BIO2 arrive : qu'est-ce qui va changer ?

Auteur : Abe Winters, analyste de la sécurité

Les responsables de la sécurité des agences gouvernementales prennent note : BIO2 arrive. Quelles mesures supplémentaires votre organisation doit-elle prendre pour s'y conformer ? Nous soulignons les différences par rapport à l'IOB1.04 afin que vous puissiez vous préparer à cette transition.

Qu'est-ce que l'IOB ?

Le Baseline Information Security Government (BIO) vise à amener tous les organismes gouvernementaux néerlandais à un niveau commun de sécurité de l'information. La version actuelle, BIO1.04, est basée sur les normes 2017 NEN-ISO/IEC 27001 et 27002. Une nouvelle version des normes ISO 27001 et 27002 a été publiée en 2022. C'est l'une des raisons pour lesquelles BIO2 a été développé.

Un projet a été publié sur la base d'un examen de BIO1.04 et d'ateliers avec des organismes gouvernementaux. Dans cet article, nous comparons l'actuel BIO1.04 avec le projet BIO2 et soulignons les principales différences. Il convient de noter que les projets de BIO2 sont encore à l'état de projet et qu'ils sont susceptibles d'être modifiés.

Différences de haut niveau

Intégration juridique via la mise en œuvre du NIS2
Les organisations couvertes par la directive NIS2, y compris les gouvernements, ont un devoir de vigilance. Pour mettre en œuvre la directive NIS2 au niveau gouvernemental, il a été décidé en 2023 de lier la fourniture de BIO2 à la législation nationale qui entre en vigueur sur la base de la directive NIS2. Par conséquent, BIO2 sera juridiquement intégré via la mise en œuvre de NIS2 dans la loi sur la cybersécurité et deviendra bientôt obligatoire (début 2025). Pour plus d'informations sur le NIS2, consultez notre guide pratique sur le NIS2.

Suppression des niveaux de sécurité de base
Les niveaux de sécurité de base (BBN) seront supprimés dans l'IOB2. La révision de l'IOB1.04 a montré que l'accent était trop mis sur la classification des systèmes individuels en fonction du BBN, et moins sur la gestion globale des risques. Pour se recentrer sur la gestion des risques, les BBN sont supprimés.

ISO 27002 de 2017 à 2022
L'IOB suit la structure de la norme ISO 27002. Cette norme a fait l'objet d'une mise à jour fin 2022, à savoir l'ISO 27002:2022. Cette nouvelle version apporte plusieurs changements tant au niveau du contenu que de la structure. Alors que les contrôles étaient auparavant organisés en 14 chapitres, ils ont été réduits aux quatre chapitres suivants :

A5 : Organisation
A6 : Personnes
A7 : Physique
A8 : Technologique

Ces chapitres contiennent une consolidation des contrôles existants, ainsi que de nouveaux contrôles pour les nouvelles technologies et les menaces actuelles. Par exemple, le chapitre 5 comprend un nouveau contrôle sur la sécurité de l'information pour l'utilisation des services en nuage (5.23) et un contrôle sur le renseignement et l'analyse des menaces (5.7), connu sous le nom de renseignement sur les menaces.

L'IOB2 devrait suivre cette nouvelle structure. En prévision de BIO2, le gouvernement a déjà publié le Guide BIO2 en 2023. Ce guide aligne l'IOB sur le contexte et la structure de la norme ISO 27002:2022, en reliant les mesures gouvernementales aux chapitres et contrôles de la norme ISO 27002:2022.

Exemples de changements

Un SMSI opérationnel

Le projet BIO2 fait référence à plusieurs reprises à la série ISO27k. Par exemple, la mesure 5.35.1 a été modifiée comme suit :

BIO1.04 : Il existe un système de gestion de la sécurité de l'information (SGSI) qui couvre de manière structurée l'ensemble du cycle Planifier-Faire-Vérifier-Agir.
BIO2 Draft : Il existe un SGSI opérationnel conforme à la norme ISO 27001.

La mesure devient donc plus spécifique et exige explicitement un SGSI conforme à la norme ISO 27001.

Mesures gouvernementales nouvelles et modifiées

Outre les changements de haut niveau, les mesures gouvernementales obligatoires ont également été modifiées. Le chapitre cinq (Organisation) contient les mesures gouvernementales les plus modifiées.

Certaines mesures sont plus précises et/ou plus spécifiques. Par exemple, alors que la mesure gouvernementale 5.01.02 de BIO1.04 mentionne la mise à jour périodique de la politique de sécurité de l'information, BIO2 la précise comme étant annuelle. Un changement similaire est inclus dans la mesure gouvernementale 8.08.04. Alors que la mesure BIO1.04 indique que les systèmes d'information doivent de préférence être contrôlés chaque année pour vérifier "la conformité technique avec les normes de sécurité et les risques concernant la sécurité réelle", la mesure BIO2 précise "au moins une fois par an".

Attention aux responsabilités et aux rôles

L'accent est également mis sur les responsabilités et les rôles en matière de sécurité de l'information, en particulier dans le domaine de la réponse aux incidents. La mesure gouvernementale 5.01.01 stipule désormais que les éléments suivants doivent être décrits et établis :

Responsabilités liées à la sécurité de l'information,
Sécurité de la technologie opérationnelle,
Responsabilités liées à la gestion de la continuité des activités.

