mardi 14 juillet 2020    || Inscription
BanniereNews
 
 

Le Club 27001 a organisé le 18 septembre dernier une présentation des changements apportés par la version 2013 de la norme ISO 27001.

Quelques points clés à retenir de la présentation de Béatrice Joucreau du cabinet HSC  :

- L'expression "at least once a year" pour la revue de direction dans la norme ISO 27001:2005 disparaît. Il doit y avoir un audit interne et une revue de direction, mais plus aucune périodicité n'est imposée. C'était déjà le cas pour la revue de l'appréciation des risques, mais pas pour la revue de direction et donc l'audit interne. L'ISO 27001 rejoint donc l'ISO 9001.

- Le délai pour passer d'une certification 27001:2005 à une certification 27001:2013 n'a pas été précisé par l'ISO. LSTI, représenté dans la salle, a indiqué que l'habitude est de laisser 18 mois pour une telle transition. Hervé Schauer a précisé que lors du passage de la BS 7799 à l'ISO 27001, le délai avait été de 30 mois, après discussion. Donc pour une certification ISO 27001:2005, la migration ISO 27001:2013 pourrait être faite en 2014, ou début 2015.

- On constate beaucoup de simplifications et même de suppressions dans la nouvelle norme. Les ajouts de nouveaux chapitres portent sur des exigences assez vagues, c'est-à-dire peu exigeantes (!)..

- L'annexe A.14 sur la continuité d'activité se limitera désormais à la continuité du système de sécurité. Ce n'est plus le PRA/PCA.

- Mais la nouvelle norme 27001 laisse une ouverture à de nombreux autres référentiels, sans prendre la peine de les nommer. C'est un point sur lequel il faut s'interroger sur ce que sera l'interprétation qui sera faite par la profession ...

Donc, en première lecture, la tendance est d'aller vers une forte simplification. Hervé Schauer observe que cela va permettre à de nombreuses "certifications asiatiques de complaisance" d'être enfin conformes. Peut-être...

Pourtant, on constate en parallèle une seconde tendance de fond qui peut compliquer le tout, de beaucoup. D'autres normes s'imposent à côté de l'ISO 27001.

Entre simplification et explosion

La 22301 s'impose pour la continuité d'activité alors que le chapitre 14 de l'annexe A maigrit. Les normes 27036 prennent du poids pour la gestion des fournisseurs. Les normes 27034 prennent du poids pour la sécurité dans les développements (la 27034-1 est une reprise de travaux de Microsoft, mais il existe des -2, -3, -4, et -5 en préparation). Les normes 27035 prennent du poids pour la gestion des incidents. La norme 27017 va proposer des exigences spécifiques au Cloud. La norme IEC 62443 va s'imposer pour la sécurité des systèmes industriels. Le contrôle d'accès réseau qui se simplifie dans la nouvelle ISO 27001 est précisée dans la 27033.

L'apparente simplification renvoie en réalité à une explosion d'une série d'autres normes, exigeantes, et spécifiques. A suivre...



Autres News Normes & Standards

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143031
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI