10 min reading Tue Feb 20 2024
La certification ISO 27001 est-elle suffisante pour assurer la conformité à la norme NIS2 ?
Si vous commencez à lire cet article, il y a de fortes chances que vous sachiez ce qu'implique NIS2, le règlement européen sur la cybersécurité pour les entreprises importantes pour la société, qui entrera en vigueur le 17 octobre 2024.
Si ce n'est pas le cas, nous vous invitons à consulter les ressources suivantes :
- Informations générales sur le NIS2 (historique, NIS1 vs NIS2, etc.).
- À qui s'applique le NIS2.
- La différence de traitement entre les entreprises essentielles et les entreprises importantes.
Au fil des ans, la cybersécurité étant devenue un domaine d'intérêt de plus en plus important dans le secteur des technologies de l'information, de nombreuses moyennes et grandes entreprises ont obtenu la certification ISO 27001. La question qui préoccupe la plupart des dirigeants d'entreprise est la suivante : ce certificat est-il suffisant pour répondre aux exigences du NIS2 ? Il ne faut pas oublier que dans de nombreux pays, la transposition de la législation européenne dans la législation nationale n'est pas encore achevée, de sorte que des exigences supplémentaires peuvent apparaître.
Le champ d'application du certificat ISO
NIS2 met l'accent sur la cybersécurité d'un point de vue sociétal. Le champ d'application correspond aux activités importantes pour la continuité du bon fonctionnement d'un pays. Vous devez donc avant tout vous assurer que le champ d'application des activités certifiées ISO 27001 dans votre entreprise correspond à toutes les activités qui sont importantes ou essentielles pour la société.
ISO 27001:2013 vs ISO 27001:2022
ISO 27001:2022 est la dernière version de la norme mondiale relative aux systèmes de gestion de la sécurité de l'information (SGSI). Publiée par l'Organisation internationale de normalisation (ISO) le 15 décembre 2022, cette version constitue une amélioration et une révision de la norme précédente, ISO 27001:2013. Son objectif principal reste d'établir un cadre complet de politiques, de procédures et de contrôles des meilleures pratiques afin d'atténuer les risques d'atteinte à la sécurité.
Le cadre de la norme ISO 27001:2022 reflète celui de la norme ISO 27001:2013, avec un cycle similaire pour l'élaboration, la mise en œuvre, le maintien et l'amélioration d'un SMSI. En outre, la structure générale reste cohérente avec d'autres normes ISO telles qu'ISO 9001 (management de la qualité) et ISO 14001 (management environnemental), ce qui simplifie le processus d'intégration.
Néanmoins, ISO 27001:2022 introduit des changements et des améliorations notables par rapport à ISO 27001:2013, notamment
- La mise en évidence du rôle central de la direction générale dans l'orientation du SMSI (également une exigence de la NIS2).
- La mise à jour des contrôles de l'annexe A afin d'intégrer les technologies émergentes et l'évolution des menaces.
- L'harmonisation avec les normes connexes pertinentes telles que ISO/IEC 27701 (gestion des informations relatives à la vie privée) et ISO/IEC 27018 (informatique dématérialisée).
- la clarification des exigences relatives à l'évaluation des risques et à l'application de mesures correctives.
La période de transition commence le 31 octobre 2022 et se termine le 31 octobre 2025. Les certifications basées sur la norme ISO 27001:2013 expireront le 31 octobre 2022 et le 31 octobre 2025.
La norme ISO 27001:2013 est un bon début, mais la norme ISO 27001:2022 constitue une meilleure base en raison de ses améliorations, qui sont conformes aux exigences du NIS2. En outre, les certifications ISO:2013 ne sont valables qu'un an après la date d'entrée en vigueur de la législation NIS2. Si vous possédez la norme ISO 27001:2013 et que vous n'avez pas encore commencé à mettre à jour le certificat, le moment est venu de le faire.
ISO 27001:2022 et les exigences du NIS2
Vue d'ensemble
Le tableau ci-dessous établit une correspondance entre les exigences NIS2 et la norme ISO 27001:2022 (et ISO 27002:2022).
