La certification ISO/IEC 27002 valide la maîtrise du Code de pratique pour les mesures de sécurité de l’information, publié en 2022 dans sa version actualisée ISO/IEC 27002:2022. Cette norme internationale fournit 93 mesures de sécurité organisées en 4 thèmes : Organisationnel, Personnes, Physique et Technologique, remplaçant les 14 chapitres de la version 2013.
En bref :
- ISO/IEC 27002:2022 contient 93 mesures de sécurité (contre 114 contrôles en 2013)
- Structure réorganisée en 4 thèmes principaux au lieu de 14 domaines
- Certification délivrée par des organismes accrédités selon ISO/IEC 17024
- Complète la norme ISO/IEC 27001 qui définit le système de management
- Mise à jour majeure publiée en février 2022 par ISO et IEC
- Applicable à tous types d’organisations quel que soit leur secteur
Qu’est-ce que la norme ISO/IEC 27002 ?
ISO/IEC 27002 est un Code de pratique international pour les mesures de sécurité de l’information. Publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), cette norme fournit un catalogue détaillé de mesures de sécurité.
La version 2022 constitue une refonte complète de la version 2013. Elle réorganise les mesures selon 4 catégories thématiques : Organisationnel (37 mesures), Personnes (8 mesures), Physique (14 mesures) et Technologique (34 mesures).
Cette norme complète ISO/IEC 27001, qui définit les exigences d’un système de management de la sécurité de l’information (SMSI). ISO/IEC 27001 établit le cadre de management, tandis qu’ISO/IEC 27002 détaille les mesures de sécurité à implémenter.
Pourquoi la sécurité de l’information est-elle devenue critique ?
La mondialisation économique intensifie les échanges d’information entre organisations, employés, clients et fournisseurs. Les réseaux interconnectés (intranets, extranets, Internet) exposent les données à des risques accrus.
Six tendances renforcent cette criticité :
- Multiplication des normes et certifications internationales en sécurité informatique
- Digitalisation continue des processus de gestion et des systèmes d’information
- Développement d’outils de sécurité automatisés et d’intelligence artificielle
- Généralisation du travail à distance et des accès distants
- Externalisation croissante des fonctions de gestion informatique
- Renforcement des exigences réglementaires (RGPD, NIS2, DORA)
L’information constitue désormais un actif stratégique. Sa protection garantit la continuité opérationnelle et la fiabilité des processus métier. Selon ISO/IEC 27002, cette protection repose sur trois piliers : confidentialité, intégrité et disponibilité des données.
Quelles sont les principales évolutions entre ISO/IEC 27002:2013 et 2022 ?
| Aspect | ISO/IEC 27002:2013 | ISO/IEC 27002:2022 |
|---|---|---|
| Nombre de mesures | 114 contrôles | 93 mesures |
| Structure | 14 domaines thématiques | 4 thèmes principaux |
| Organisation | Par fonction de sécurité | Par type de mesure |
| Attributs | Non définis | 5 attributs par mesure |
| Focus | Contrôles techniques | Approche holistique |
La version 2022 introduit 11 nouvelles mesures couvrant la sécurité cloud, la veille sur les menaces, la préparation aux TIC et la suppression sécurisée des données. Chaque mesure comporte désormais 5 attributs : type de contrôle, propriétés de sécurité, concepts cybersécurité, capacités opérationnelles et domaines de sécurité.
Comment obtenir une certification ISO/IEC 27002 ?
La certification ISO/IEC 27002 valide la compétence individuelle d’un professionnel. Elle diffère de la certification ISO/IEC 27001 qui certifie le système de management d’une organisation.
Le processus standard comprend 4 étapes :
- Formation officielle dispensée par un organisme de formation accrédité (3 à 5 jours selon le niveau)
- Préparation personnelle couvrant les 93 mesures de sécurité et leur application
- Examen écrit administré par un organisme de certification accrédité ISO/IEC 17024
- Maintien de la certification par formation continue (CPE) tous les 3 ans
Les organismes reconnus incluent PECB, ISACA, ISC2 et Bureau Veritas. L’examen évalue la connaissance théorique des mesures, leur mise en œuvre pratique et leur alignement avec ISO/IEC 27001.
Quels sont les différents niveaux de certification ISO/IEC 27002 ?
Les programmes de certification proposent généralement 3 niveaux de qualification :
Quel est le niveau Foundation ?
Le niveau Foundation (ou Associate) introduit les concepts fondamentaux. Il couvre la structure d’ISO/IEC 27002:2022, les 4 thèmes principaux et les 93 mesures. Durée de formation : 2 à 3 jours. Examen : QCM de 40 questions, durée 60 minutes, score minimal 70%.
Quel est le niveau Lead Implementer ?
Le niveau Lead Implementer forme à la mise en œuvre opérationnelle. Il approfondit l’analyse de risques, la sélection des mesures applicables et leur déploiement selon ISO/IEC 27001 Annexe A. Durée : 5 jours. Examen : étude de cas pratique, durée 180 minutes, score minimal 70%.
Quel est le niveau Lead Auditor ?
Le niveau Lead Auditor certifie la capacité à auditer la conformité. Il intègre les principes d’audit selon ISO 19011, la vérification des mesures ISO/IEC 27002 et la rédaction de rapports d’audit. Durée : 5 jours. Prérequis : expérience en audit ou sécurité de l’information.
