Suite à la mise à jour de l’ISO 27001 :2013, une évolution de l’ISO 27002 est également prévue pour la fin de l’année. Les objectifs étaient clairs : une meilleure lisibilité et moins de redondance dans les recommandations de sécurité. Sont-ils atteints ? Que nous apporte la nouvelle norme ?
Des évolutions de forme…
La norme se compose dorénavant de 14 chapitres contre 11 dans la version 2005. Les nouveaux chapitres intitulés « Cryptographie », « Relations avec les fournisseurs », « Sécurité des télécommunications » et « Sécurité de l’exploitation » sont issus d’un découpage des chapitres existants.
Les objectifs de sécurité passent de 39 à 35, ils sont formulés de manière plus synthétique, plus souple, augurant plus d’efficacité dans l’implémentation.
Certaines mesures de sécurité ont été modifiées ou supprimées, et finalement peu ont été ajoutées (6 seulement), ce qui diminue le nombre global (133 à 113 mesures).
… et des évolutions de fond
Trois sujets ont réellement fait l’objet d’évolutions structurantes.
Le chapitre « acquisition, développement et maintenance » a été revu en profondeur et prend maintenant en compte la sécurité applicative en incluant des mesures sur « System acceptance testing » (outil d’analyse de code, scanners de vulnérabilités), « System security testing during development », « Secure system engineering principles », « Outsourced developement »… Par ailleurs, les mesures deviennent plus générales, en supprimant l’objectif de sécurité sur « le bon fonctionnement des applications » (validation des données en entrée et en sortie, intégrité des messages, etc.). La gestion des données de tests est traitée dans ce chapitre.
Le chapitre “Information security aspects of business continuity management” traite maintenant de la continuité de la sécurité de l’information et non plus de la continuité business ! Ainsi, une note indique que les informations concernant le business continuity management sont disponibles dans les normes ISO 22301, 27301, 22313. Seul un objectif de sécurité intitulé « redundancies » concerne la disponibilité des « information processing facilities ». Même si la norme réduit la portée de ces mesures, rien n’empêche de conserver les mesures « historiques » sur le PCA.
Le chapitre « contrôle d’accès » se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes : le contrôle d’accès réseau, le contrôle d’accès à l’OS, le télétravail ne font plus partie de ce chapitre. En particulier, les mesures portant sur le cycle de vie des habilitations ont été complétées : depuis l’enregistrement des utilisateurs jusqu’aux revues des droits et la suppression des droits en cas de départ. L’authentification par mot de passe a été élargie aux « secret authentication ». Un focus spécifique est maintenant fait sur l’accès au code source.
Concernant les autres chapitres de la norme, les évolutions sont moins notables. On peut relever les points suivants.
Le chapitre « gestion des incidents liés à la sécurité de l’information » est complété par quelques précisions : une phase de « assessment of and decision on information security events » permet de déterminer si les évènements sont considérés comme des incidents de sécurité et une phase de « response to information security incidents » décrit la gestion des incidents. La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents.
Le chapitre « sécurité du réseau » agrège maintenant toutes les mesures liées au réseau et reprend également celles issues du chapitre « gestion des télécommunications et de l’exploitation » (« gestion de la sécurité des réseaux » et « échange des informations ») et celles issues du chapitre « Contrôle d’accès » en ne conservant que le contrôle « cloisonnement des réseaux ».
Le chapitre « relation avec les fournisseurs » concentre tous les contrôles liés à la gestion des fournisseurs, en remplaçant la notion de « tiers » par « fournisseur ». Un nouveau contrôle est ajouté sur le report des mesures de sécurité sur la chaine de sous-traitance, tandis que le contrôle sur « l’identification des risques provenant des tiers » a été supprimé.
En synthèse, la version 2013 n’est pas révolutionnaire, mais les évolutions font apparaître plus de cohérence au sein des chapitres, ce qui rend la norme plus lisible pour les acteurs en charge de la mise en œuvre.
Qu’en est-il des sujets liés aux évolutions des usages et des technologies depuis 2005 ?
Certaines thématiques incontournables en termes de sécurité ne sont toujours pas traitées explicitement dans la norme :
- Des mesures basiques ne sont pas prises en compte, en particulier : le durcissement des postes de travail ou des serveurs, les réseaux sans fil, etc.
- Certaines règles restent trop macroscopiques pour réellement constituer de bonnes pratiques, notamment sur la sécurité du réseau : « networks should be managed and controlled to protect information in systems and applications », « groups of information services, users and information systems should be segregated on networks »
- Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées : on ne parle pas de surveillance et de corrélation des évènements de sécurité (logique SOC), de sécurisation de l’administration, de sécurisation des accès à l’entreprise, notamment depuis Internet, des dispositifs de réaction en cas de cyber-attaques (logique CERT)…
- Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte : ni le cloud, ni la virtualisation ne sont abordés
On pourra arguer que la famille ISO 27xxx se complète avec des normes spécifiques (cloud computing, surveillance sécurité, etc.), mais il n’en reste pas moins que ce soit gênant si on considère que l’ISO 27002 reste le référentiel le plus générique et le plus utilisé pour la sécurité du SI.
A noter que la norme ISO 27001:2013 appuie sur le fait de compléter la Déclaration d’Applicabilité avec des mesures qui ne sont pas présentes dans l’ISO 27002, ce qui permet de pallier certains manques.
Une norme qui reste « l’esperanto » de la sécurité
La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre.
Sa stabilité dans le temps et son caractère « indépendant des technologies » devrait, malgré ces quelques défauts, lui garantir le même succès dans la durée.