| NIS2-area | ISO 27001:2022 Controls | ISO 27002:2022 Controls |
|---|---|---|
| Governance (Article 20) Annex A 5.1 | Annex A 5.31 Annex A 5.34 Annex A 5.35 Annex A 5.36 Annex A 6.3 | 5.1 5.31 5.34 5.35 5.36 6.3 |
| Security risk measures (Article 21) A. Policies on risk analysis and information system security | 5.2 6.1.2 6.1.3 8.2 8.3 Annex A 5.1 | A 5.2 |
| Security risk measures (Article 21) C. Business Continuity | Annex A 5.29 Annex A 5.30 Annex A 8.13 Annex A 8.14 Annex A 8.15 Annex A 8.16 | 5.29 5.30 8.13 8.14 8.15 8.16 |
| Security risk measures (Article 21) D. Supply chain security | Annex A 5.19 Annex A 5.20 Annex A 5.21 Annex A 5.22 Annex A 5.23 | 5.19 5.20 5.21 5.22 5.23 |
| Security risk measures (Article 21) E. Security in network acquisition, development and maintenance | Annex A 5.20 Annex A 5.24 Annex A 5.37 Annex A 6.8 Annex A 8.8 Annex A 8.9 Annex A 8.20 Annex A 8.21 | 5.20 5.24 5.37 6.8 8.8 8.9 8.20 8.21 |
| Security risk measures (Article 21) F. Policies and procedures to assess effectiveness | 9.1 9.2 9.3 Annex A 5.35 Annex A 5.36 | 5.35 5.36 |
| Security risk measures (Article 21) G. Basic cyber hygiene practices and training | 7.3 7.4 Annex A 5.15 Annex A 5.16 Annex A 5.18 Annex A 5.24 Annex A 6.3 Annex A 6.5 Annex A 6.8 Annex A 8.2 Annex A 8.3 Annex A 8.5 Annex A 8.7 Annex A 8.9 Annex A 8.13 Annex A 8.15 Annex A 5.19 Annex A 5.22 | 5.15 5.16 5.18 5.24 6.3 6.5 6.8 8.2 8.3 8.5 8.7 8.9 8.13 8.15 5.19 5.22 |
| Security risk measures (Article 21) H. Policies and use of cryptography and encryption | Annex A 8.24 | 8.24 |
| Security risk measures (Article 21) I. Human resources security | Annex A 5.9 Annex A 5.10 Annex A 5.11 Annex A 5.15 Annex A 5.16 Annex A 5.17 Annex A 5.18 Annex A 6.1 Annex A 6.2 Annex A 6.4 Annex A 6.5 Annex A 6.6 | 5.9 5.10 5.11 5.15 5.16 5.17 5.18 6.1 6.2 6.4 6.5 6.6 |
| Security risk measures (Article 21) J. Use of multi-factor authentication | Annex A 5.14 Annex A 5.16 Annex A 5.17 | 5.14 5.16 5.17 |
| Reporting (Article 23) | Annex A 5.14 Annex A 6.8 | 5.14 6.8 |
| Use of European cybersecurity certification schemes (Article 24) | Annex A 5.20 | 5.20 |
Source: Hunt and Hackett
L'importance de la norme ISO 27002
La norme ISO 27002 est un guide complémentaire détaillé des contrôles de sécurité du cadre ISO 27001. La norme ISO 27002 fournit des conseils sur les meilleures pratiques en matière de sélection et de mise en œuvre des contrôles énumérés dans la norme ISO 27001. Toutefois, les contrôles ISO 27002 (94 contrôles dans la norme 2022) ne sont pas obligatoires pour obtenir la certification 27001. Ils constituent, au mieux, un ensemble de référence de contrôles de sécurité de l'information que les organisations peuvent utiliser. En outre, les entreprises ne peuvent être certifiées que pour la norme ISO 27001, et non pour la norme ISO 27002.
Comme le montre le tableau ci-dessus, de nombreux contrôles de la norme ISO 27002 correspondent aux exigences de la norme NIS 2. Ainsi, bien qu'elle ne soit pas nécessaire pour obtenir le certificat ISO 27001, la majeure partie de la norme ISO 27002 est obligatoire pour la conformité à la norme NIS2.
La gestion de la continuité des activités est un domaine dans lequel la norme ISO 22301 peut être utile, mais elle n'est pas indispensable.
Dans le cadre de la NIS2, les entités critiques et importantes doivent assurer la continuité des opérations en cas d'incident majeur, qui peut être un incident autre qu'une cyberattaque, et qui peut ne pas être un incident interne, mais aussi un incident chez un fournisseur critique. Les organisations doivent donc mettre en œuvre un cadre de résilience complet - qui comprend la continuité des activités, la reprise après sinistre et la gestion de crise - afin de minimiser les perturbations.
Si les organismes ont soigneusement mis en œuvre les contrôles ISO27001 et ISO27002 ci-dessus relatifs à la continuité des activités et à la reprise après sinistre (5.29 et 5.30 en tant que noyau), ils devraient se conformer à la NIS2 dans ce domaine. Toutefois, les organisations couvertes par la NIS2 pourraient envisager d'ajouter la norme ISO 22301 pour la gestion de la continuité des activités (BCM). La norme ISO 22301 est conçue pour faciliter la mise en œuvre, le maintien et l'amélioration continue de l'approche de la continuité des activités d'une entreprise. Bien que certains aspects de la norme ISO 27001 incluent la gestion de la continuité des activités, elle ne définit pas de processus pour la mise en œuvre de la gestion de la continuité des activités. C'est là qu'intervient la norme complémentaire ISO 22301. La certification selon cette norme permet de mieux démontrer la conformité avec la NIS 2, mais elle n'est pas absolument indispensable.
