Tandis qu’il était souvent reproché à l’ancienne version de la norme ISO27001 d’être très généraliste et assez peu en cohérence avec la réalité technologique des entreprises, l’organisation de normalisation semble bien décidée à combler cette lacune en proposant une nouvelle mouture de sa norme de référence en matière de sécurité de l’information. Et le moins que l’on puisse dire c’est que les changements sont bien présents et que l’impact pour les entreprises ne sera pas négligeable. Cet article se concentre principalement sur les nouveautés apportées de l'annexe A comportant les mesures de sécurité à mettre en oeuvre.
A fond la forme
Sur la forme , exit les 14 chapitres qui, pour rappel, étaient les suivants (oui dans le monde d’ISO on commence véritablement à partir du chapitre 5 🤷) et dans lesquels étaient disséminés les différentes mesures de sécurité que toute organisation certifiée ISO se doit de mettre en oeuvre - ou pas... (les exclusions, toi même tu sais hein ;) )
A.5 Politiques de sécurité de l’information
A.6 Organisation de la sécurité de l’information
A.7 Sécurité des ressources humaines
A.8 Gestion des actifs
A.9 Contrôle d’accès
A.10 Cryptographie
A.11 Sécurité physique et environnementale
A.12 Sécurité liée l’exploitation
A.13 Sécurité des communications
A.14 Acquisition, développement et maintenance des systêmes d’information
A.15 Relations avec les fournisseurs
A.16 Gestion des incidents liés la sécurité de l’information
A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
A.18 Conformité
Pour se concentrer autour de 4 piliers :
5. Les mesures organisationnelles
6. Les mesures applicables aux personnes
7. Les mesures de sécurité physique
8. Les mesures technologiques
Pour rappel l’ancienne mouture comportait 114 mesures de sécurité quand celle-ci en compte 93.
Mais ne t’emballe pas l’ami, ce n’est pas pour autant qu’il y aura moins de choses à faire, bien au contraire même!
Certaines mesures ont été fusionnées avec d’autres pour plus de clarté. Et d’autres mesures ont été purement supprimées car elle n’avaient plus vraiment de sens à l’heure actuelle.
Ce n’est qu’un aurevoir
Les mesures sacrifiées sont au nombre de 16, la plupart de ces mesures ont été “recasées” plus ou moins dans d’autres catégories. Par exemple concernant la politique des appareils mobiles, les mesures ont été regroupées dans une catégorie générale nommée “Sécurité des points d’accès”, incluant de facto les appareils mobiles. (quand on vous dit qu’ils ont fait les choses bien...) cela aide à gagner en compréhension car il faut bien admettre que dans la précédente mouture on avait parfois du mal à saisir la logique.
Dans le détail, voici le mesures qui ont "disparues" :
A 5.1.2 Revue des politiques de sécurité
A 6.2.1 Politique en matière d’appareils mobiles
A 8.1.2 Propriété des actifs
A 8.2.3 manipulation des actifs
A 9.4.3 Système de gestion des mots de passe
A 11.1.6 Zones de livraison et de chargement
A 11.2.5 Sortie des actifs
A 11.2.8 Matériels utilisateur laissés sans surveillance
A 12.4.2 Protection de l’information journalisée
A 12.6.2 Restrictions liées à l’installation de logiciels
A 13.2.3 Messagerie électronique
A.14.1.2 Sécurisation des services d’application sur les réseaux publics
A 14.1.3 Protection des transactions liées aux services d’application
A.14.2.9 Test de conformité du système
A.16.1.3 Signalement des failles liées la sécurité de l’information
A.18.2.3 Vérification de la conformité technique
On the right corner
Au rayon des nouveautés 12 nouvelles mesures ont été définies (pour l’instant leur dénomination est en anglais car la norme n’a pas encore été traduite) - d'autres mesures pourraient être considérées comme nouvelles, mais ne sont en fait que des renforcements de mesures déjà présentes dans l'ancienne version.
A 5.7 Threat intelligence
A 5.16 Identity management
A 5.23 Information security for use of cloud services
A 5.30 ICT readiness for business continuity
A 7.4 Physical security monitoring
A 8.1 User endpoint devices
A 8.9 Configuration management
A 8.10 Information deletion
A 8.11 Data masking
A 8.12 Data leakage prevention
A 8.23 Web filtering
A 8.28 Secure coding
Donnez moi du #
Autre grosse nouveauté : l’apparition de propriétés applicables :
aux types de mesures de sécurité (#Preventive, #Detective, #Corrective),
aux critères de sécurité (#Confidentiality, #Integrity, #Availability),
à des capacités opérationnelles (#Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_ management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance
à des approches de sécurité (#Identify, #Protect, #Detect, #Respond, #Recover)
Bien qu’il y’ait peu de chance que cela finisse en trending topic sur twitter l’apparition de ces # facilitera l’interopérabilité entre plusieurs référentiels (dont NIST)
Mais alors Jamy , concrètement on fait quoi?
Tout d’abord, il est intéressant de mettre l’accent sur certains nouveaux concepts forts.
Le threat intelligence
Ou en bon français, le renseignement sur les vulnérabilités. Attention il ne s’agit pas ici d’établir un inventaire à la Prévert de toutes les menaces possibles et imaginables en matière de sécurité de l’information. Que nenni, il s’agit d’analyser en profondeur les menaces qui pèsent sur votre organisation, et ce en fonction de plusieurs critères :
Votre couverture technologique : front middle back tout doit y passer, tant en termes d’infra que de code ou de choix de logiciels SaaS - Et le premier qui me dit que c’est de la responsabilité de son cloud/Saas provider il prend 2h de colle.