Gestion des actifs et des chaînes d'approvisionnement

Plusieurs nouvelles mesures gouvernementales de l'IOB2 soulignent l'importance de la gestion des actifs. Il s'agit notamment de comprendre ses propres systèmes de traitement de l'information, ainsi que de comprendre les fournisseurs et les contrats. Cela se reflète dans les nouvelles mesures gouvernementales suivantes :

5.09.01 : Établir et tenir à jour un inventaire précis, détaillé et actualisé de tous les actifs utilisés pour le traitement de l'information.
5.14.04 : Tenir à jour un registre de tous les systèmes, applications web, adresses IP et API connectés à l'internet.
5.14.05 : Les sites web accessibles au public sont signalés par le biais du registre des domaines Internet du gouvernement.
5.22.02 : Tenir à jour un registre des fournisseurs et des contrats conclus.

Test annuel des employés sur le comportement à adopter en cas de clic

Les projets de textes de BIO2 comprennent plusieurs nouvelles mesures gouvernementales relatives à la sensibilisation aux risques de cybersécurité. Cela concerne à la fois les connaissances des dirigeants et des employés. C'est ce que reflètent les nouvelles mesures gouvernementales suivantes :

5.10.1 : Les cadres doivent être en mesure de démontrer qu'ils ont reçu une formation qui leur a permis d'acquérir des connaissances et des compétences suffisantes pour reconnaître les risques de cybersécurité et évaluer leur impact sur les services et/ou les produits fournis par l'organisation.
5.10.4 : Les employés, à l'instar des cadres visés au point 5.10.1, doivent suivre régulièrement des formations et des entraînements leur permettant de reconnaître les risques et d'y réagir de manière appropriée.
8.07.5 : Au moins une fois par an, le comportement des utilisateurs en matière de clics est testé.

Comment pouvez-vous vous préparer ?

Étudiez les normes ISO/IEC 27001:2022 et ISO/IEC 27002:2022. Étudiez également le guide BIO2. Ce guide vous permet d'utiliser les mesures gouvernementales de BIO1.04 selon la structure de NEN-EN-ISO/IEC 27002:2022.

Si vous disposez déjà d'un SMSI conforme à la norme ISO 27001:2022, la transition ne sera pas trop difficile. Il est particulièrement important de prêter attention aux nouvelles mesures gouvernementales.

Vous n'avez pas encore de cadre de contrôle ? Dans ce cas, BIO2, combiné à la future NIS2, est une excellente occasion de commencer à le mettre en place. Les consultants en sécurité de Bureau Veritas Cybersecurity peuvent vous aider et vous soutenir à cet égard.

En outre, commencez à mettre en place et à tenir à jour un inventaire des éléments suivants :

des actifs utilisés pour la sécurité de l'information
Tous les systèmes orientés vers l'internet, les applications web, les adresses IP et les API.

Sources

A propos de l'auteur

Abe Winters, analyste de sécurité

Abe Winters est analyste de sécurité chez Bureau Veritas Cybersecurity et travaille dans le groupe de marché "Public". Il est passionné par la cybersécurité et combine une formation technique avec une connaissance des processus. Actuellement, il effectue principalement des tests de pénétration pour des clients du secteur public, mais il a également des connaissances en matière de gestion de la sécurité avec des normes telles que ISO 27001.

Abe est titulaire d'une maîtrise en cybersécurité de l'Université de Twente. Dans sa thèse, il a étudié la hiérarchisation des contrôles de sécurité sur la base du paysage des menaces actives par secteur.

Comment Bureau Veritas Cybersecurity vous aide-t-il ?

En tant qu'expert indépendant en cybersécurité, Bureau Veritas Cybersecurity peut vous aider sur tous les aspects de NIS2, ISO/IEC 27k et des mesures supplémentaires de BIO. Nous pouvons vous aider à assurer la conformité globale de BIO, ainsi que les questions spécifiques soulevées dans les mesures gouvernementales (mises à jour). Cela comprend la formation de vos cadres et employés à reconnaître les risques de cybersécurité et à y répondre, la réalisation de tests de pénétration, ou la mise en place d'un cadre de contrôle et l'implémentation d'un ISMS conformément à la norme ISO 27001.

Plus d'informations

Vous souhaitez plus d'informations sur la manière dont Bureau Veritas Cybersecurity peut vous aider avec BIO2 ? Remplissez le formulaire et nous vous contacterons dans un délai d'un jour ouvrable.

Prénom

Nom de famille

Entreprise / Organisation

Numéro de téléphone

Comment pouvons-nous vous aider ?

J'autorise le traitement de mes données conformément à la politique de confidentialité et j'accepte les conditions générales.

J'accepte que Bureau Veritas Cybersecurity utilise ces données pour me fournir des informations supplémentaires sur ses services, événements ou sujets susceptibles de m'intéresser.

En rapport

Conformité BIO

Bureau Veritas Cybersecurity offre tous les services pour la conformité BIO : évaluation et plan d'action, formation et conseils, et tests avec rapports d'audit.

Formation à la salle de conférence du NIS2

Cette formation d'un jour en entreprise destinée aux cadres et aux RSSI vous permet d'acquérir les connaissances et les compétences nécessaires pour évaluer les mesures de gestion des risques techniques, opérationnels et organisationnels.

Évaluation de la maturité de la sécurité

L'évaluation de la maturité de la sécurité est conçue pour déterminer le niveau de maturité de votre cybersécurité sur la base du modèle CMM. Elle permet d'identifier les prochaines étapes pour améliorer votre cyber-résilience.

En rapport

Conformité BIO

Bureau Veritas Cybersecurity offre tous les services pour la conformité BIO : évaluation et plan d'action, formation et conseils, et tests avec rapports d'audit.

Formation à la salle de conférence du NIS2

Évaluation de la maturité de la sécurité

Pourquoi choisir Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.