La nouvelle édition de la norme nous apporte son lot de nouveautés
Tout d’abord une restructuration complète des thèmes de sécurité :
- On passe de 14 thèmes abordés dans la version 2013 à seulement 4 dans la version 2022
- Les mesures passent de 114 à 93, mais ne nous y trompons pas, la nouvelle version est 57% plus étoffée
- Il est intéressant de noter que les mesures organisationnelles sont plus nombreuses que les mesures techniques : près de 40% contre 36,5%
- Des propriétés sont maintenant ajoutées sous forme de # Hashtag à l’ensemble des contrôles permettant ainsi d’accélérer le processus de vérification de la conformité
- Ces propriétés sont au nombre de 5 :
- Types de contrôles : #Prévention, #Détection…
- Propriétés de sécurité: #Confidentialité, #Intégrité…
- Concepts : Protection, #Traitement…
- Capacités opérationnelles : #Gouvernance, #Gestion des actifs…
- Domaines de sécurité : #Défense, #Résilience…
- Ces propriétés sont au nombre de 5 :
Ce système permet également de rajouter des attributs personnalisés aux contrôles en y associant par exemple un scénario de risque.
Des nouveautés dans les mesures !
La norme embarque 11 nouvelles mesures de sécurité :
- 5.7 – Threat Intelligence
- 5.23 – Sécurité de l’information dans l’utilisation du CLOUD
- 5.30 – Préparation des TIC pour la continuité d’activité
- 7.04 – Surveillance de la sécurité physique
- 8.09 – Gestion des configurations
- 8.10 – Suppression de l’information
- 8.11 – Masquage des données (anonymisation)
- 8.12 – Prévention de la fuite de données
- 8.16 – Surveillance du SI
- 8.23 – Cloisonnement des réseaux
- 8.28 – Sécurité dans le développement
En conclusion :
Cette nouvelle mouture apporte beaucoup plus de détails et laisse moins de place à l’interprétation dans les mesures attendues :
ce n’est pas une simple mise à jour, c’est une revue complète avec une réorganisation pertinente et simplifiée
Pour plus de précisions sur ce sujet, consultez nous.