Quelle est la différence entre ISO/IEC 27001 et ISO/IEC 27002 ?
ISO/IEC 27001 et ISO/IEC 27002 sont complémentaires mais distincts dans leur nature et leur application.
ISO/IEC 27001 est une norme certifiable qui définit les exigences d’un SMSI. Elle impose l’approche Plan-Do-Check-Act, l’analyse de contexte, l’évaluation des risques et la sélection de mesures de sécurité. La certification ISO/IEC 27001 s’applique à l’organisation entière.
ISO/IEC 27002 est un guide de bonnes pratiques non certifiable. Il catalogue les mesures de sécurité détaillées. L’Annexe A d’ISO/IEC 27001 référence directement les 93 mesures d’ISO/IEC 27002. Les organisations certifiées ISO/IEC 27001 utilisent ISO/IEC 27002 comme référentiel d’implémentation.
La certification professionnelle ISO/IEC 27002 atteste la maîtrise individuelle du Code de pratique, tandis que la certification ISO/IEC 27001 valide le système de management organisationnel.
Quels sont les 4 thèmes principaux d’ISO/IEC 27002:2022 ?
Quelles sont les mesures organisationnelles ?
Le thème Organisationnel regroupe 37 mesures couvrant les politiques de sécurité, la gouvernance, les rôles et responsabilités, la gestion des actifs, le contrôle d’accès, les relations avec les fournisseurs et la conformité réglementaire. Ces mesures établissent le cadre de gouvernance de la sécurité.
Quelles sont les mesures relatives aux personnes ?
Le thème Personnes contient 8 mesures adressant le recrutement sécurisé, les termes et conditions d’emploi, la sensibilisation, la formation, le processus disciplinaire et la fin de contrat. Ces mesures gèrent le facteur humain dans la sécurité.
Quelles sont les mesures physiques ?
Le thème Physique comprend 14 mesures régissant les périmètres de sécurité physique, le contrôle d’accès aux locaux, la sécurité des bureaux, la protection contre les menaces environnementales, le travail dans les zones sécurisées et la sécurité des équipements.
Quelles sont les mesures technologiques ?
Le thème Technologique rassemble 34 mesures incluant la gestion des configurations, le contrôle d’accès logique, la cryptographie, la sécurité des développements, la gestion des vulnérabilités, la journalisation, la supervision et la réponse aux incidents. Ces mesures couvrent la sécurité technique des systèmes.
Questions fréquentes
Quelle est la durée de validité d’une certification ISO/IEC 27002 ?
La certification ISO/IEC 27002 est valide 3 ans. Le maintien requiert l’accumulation de crédits de formation continue (CPE) selon les exigences de l’organisme certificateur. Un minimum de 20 à 40 heures de formation par an est généralement requis selon le niveau de certification détenu.
ISO/IEC 27002 est-elle obligatoire pour implémenter ISO/IEC 27001 ?
ISO/IEC 27002 n’est pas obligatoire mais fortement recommandée. L’Annexe A d’ISO/IEC 27001:2022 liste les 93 mesures de sécurité qui correspondent exactement à ISO/IEC 27002:2022. Les organisations peuvent implémenter ISO/IEC 27001 sans suivre ISO/IEC 27002, mais doivent justifier leurs choix de mesures alternatives.
Combien coûte une certification professionnelle ISO/IEC 27002 ?
Le coût total varie entre 2000 et 4500 euros selon le niveau. Formation Foundation : 800 à 1200 euros. Formation Lead Implementer ou Lead Auditor : 2500 à 3500 euros incluant l’examen. Frais d’examen seul : 300 à 600 euros. Renouvellement triennal : 200 à 400 euros selon l’organisme certificateur.
Quels sont les prérequis pour passer la certification ISO/IEC 27002 ?
Le niveau Foundation ne requiert aucun prérequis formel. Le niveau Lead Implementer recommande une connaissance de base d’ISO/IEC 27001 et 6 mois d’expérience en sécurité informatique. Le niveau Lead Auditor exige une certification Lead Implementer ou équivalente, plus 2 ans d’expérience en audit ou gestion de la sécurité.
ISO/IEC 27002 couvre-t-elle la sécurité cloud et les nouvelles technologies ?
Oui, la version 2022 introduit des mesures spécifiques au cloud computing, notamment la sécurité cloud (mesure 5.23), la configuration sécurisée des services cloud et la gestion des identités cloud. Elle couvre également la sécurité des conteneurs, de l’IoT, du DevSecOps et de l’intelligence artificielle à travers plusieurs mesures technologiques.
Peut-on se certifier ISO/IEC 27002 sans formation officielle ?
Les organismes certificateurs accrédités ISO/IEC 17024 exigent généralement une formation officielle pour les niveaux Lead Implementer et Lead Auditor. Le niveau Foundation accepte parfois l’auto-formation avec passage direct de l’examen. Toutefois, le taux de réussite avec formation officielle dépasse 85%, contre 40% en auto-formation selon les statistiques PECB.
Pour plus d’information à cet égard, veuillez consulter la Certified ISO 27002 Manager – FR V1.1.pdf
