Comprendre les mises à jour de la norme ISO 27001:2022 - La gestion de la rétention arrive à maturité
Alors que les menaces numériques s'intensifient, les mises à jour de la norme ISO27001 bouleversent la conservation des données. Cela oblige les entreprises à repenser la manière dont elles protègent ce qui constitue à la fois un actif clé et un risque majeur : leurs informations. Voici les QUATRE principales mises à jour sur la gouvernance des informations, en 4 minutes.
La sécurité et la gouvernance de l'information évoluent constamment. Pour les organisations qui souhaitent protéger leurs actifs et leur réputation, il est essentiel de rester en conformité avec les cadres internationaux tels que la norme ISO/IEC 27001. Les mises à jour de 2022 du cadre ont introduit plusieurs changements qui ont un impact significatif sur la manière dont les organisations gèrent la conservation et la suppression des données, dans le cadre de leurs programmes de gouvernance des informations. Ils sont désormais appliqués depuis avril 2024, ce qui présente à la fois des défis et des opportunités pour les organisations qui s'efforcent d'atteindre ou de maintenir la conformité.
Le défi : gérer la conservation des données
La gestion de la conservation des données est un élément essentiel de la sécurité de l'information. Les entreprises doivent déterminer combien de temps elles doivent conserver les données et quand les éliminer de manière sécurisée. Et ce problème prend de l'ampleur dans le SaaS. En 2024, l'entreprise utilise en moyenne 371 applications SaaS, soit une augmentation spectaculaire par rapport à seulement 8 applications en 2015. Cette augmentation de l'utilisation du SaaS a entraîné une explosion du contenu généré par les employés, augmentant ainsi les risques liés à une mauvaise rétention du contenu. Les violations de données, les sanctions réglementaires et la perte de confiance ne sont que quelques-unes des conséquences potentielles d'une gestion inefficace de la conservation des données.
Avant la mise à jour de 2022, de nombreuses entreprises avaient du mal à trouver un équilibre entre la nécessité de conserver le contenu à des fins opérationnelles et la nécessité d'atténuer les risques associés à une rétention excessive. En raison de l'ambiguïté des versions précédentes de la norme ISO 27001, les entreprises étaient confrontées au défi d'interpréter et de mettre en œuvre des politiques de conservation à la fois sécurisées et conformes. Cela a souvent donné lieu à des pratiques incohérentes, certains contenus étant conservés plus longtemps que nécessaire et d'autres contenus critiques supprimés prématurément.
Quatre changements clés apportés à la norme ISO 27001:2022
Le Mise à jour 2022 de la norme ISO 27001 a apporté des changements importants visant à relever ces défis en matière de gestion de la rétention. Bien que les principes fondamentaux de gouvernance et de sécurité des informations restent intacts, la nouvelle version introduit des directives et des exigences plus claires, notamment en matière de gestion du cycle de vie des données, d'évaluation des risques et de documentation.
1. Priorité à la gestion du cycle de vie des données
L'un des principaux changements apportés à la norme ISO 27001:2022 est l'importance accrue accordée à la gestion du cycle de vie des données. La nouvelle norme impose aux organisations de définir et de documenter clairement chaque étape du cycle de vie des données, de leur création à leur suppression. Cette approche structurée garantit que les politiques de conservation des informations correspondent à la fois aux besoins opérationnels et aux exigences de sécurité, y compris la gestion du contenu généré par les employés à chaque étape.
2. Approche de la rétention basée sur les risques
La mise à jour de 2022 souligne l'importance d'une approche axée sur les risques pour la gestion de la rétention. Les organisations sont désormais tenues de mener des évaluations approfondies des risques afin de déterminer les périodes de conservation appropriées pour différents types de données et de contenus. Cette approche garantit que les données ne sont conservées que le temps nécessaire pour répondre aux exigences légales, réglementaires et commerciales, réduisant ainsi le risque de conservation des données plus longtemps que nécessaire.
