La vision de Cyber Academy
ISO/IEC 27002 est le guide de mise en œuvre des contrôles de l'annexe A de ISO/IEC 27001. Non certifiable en tant que tel. Les auditeurs s'y réfèrent pour contester COMMENT vous opérez un contrôle, pas seulement s'il est « en place ». Considérez-le comme le manuel opérationnel qui accompagne la norme de certification.
Ce qu'est réellement la norme ISO/IEC 27002
ISO/IEC 27002 est le guide de mise en œuvre qui accompagne ISO 27001. Là où ISO 27001 est la norme certifiable de système de management qui liste les mesures de l'Annexe A et impose de justifier celles qui s'appliquent, ISO 27002 explique chacune de ces mesures en profondeur : sa finalité, ce à quoi ressemble une bonne pratique et les considérations concrètes de sa mise en opération. Il s'agit d'un code de bonnes pratiques, et non d'une liste d'exigences à cocher. On ne se certifie pas contre ISO 27002 et un auditeur ne peut pas prononcer une non-conformité directement à son encontre. Il s'en sert pour interpréter l'esprit d'une mesure de l'Annexe A et pour questionner si votre mise en œuvre est véritablement adaptée à son objectif.
Cette distinction compte dans les audits réels. Une revue de surface se demande si une mesure est "en place". Un auditeur qui s'appuie sur ISO 27002 demande comment vous l'exploitez : si la revue des accès a réellement lieu à la cadence que vous annoncez, si votre journalisation capture les événements qui vous permettraient de détecter un incident, si vos clauses fournisseurs résistent au contact d'une violation réelle. La norme donne aux deux parties un vocabulaire commun pour cette conversation, et c'est pourquoi les praticiens la traitent comme le manuel opérationnel plutôt que comme une lecture d'appoint.
Comment elle s'articule avec ISO 27001, la DdA et le SMSI
Les trois documents forment une chaîne. Votre SMSI est le système de management qui pilote l'ensemble du programme. ISO 27001 définit ce que ce système doit faire et fournit l'ensemble des mesures. La Déclaration d'Applicabilité (DdA) consigne, mesure par mesure, celles que vous avez incluses, celles que vous avez exclues et pourquoi. ISO 27002 est ce vers quoi vous vous tournez pour la substance de chaque mesure une fois que la DdA vous indique qu'elle s'applique. En pratique, les équipes rédigent la DdA avec ISO 27001 ouverte pour l'exigence et ISO 27002 ouverte pour le guide de mise en œuvre, puis conçoivent la mesure réelle d'après ce guide.
Les éditions modernes d'ISO 27002 organisent les mesures en quatre thèmes, organisationnel, lié aux personnes, physique et technologique, et associent à chacune des attributs tels que le type de mesure, la propriété de sécurité qu'elle protège et le concept de cybersécurité concerné. Ces attributs vous permettent de découper l'ensemble des mesures de différentes manières, par exemple en extrayant toutes les mesures préventives ou toutes celles qui soutiennent la détection, ce qui aide lorsque vous établissez une correspondance avec d'autres référentiels ou que vous construisez un plan de traitement du risque.
Ce que les praticiens en font réellement
Dans un programme actif, ISO 27002 apparaît dans quelques tâches récurrentes :
- Concevoir les mesures : lorsque la DdA marque une mesure comme applicable, le guide de mise en œuvre façonne la politique, la procédure ou la configuration technique que vous construisez.
- Justifier les décisions : lorsque vous adaptez ou délimitez une mesure, le guide vous fournit la justification à consigner afin qu'un auditeur puisse suivre votre raisonnement.
- Préparer l'audit : les équipes utilisent le guide pour éprouver leurs propres mesures avant que l'évaluateur ne le fasse, comblant l'écart entre "documenté" et "effectif".
- Établir des correspondances entre référentiels : la structure des mesures et les attributs font d'ISO 27002 une ossature utile pour établir des passerelles vers des ensembles de mesures comme les CIS Controls ou les recommandations du NIST.
Parce qu'ISO 27002 est un guide plutôt qu'une exigence stricte, le jugement vous revient. La norme décrit l'intention et les bonnes pratiques ; vous décidez jusqu'où aller en fonction de votre appréciation du risque. Cette liberté est l'enjeu même. Elle permet à un petit cabinet de conseil comme à une multinationale de revendiquer tous deux la conformité à la même mesure tout en la mettant en œuvre à des profondeurs très différentes, chacune appropriée à son risque.
Frequently asked questions
01Peut-on se faire certifier ISO 27002 ?
Non. ISO 27002 est un code de bonnes pratiques et n'est pas certifiable. La certification est délivrée contre ISO 27001, qui définit les exigences auditables du système de management. ISO 27002 fournit le guide de mise en œuvre sur lequel vous vous appuyez en construisant les mesures qu'ISO 27001 audite.
02Quelle est la différence entre ISO 27001 et ISO 27002 ?
ISO 27001 est la norme d'exigences contre laquelle vous vous certifiez ; elle liste les mesures de l'Annexe A et vous oblige à justifier leur inclusion ou leur exclusion dans la Déclaration d'Applicabilité. ISO 27002 est le guide compagnon qui explique comment chacune de ces mesures est censée être mise en œuvre et exploitée.
03Dois-je mettre en œuvre toutes les mesures d'ISO 27002 ?
Non. Vous sélectionnez les mesures en fonction de votre appréciation du risque et consignez vos décisions dans la Déclaration d'Applicabilité. ISO 27002 décrit comment une mesure devrait fonctionner si vous choisissez de l'appliquer ; elle n'impose pas de les appliquer toutes.
04Comment les auditeurs utilisent-ils ISO 27002 ?
Ils l'utilisent comme référence de ce à quoi ressemble une mise en œuvre compétente. Plutôt que de prononcer une non-conformité à l'encontre d'ISO 27002 elle-même, un auditeur se sert de son guide pour juger si votre mise en œuvre d'une mesure de l'Annexe A répond véritablement à l'objectif de la mesure, et pas seulement si quelque chose est nominalement en place.