17/10/2022
Cybersecurity Insights
ISO 27001 : une évolution pour identifier au plus près le patrimoine informationnel
La norme ISO/CEI 27001:2013 spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un système de management de la sécurité de l’information dans le contexte d’une organisation. Elle comporte également des exigences sur l’appréciation et le traitement des risques de sécurité de l’information, adaptées à ses besoins.
En avril 2017 la norme ISO/CEI 27001:2017 a été homologuée. Elle remplace la norme ISO/CEI 27001 2013 et reproduit intégralement la norme internationale ISO/CEI 27001:2013 avec ses rectificatifs de 2014 et 2015. Une modification de forme a été réalisée, ainsi qu’une modification de fond. Nous allons aujourd’hui nous pencher sur la modification de fond qui malgré des impacts considérables pourrait passer sous les radars et générer des non-conformités dans des SMSI matures.
Notez que suite à cette modification, les certificats émis selon l’ISO/CEI 27001:2013 devront être réémis sous la version 2017 avant le 31/12/2023. A compter du 01/01/2024, toutes les accréditations selon la norme ISO/CEI 27001:2013 seront retirées ; tous les certificats devront avoir été émis ou réémis selon la nouvelle version de la norme.
Au-delà du contenant, l’accent est désormais mis sur le contenu
La modification concerne la mesure de sécurité 8.1.1 de l’Annexe de la norme ISO 27001. Cette mesure fait partie du thème lié à la gestion des actifs et notamment à leurs responsabilités.
L’ancienne mesure : « Les actifs associés à l’information et aux moyens de traitement de l’information doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour. » doit être remplacée par « L’information et autres actifs associés à l’information et aux moyens de traitement de l’information doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour. »
Cette évolution de la mesure nous éclaire sur une nouvelle orientation que prend la norme ISO 27001. Cette mesure se concentrait uniquement sur les actifs matériels et logiciels qui pouvaient être présents dans le système d’information d’une organisation, comme le matériel physique, les applications, etc. Elle demandait d’identifier les actifs associés à l’information et aux moyens de traitement de l’information et de dresser et tenir à jour un inventaire de ces actifs. Cette mesure met désormais au premier plan, « l’information » constituant les « actifs immatériels » des organisations, qu’elles doivent identifier et inventorier au-delà des actifs (matériels / supports / outils) associés afin de pouvoir assurer leur sécurité.
Le sujet principal de la norme devient ainsi le patrimoine informationnel d’une organisation et non plus uniquement les éléments informatiques qui le portent, le représentent ou en permettent le traitement. Il s’agit de l’ensemble des informations et des connaissances valorisables d’une entreprise. Leur valorisation passe par leur sécurisation tout au long de leur cycle de vie (Confidentialité, Intégrité, Disponibilité, Traçabilité) à l’intérieur ou à l’extérieur du système d’information de l’organisation.
Comment répondre à cette mesure dans la pratique ?
Pour protéger correctement le patrimoine informationnel, celui-ci doit être connu. Appréhender ce patrimoine, c’est d‘abord se représenter toutes les informations qui ont de la valeur pour l’organisme étudié. Il s’agit bien donc d’avoir une réflexion portant sur les activités et le fonctionnement de l’organisme bien avant de s’intéresser aux moyens utilisés pour traiter ces informations. Ainsi, qu’il s’agisse des informations portant sur les clients/les fournisseurs/les collaborateurs/les produits/les services/les processus/le savoir-faire/les outils mis en œuvre ou utilisés par l’organisme pour ses activités, il convient de réaliser une analyse permettant pour chacune d’identifier les informations manipulées / utilisées.
Ces informations peuvent être extrêmement diverses. Malgré la numérisation omniprésente dans tous les secteurs d’activité, les informations ne sont pas nécessairement toutes présentes sur le système d’information et surtout peuvent aussi être manipulées en dehors du SI (papier, supports analogiques, processus humains, etc). Il appartient à l’organisation de les valoriser et de les gérer en mettant en place les moyens nécessaires afin de les protéger des menaces et des vulnérabilités associées.
Cependant, identifier les actifs informationnels nécessite une méthodologie différente de celle que l’on utilise pour réaliser un inventaire de ses actifs physiques. De plus, la priorisation des actions de protection est difficile sans une analyse poussée du patrimoine à protéger.
Almond a développé une méthodologie combinant une approche Processus / Risques et Intelligence Economique, en s’inspirant de l’outil DIESE[1]. Au travers d’ateliers permettant l’identification du patrimoine informationnel de l’entreprise et son besoin en matière de sécurité de l’information, cette méthodologie permet de répondre aux enjeux suivants :
- Connaitre ses actifs informationnels pour les protéger: La valeur de mon organisation concerne les produits ou les services qu’elle fournit, mais qu’est-ce que cela implique concrètement ? ; Quelles sont les informations utilisées ou produites dans le cadre de la réalisation des activités de mon organisation ?
- Appréhender son écosystème: Nous sommes sur un marché compétitif ; d’où pourrait venir la menace pour mes activités/produits/services et quel serait son impact sur mes informations ? ; Quelle pourrait être la valeur des informations dont je dispose pour mes « agresseurs potentiels » ?
- Acquérir des informations nécessaires à la prise de décision: Par où commencer pour protéger les informations essentielles à l’atteinte des objectifs de l’organisation ?
Il est intéressant de noter les similitudes avec EBIOS RM notamment dans la prise en compte de l’écosystème et des « sources de risques » relatives aux informations de valeur pour l’organisme.
Il s’agit d’une approche permettant d’identifier les actions prioritaires à court et moyen termes adressant les besoins de protection du patrimoine informationnel au sein du SI et au-delà.
Cette évolution de la norme va donc imposer aux organismes certifiés, comme à ceux qui visent la conformité de leurs systèmes de management de sécurité de l’information, des efforts particuliers sur leurs inventaires et cartographies d’actifs. Elle permettra également de mieux articuler la Sécurité des SI avec les cadres de protection de l’information qui dépassent l’informatique (RGPD, Protection de l’information stratégique, Secret industriel, Potentiel Scientifique et Technique de la Nation, etc).
Pour les organisations qui passeraient à côté de cette évolution le risque de non-conformité en audit de certification est fort, il est donc nécessaire d’initier au plus tôt les travaux de mise à jour des inventaires pour garantir la présence des actifs informationnels et mettre à jour les documents afférents dans le SMSI.
La norme ISO/CEI 27002:2013, ainsi que l’ISO/CEI 27001:2017, dont elle décrit les bonnes pratiques pour la mise en œuvre d’un système de management de la sécurité de l’information ont été révisées en 2022.
La norme ISO/CEI 27002:2022 – Sécurité de l’information, cybersécurité et protection de la vie privée — Moyens de maîtrise de l’information, est déjà disponible sur le site de l’ISO. Dans la continuité des modifications réalisées précédemment, elle met l’accent sur la connaissance du patrimoine informationnel et sur la capacité d’une organisation à faire face aux menaces.
Nous pouvons ainsi nous interroger quant à la tendance générale de l’évolution de la famille ISO 27000 dont l’ambition est de fixer le cadre pour la gestion de sécurité de l’Information. Quelles sont les briques manquantes pour guider vers les bonnes pratiques et les mesures de sécurité de l’information en dehors des Systèmes Informatiques ?
[1] DIESE est un outil développé par le Service de l’information stratégique et de la sécurité économiques
Références
La sécurité économique au quotidien en 28 fiches thématiques https://sisse.entreprises.gouv.fr/files_sisse/files/outils/fiches/fichea3_identifier_l_information-a_proteger.pdf
Ophélie WEBER
Consultante Governance, Risks & Compliance