ISO 27001:2022 vs 2013: Quels Changements?

Guide Complet de Comparaison pour les Organisations en Transition vers la Nouvelle Norme

Accueil Blog Guide d'Implémentation

📋 Aperçu des Changements

ISO/IEC 27001:2022 a été publiée en octobre 2022, remplaçant la version 2013. Les organisations certifiées ISO 27001:2013 ont jusqu'en octobre 2025 pour passer à la nouvelle norme. Comprendre les changements est crucial pour planifier votre stratégie de transition.

Résumé des Changements Clés

  • 93 contrôles (contre 114): Consolidés pour plus de clarté et moins de duplication
  • 4 thèmes (vs 14 domaines): Organisationnel, Humain, Physique, Technologique
  • 10 nouveaux contrôles: Incluant threat intelligence, sécurité cloud, préparation TIC
  • 24 contrôles fusionnés: Exigences chevauchantes combinées
  • 58 contrôles mis à jour: Langage et exigences clarifiés

🏗️ Nouvelle Structure des Contrôles

De 14 Domaines à 4 Thèmes

ISO 27001:2013 organisait les contrôles en 14 domaines. La version 2022 simplifie à 4 thèmes:

Structure 2022 (4 Thèmes)

  • Contrôles Organisationnels (37): Politiques, rôles, gestion des actifs, sécurité RH, gestion des fournisseurs
  • Contrôles Humains (8): Vérification, conditions d'emploi, sensibilisation et formation
  • Contrôles Physiques (14): Zones sécurisées, sécurité des équipements, services publics, élimination
  • Contrôles Technologiques (34): Authentification, cryptographie, sécurité réseau, journalisation

Catégorisation Basée sur les Attributs

La version 2022 ajoute des attributs à chaque contrôle:

  • Type de Contrôle: Préventif, Détectif ou Correctif
  • Propriétés de Sécurité de l'Information: Confidentialité, Intégrité, Disponibilité
  • Concepts de Cybersécurité: Identifier, Protéger, Détecter, Réagir, Récupérer
  • Capacités Opérationnelles: Gouvernance, Gestion des Actifs, Protection, etc.
  • Domaines de Sécurité: Gouvernance & Écosystème, Protection, Défense, Résilience

✨ 10 Nouveaux Contrôles en 2022

5.7 Threat Intelligence

Les organisations doivent maintenant collecter et analyser les renseignements sur les menaces pertinents pour leur sécurité de l'information. Cela formalise ce que les organisations matures font déjà informellement.

Implémentation: Abonnement aux flux de menaces, surveillance des avis de sécurité, suivi des vulnérabilités affectant votre stack technologique.

5.23 Sécurité de l'Information pour les Services Cloud

Exigences explicites pour utiliser, acquérir et gérer les services cloud de manière sécurisée. Traite les risques spécifiques au cloud.

Implémentation: Évaluations de sécurité des fournisseurs cloud, documentation du modèle de responsabilité partagée, revues de configuration cloud.

5.30 Préparation TIC pour la Continuité d'Activité

Garantit que les systèmes TIC sont prêts à soutenir les exigences de continuité d'activité. Renforce l'accent sur la résilience.

Implémentation: Test des procédures de reprise après sinistre, vérification de la restauration des sauvegardes, assurer la redondance.

8.9 Gestion de la Configuration

Nécessite une gestion documentée de la configuration pour les systèmes pertinents pour la sécurité. Empêche la dérive de configuration.

Implémentation: Infrastructure as Code, références de configuration, suivi des changements.

8.10 Suppression des Informations

Garantit que les informations sont supprimées en toute sécurité lorsqu'elles ne sont plus nécessaires. Soutient la minimisation des données.

Implémentation: Politiques de conservation des données, procédures de suppression sécurisée, processus de vérification.

8.11 Masquage des Données

Nécessite le masquage des données sensibles le cas échéant. Soutient les besoins de confidentialité et de test.

Implémentation: Anonymisation des données de test, rédaction dans les journaux, tokenisation le cas échéant.

8.12 Prévention des Fuites de Données

Traite la prévention de l'exfiltration de données et de la divulgation non autorisée.

Implémentation: Outils DLP, filtrage de sortie, restrictions USB, contrôles email.

8.16 Activités de Surveillance

Formalise les exigences pour surveiller les activités des utilisateurs et des systèmes.

Implémentation: SIEM, agrégation de journaux, analyse du comportement des utilisateurs.

8.23 Filtrage Web

Nécessite un filtrage web pour empêcher l'accès aux contenus malveillants.

Implémentation: Filtrage DNS, serveurs proxy, catégorisation d'URL.

8.28 Codage Sécurisé

Exigences explicites pour les principes de codage sécurisé dans le développement logiciel.

Implémentation: Directives OWASP, revues de code, SAST/DAST, formation à la sécurité.

🔄 Guide de Transition pour les Organisations Certifiées

Calendrier de Transition

Date Limite: Octobre 2025

  • Octobre 2022: ISO 27001:2022 publiée
  • Octobre 2023: Période de grâce d'un an terminée (nouveaux audits utilisent la version 2022)
  • Octobre 2025: Période de transition de 3 ans terminée (tous les certificats doivent être conformes 2022)

Étapes de Transition

  1. Analyse d'Écart: Comparer les contrôles actuels à l'Annexe A 2022
  2. Mise à Jour de la Déclaration d'Applicabilité: Mapper les contrôles 2013 aux équivalents 2022
  3. Implémentation des Nouveaux Contrôles: Traiter les 10 nouvelles exigences
  4. Mise à Jour de la Documentation: Réviser les politiques pour référencer la norme 2022
  5. Audit Interne: Vérifier la conformité aux nouvelles exigences
  6. Audit de Transition: L'organisme de certification évalue la conformité 2022

Défis de Transition Courants

  • Les contrôles de sécurité cloud peuvent nécessiter de nouvelles évaluations des fournisseurs
  • La threat intelligence nécessite des abonnements/processus continus
  • La gestion de la configuration nécessite l'automatisation
  • La prévention des fuites de données peut nécessiter de nouveaux outils

💡 Conseils Pratiques pour les Organisations Françaises

Ce que la Plupart des Organisations Possèdent Déjà

Bonnes nouvelles: Beaucoup des "nouveaux" contrôles formalisent les meilleures pratiques existantes:

  • Threat intelligence → Surveillance déjà des CVE et actualités de sécurité
  • Sécurité cloud → Utilisation déjà d'AWS/Azure avec une certaine sécurité
  • Gestion de la configuration → Infrastructure as Code déjà en place
  • Surveillance → SIEM ou agrégation de journaux déjà déployée

Ce qui Nécessite du Travail

Contrôles qui nécessitent généralement une nouvelle implémentation:

  • Processus formel de threat intelligence (pas seulement une surveillance ad-hoc)
  • Évaluations documentées de sécurité cloud (pas seulement utiliser des services cloud)
  • Prévention des fuites de données (peut nécessiter des outils DLP)
  • Standards de codage sécurisé (sécurité SDLC formalisée)

Impact sur les Coûts

Pour les PME françaises déjà certifiées selon 2013:

  • Effort interne: 40-80 heures pour l'analyse d'écart, mises à jour documentation, implémentation
  • Audit de transition: €2.000-€5.000 (souvent combiné avec audit de surveillance)
  • Nouveaux outils: €1.000-€3.000 si des lacunes DLP ou surveillance existent

Besoin d'aide pour la transition? Contactez Hack23 pour une analyse d'écart et planification de transition adaptée aux organisations françaises.

📚 Ressources