ISO 27002 version 2022, vers une posture de sécurité optimisée grâce aux solutions GRC nouvelle génération

Comme tout expert de la cybersécurité, les RSSI connaissent la norme ISO 27002. Certains s’en inspirent pour garantir la bonne santé du système d’information de leur entreprise ou maintenir la certification ISO 27001 de leur SMSI, quand d’autres, la considèrent de loin, n’y voyant pas d’intérêt pour leur organisation. Et, pourtant, cette norme est loin de n’être réservée qu’à une certaine catégorie d’entreprises, soumises à des règlementations spécifiques, surtout depuis sa mise à jour. Elle peut, en effet, participer à l’amélioration de la posture cybersécurité de toute organisation et permettre de visualiser celle-ci… à condition de savoir comment l’utiliser et avec quel outil. 

L’ISO 27002 version 2022 en bref 

Il serait faux de réduire l’ISO 27002 à une simple annexe de l’ISO 27001, ou à un guide de bonnes pratiques pour réussir sa certification. Même si elle a été historiquement conçue en ce sens, elle est aujourd’hui considérée comme un support stratégique pour toute entité qui souhaiterait maintenir la sécurité de son système d’information à un bon niveau.

La nouvelle version, récemment publiée, a été repensée pour y intégrer tous les risques liés aux nouvelles évolutions technologiques, et aux menaces que le monde de l’IT a rencontrées ces 10 dernières années : explosion du télétravail, migrations vers le Cloud, utilisation de multiples applications… Cette mise à jour rend ISO 27002 encore plus intéressante à utiliser, même pour les entreprises que la certification ISO 27001 ne concerne pas. Elle fournit, en effet, tous les éléments nécessaires pour construire sa propre stratégie cybersécurité, mais également les processus à suivre pour maintenir son SI en posture de sécurité.

Renforcer sa cybersécurité grâce à l’ISO 27002 

Si cette norme peut aider les RSSI, il ne reste pas moins qu’une de ses caractéristiques majeures réside dans son exhaustivité, qui implique un important volume de données à traiter. Mais déployer une stratégie de cybersécurité, comporte par ailleurs d’autres éléments, comme le planning de mise en œuvre, le suivi, la vérification de la mise en place des actions les contrôles… autant de données qui peuvent avoir des impacts sur le niveau de sécurité attendu.   

Utiliser un outil comme Excel peut être envisagé pour piloter ce chantier. Mais, il paraîtra rapidement dépassé face à la quantité d’informations à manipuler (consolider, reporter), voire constituer un frein au bon pilotage de la politique de sécurité et mettre en danger l’entreprise. Un constat qui est aussi valable pour les outils faits maison.  

Comment les RSSI peuvent-ils éviter cet écueil ? 

Depuis quelques années, le marché de la cybersécurité a vu arriver des outils de gestion de la cybersécurité. Initialement dédiés à la GRC – Gouvernance, Risque, Conformité – ces outils ont évolué pour couvrir l’ensemble du périmètre géré par le RSSI. Ils permettent à ces derniers de manager leurs activités de gouvernance, de la même manière qu’un DRH ou un DAF ont leur propre outil de gouvernance, via un tableau de bord, regroupant tous les sujets liés à la cybersécurité. Elles permettent de concevoir, construire, opérer et contrôler leurs stratégies de sécurité. 

Les RSSI qui ont choisi de basculer vers ces solutions, ont laissé de côté leurs tableurs Excel, et profitent d’un grand nombre d’avantages, qui les aident quotidiennement dans le pilotage de leur stratégie de sécurité.  

La solution AugmentedCISO, conçue par et pour des RSSI, aide ces derniers à mieux gérer la cybersécurité afin d’en réduire les risques auxquels ils doivent faire face, tout optimisant leur temps de productivité. Adopter un outil tel que AugmentedCISO devient alors une évidence, si l’on souhaite mieux protéger son organisation. 

0 commentaires

Cyril GUILLET

Cyril GUILLET

Expert Cybersécurité

CEO – Fondateur

 

Share This