moins perturbant que pour celles qui ont attendu. La transition vers ISO 27001:2022 nécessite non seulement une révision documentaire, mais aussi une adaptation des pratiques opérationnelles, ce qui demande du temps. »
Méthodologies et outils pour faciliter la transition
Depuis la publication de la norme, de nouvelles méthodologies et outils ont émergé pour faciliter la transition vers l’ISO 27002:2022. L’expérience accumulée par les consultants et les organisations a permis d’identifier des approches efficaces.
« Nous avons développé des matrices de correspondance détaillées entre les anciennes et nouvelles mesures, ainsi que des outils d’auto-évaluation spécifiques à la version 2022 », explique Laurent Galvani. « Notre logiciel APOS a également évolué pour intégrer nativement la nouvelle structure de la norme, ce qui permet aux organisations de visualiser clairement leur niveau de conformité et les actions à entreprendre.»
Les retours d’expérience montrent que l’approche par les attributs, nouvelle caractéristique de la norme 27002:2022, s’est révélée particulièrement utile pour les organisations ayant des exigences réglementaires multiples. Cette approche permet de filtrer et d’identifier rapidement les mesures pertinentes selon différents critères (types de mesures, propriétés de sécurité, etc.).
Impact des nouvelles réglementations sur la mise en œuvre de l’ISO 27002
Le paysage réglementaire a considérablement évolué depuis 2023, avec notamment l’adoption de la directive NIS2 en Europe, qui renforce les exigences de cybersécurité pour un large éventail d’organisations considérées comme essentielles ou importantes.
« La mise en œuvre des mesures de l’ISO 27002:2022 constitue désormais une base solide pour répondre aux exigences de NIS2_ », souligne Laurent Galvani. « _Nous observons une convergence entre les référentiels réglementaires et normatifs, ce qui simplifie l’approche globale de conformité pour les organistions.»
D’autres réglementations sectorielles comme DORA pour le secteur financier ou le Cyber Resilience Act pour les produits connectés s’appuient également sur des principes compatibles avec l’ISO 27002:2022. Les organisations qui ont adopté cette norme se trouvent donc mieux préparées face à ces nouvelles exigences réglementaires.
Les mesures les plus difficiles à mettre en œuvre : retours du terrain
Après deux ans d’application de la norme, certaines mesures se sont révélées plus complexes à mettre en œuvre que d’autres. D’après notre expérience d’accompagnement des organisations :
- La mesure « Threat Intelligence » pose des défis importants, notamment pour les organisations de taille moyenne qui ne disposent pas toujours des ressources nécessaires pour mettre en place une veille efficace sur les menaces.
« Pour surmonter ces difficultés, nous recommandons une approche progressive et proportionnée aux enjeux de l’organisation », conseille Laurent Galvani. « Par exemple, pour la Threat Intelligence, il est possible de commencer par s’abonner à des flux d’information sectoriels ou de rejoindre des communautés de partage avant d’investir dans des solutions plus sophistiquées. »
Conclusion : vers une adoption plus mature de la norme
Deux ans après la publication de l’ISO 27002:2022, nous constatons une adoption de plus en plus mature de cette norme. Les organisations qui l’ont intégrée dans leur SMSI rapportent une meilleure visibilité sur leurs mesures de sécurité et une capacité accrue à démontrer leur conformité aux différentes parties prenantes.
La période de transition vers l’ISO 27001:2022 se poursuivant jusqu’en octobre 2025, il est encore temps pour les organisations de planifier leur mise en conformité, mais il devient urgent d’entamer cette démarche pour les certifications qui doivent être renouvelées dans les prochains mois.
Fidens continue d’accompagner ses clients dans cette transition, en s’appuyant sur l’expérience acquise depuis la publication de la norme et en proposant des approches adaptées à chaque contexte organisationnel.
Consultant en cybersécurité depuis 9 ans, j’interviens sur toutes les problématiques de gouvernance, risques et conformité et j’accompagne également les clients à choisir la meilleure offre pour renforcer leur maturité cybersécurité.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com