3. Exigences renforcées en matière de documentation et d'audit
Un autre changement important concerne l'amélioration des exigences en matière de documentation et d'audit. Les entreprises doivent désormais tenir des registres détaillés de leurs politiques et procédures de conservation, y compris les justifications des périodes de conservation et les mesures prises pour éliminer les données en toute sécurité. Cette documentation soutient la conformité à la norme ISO 27001 et fournit une piste d'audit claire, précieuse lors des évaluations de sécurité, de la découverte électronique, des procédures judiciaires ou en cas de violation de données.
4. Intégration avec d'autres contrôles de sécurité de l'information
La norme mise à jour favorise également une approche plus intégrée de la sécurité des informations, dans laquelle la gestion de la conservation est étroitement liée à d'autres contrôles tels que la gestion des accès, le cryptage et la réponse aux incidents. Cette intégration garantit que les politiques de conservation ne sont pas développées de manière isolée mais font partie d'une stratégie plus large visant à protéger les informations sensibles tout au long de leur cycle de vie.
Perspectives d'avenir : adaptation aux mises à jour
Pour les organisations déjà certifiées ISO 27001, les mises à jour de 2022 nécessitent un examen approfondi et une révision probable des pratiques de gestion de la rétention existantes. La transition vers la norme actualisée implique bien plus qu'une simple mise à jour de la documentation ; elle nécessite un changement culturel visant à considérer la gestion du cycle de vie des données comme un élément essentiel de la sécurité de l'information.
Les organisations devraient commencer par effectuer une analyse des lacunes afin d'identifier les domaines dans lesquels leurs pratiques actuelles pourraient ne pas répondre aux nouvelles exigences. Cette analyse doit être suivie d'un examen complet des politiques de rétention, des processus d'évaluation des risques et de la documentation. Il est essentiel d'impliquer les parties prenantes de tous les services, de l'informatique au service juridique, pour garantir que les politiques de rétention sont non seulement conformes, mais aussi pratiques et alignées sur les besoins opérationnels de l'organisation.
Une première étape simple mais efficace consiste à établir un processus d'archivage avant la suppression et la purge des données. En archivant les données, les organisations créent une zone de conservation intermédiaire sécurisée qui préserve les informations importantes pour les audits, les révisions juridiques ou les besoins opérationnels. Cette approche s'aligne non seulement sur les exigences améliorées en matière de documentation et d'évaluation des risques de la norme ISO 27001:2022, mais fournit également un filet de sécurité contre les risques de suppression prématurée.
Les programmes de formation et de sensibilisation sont essentiels pour aider les employés à comprendre l'importance d'une conservation adéquate des données et les changements introduits par la mise à jour 2022. En favorisant une culture de conformité et de vigilance, les organisations peuvent s'assurer qu'elles respectent non seulement les exigences réglementaires, mais aussi qu'elles protègent activement leur actif le plus précieux : les informations.
La mise en œuvre de la suppression automatique de routine des informations et du contenu des employés est également très bénéfique. Des applications comme Gestionnaire de rétention de contenu pour Confluence et Gestionnaire de rétention de contenu pour Jira faciliter cela grâce à des politiques et à une automatisation qui évitent les erreurs des employés tout en démontrant une conformité accrue au cadre. Tout en prouvant que l'archivage et la suppression ultérieure sont entièrement routiniers et automatisés lors de toute future découverte électronique.
Conclusion
Les mises à jour de la norme ISO 27001:2022 offrent aux organisations une opportunité opportune de renforcer leurs pratiques de gestion de la rétention. En adoptant ces changements et en les intégrant à votre stratégie globale de sécurité des informations, votre organisation peut améliorer sa posture de conformité à la norme ISO 27001, réduire les risques globaux et renforcer la confiance.
Essayez Content Retention Manager gratuitement dès aujourd'hui :