La gestion des risques de la chaîne d'approvisionnement ne concerne pas seulement la sécurité de l'information
Dans le contexte de la NIS 2, il ne faut pas seulement prêter attention à la sécurité de l'information tout au long de la chaîne d'approvisionnement. Il convient d'identifier et d'atténuer toute menace pour la continuité des activités qui pourrait potentiellement se propager à l'ensemble de la chaîne d'approvisionnement. Par conséquent, le contenu des évaluations des risques peut être révisé afin de mettre davantage l'accent sur les mesures de continuité des activités mises en œuvre chez le fournisseur. La liste des fournisseurs couverts par la gestion des risques des tiers peut également être révisée car, alors que la norme ISO 27001 se concentre davantage sur la chaîne d'approvisionnement des TIC, l'accent mis par la norme NIS2 sur la continuité générale des activités peut vous obliger à élargir la liste des fournisseurs évalués. Il est évident que la sécurité des intégrations informatiques potentielles.
Dans le domaine de la notification des incidents, il y a certainement du travail à faire
L'article 23 de la directive NIS2 stipule que "chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, le cas échéant, à son autorité compétente, tout incident ayant une incidence significative sur la fourniture de leurs services".
Les cybercriminels opèrent au-delà des frontières nationales. C'est pourquoi le NIS2 vise à améliorer la coopération et le partage d'informations concernant les cyberincidents dans l'ensemble de l'Union européenne. Par conséquent, il existe une obligation de signaler immédiatement les incidents significatifs aux autorités compétentes dans des délais précis, déterminés par les différents États membres. La directive décrit les délais prescrits pour ces rapports :
- Première notification dans les 24 heures
- Premier rapport dans les 72 heures
- Rapport complet dans un délai d'un mois après la notification
Cette exigence a des implications considérables et n'est que marginalement couverte par les normes ISO 27001/27002. Pour les organisations soumises au GDPR, la mise en œuvre de l'annexe A 5.24 (Planification et préparation de la gestion des incidents de sécurité de l'information) exige que des procédures de notification soient mises en place pour signaler les violations de données aux autorités dans un délai de 72 heures. Cependant, le NIS2 vise à signaler tout incident de sécurité qui constitue une menace pour la continuité des activités dans les 24 heures. Pour signaler correctement un incident, les entreprises doivent d'abord disposer d'un système de détection adéquat, comprenant l'analyse initiale et la criminalistique, ainsi que la réponse à l'incident. En outre, les "systèmes de sécurité militaires" doivent être mis en place dans les plus brefs délais.
Comment Ceeyu peut aider à la conformité NIS2
La plateforme SaaS de Ceeyu scanne votre réseau et les réseaux des entreprises de la chaîne d'approvisionnement à l'aide de techniques de balayage actives et passives automatisées, telles que celles utilisées par les pirates informatiques, à la recherche de vulnérabilités logicielles et de faiblesses du réseau.
Parce que tous les risques de sécurité ne peuvent pas être identifiés de manière automatisée, Ceeyu offre également la possibilité d'effectuer des audits numériques basés sur des questionnaires. Cela peut se faire en créant des questionnaires adaptés au fournisseur, à partir d'une feuille blanche ou de modèles que Ceeyu met à disposition. Le remplissage du questionnaire par le fournisseur et le suivi du processus par le client se font dans un environnement sécurisé sur la même plateforme SaaS. Cela permet un suivi simple et centralisé, entièrement en ligne et sans l'intervention de tiers. La plateforme fermée garantit la confidentialité de l'enquête, puisque seules les personnes autorisées ont accès à l'application.
Ceeyu contribue ainsi à remplir une grande partie des exigences de l'article 21 du règlement NIS2, et plus particulièrement :
En tant que tel, Ceeyu contribue à satisfaire une grande partie des exigences de l'article 21 du règlement NIS2, plus précisément :
[...] les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d'information [...]. Les mesures [...] comprennent au moins les éléments suivants :
(a) des politiques en matière d'analyse des risques et de sécurité des systèmes d'information ;
(d) la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services ;
(e) la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités ;
(f) les politiques et procédures permettant d'évaluer l'efficacité des mesures de gestion des risques liés à la cybersécurité ;
Dries leads the marketing and product management activities at Ceeyu. Before joining Ceeyu, he worked in similar roles at Voxbone (now Bandwidth.com) and Orange. Dries also worked in management consulting (at Greenwich, now EY Parthenon). He is a B2B marketer at heart, with a very strong affinity for technology.