L’état des menaces : facilité de mise en oeuvre, nouveaux scénarios, contexte géo politique-Jong-un
La corrélation des évènements entre eux : bah oui un fait isolé n’apporte pas grand chose, c’est bien d’un contexte global dont on parle.
Le niveau d’exposition de votre organisation : vous êtes une marque de premier plan, vous avez parmi vos clients des marques “sensibles”, du genre qui fabrique des vaccins ou qui participe à la déforestation #onapourtantunlabelRSE... Sachez que vous avez la capacité d’exciter n’importe quel groupe d’hacktiviste ou de complotiste à l’imagination sans limite. Quand il ne s’agit pas de son propre concurrent 😇
Bref, votre organisation va se transformer en véritable service de renseignement de la cybermenace. Mais avant de vous rêver en Malotru version geek sachez qu’il existe pas mal de solutions techniques qui font le job assez bien. On ne peut pas donner de nom - Secret défense 🤷.
N’hésitez pas à vous renseigner à vous renseigner sur la Threat Intelligence pour en comprendre les mécanismes sous-jacents, c’est fascinant.
ICT readiness for business continuity
Enfin ! Enfin les entreprises vont comprendre que le plan de continuité ne repose pas uniquement sur les frêles épaules du département IT. Alors certes ils ont un rôle prépondérant (car sans systèmes de nos jours il devient très compliqué de travailler) cependant ce n’est pas la panacée.
Dans la précédente version la continuité d’activité était un peu le parent pauvre de la norme. Nombre d’organisation se “cachaient” derrière les clauses contractuelles/SLA de leurs département IT ou de leurs fournisseurs cloud, au mieux ils testaient une bascule technique de l’infra et merci au revoir.
Dans cette nouvelle version, l’ambition est plus grande et le fait d’avoir introduit un focus spécifique sur le département IT implique qu’il n’est plus le seul concerné par ce sujet. La continuité est un sujet global de l’organisation, l’IT en est un support fondamental, mais il n’en est pas le garant.
La précédente version mettait principalement l’accent sur le maintien de la sécurité lors d’un scénario de continuité d’activité, dans cette nouvelle version l’accent est mis sur la nécessité pour toute organisation de bâtir un plan ambitieux de continuité (notamment en mesurant l’impact business d’un incident) - Nos ami.e.s de la norme ISO22301 se délecte déjà... 😊
Data Leakage & WebFiltering
C’est sans doute la première fois que la norme ISO préconise de manière aussi explicite des technologies actives de sécurité. C’est un pari un peu risqué, les choses évoluant très vite (RIP les gestionnaires de mots de passe, petits anges partis trop tôt) mais cela aura le mérite de sécuriser - Vraiment - le système d’information. La fuite de données est sans doute la plaie ouverte la plus calamiteuse pour les organisations. La plupart n’ont même pas idée du volume d’informations disséminées dans la nature par manque de vigilance et par manque de technologies pour endiguer ce phénomène. Dans un contexte où la protection des données personnelles est devenu un enjeu majeur on ne peut que saluer cette volonté de colmater ces fuites à répétition.
Concernant le filtrage web: le cloud et les outils SaaS sont devenus tellement prépondérants qu’ils doivent être considérés comme une part intégrante du système d’information. Le terrain de jeu s’est ainsi considérablement agrandi, et il n’est plus possible de sécuriser uniquement le réseau “interne” d’une entreprise. Cela n’a plus de sens. Par conséquent les organisations vont devoir s’assurer (ou essayer) que notre bon vieux surf puisse se faire avec un maximum de sécurité et ne plus compter uniquement sur les antivirus (lol) de nos postes de travail. Sur ce point l’enjeu est fort et complexe à mettre en oeuvre.
Information security for use of cloud services
En complément du chapitre précédent, un part importante du patrimoine informationnel des organisations est à présent en ligne, le choix des solutions cloud revêt alors un caractère stratégique et la question de la sécurité ne doit pas être mise de coté; Alors navré de vous le dire mais vous allez sans doute devoir vous lire les terms & conditions de la plupart d’entre eux avant de souscrire ….- dur - c’est vrai.
Et mes données personnelles dans tout ça?
Ha la privacy, le nouvel eldorado des cabinets de conseil, et bien bonne nouvelle ils en parlent même dans le titre : “ Information security, cybersecurity and privacy protection” c’est vous dire la place que la thème prend dans cette nouvelle mouture !
En synthèse la plupart des exigences, procédures, politiques, contrôles devront inclure une “dimension” privacy. Alors on ira peut être pas aussi loin qu’avec la norme ISO27701 (on vous prépare un petit contenu là dessus aussi). Mais une chose est sûre vous ne pourrez plus faire l’impasse sur ce sujet.
Auparavant, l’obligation de protéger les données personnelles étaient liés à l’obligation de se conformer avec les textes et lois applicables. mais autant vous dire que nombre d’organisation oubliait négligemment d’intégrer le RGPD-LIL au rang des textes applicables. Cette fois ci plus d’impasse possible et la norme est très claire : Vous devez vous conformer au lois et règlements applicables à votre organisation en matière de protection de la vie privée - donc au RGPD. CQFD !
Cette nouvelle norme est-elle applicable dès à présent?
Difficile de répondre avec précision à cette question, tant les process sont parfois longs et complexes cela étant le meilleur conseil serait de commencer à s’inspirer des concepts forts, de réfléchir à leur mise en oeuvre, bref d'être dans l’anticipation...pour une fois 😄
Commentaires