Vue lecture

ISO/IEC 27001:2022 Amendement 1

ISO/IEC 27001:2022 Amendement 1

Vous le savez peut-être déjà, mais on a récemment (ou pas, finalement) vu arriver un premier amendement à notre chère norme ISO 27001 version 2022 (et à un autre paquet de normes ISO, puisqu'elles sont 31 à être affectées par ce changement), intitulé "Changements concernant les actions en lien avec le climat".

Voyons concrètement de quoi il retourne ! 🕵️

ISO/IEC 27001:2022 Amendement 1

Concrètement, ça change quoi ?

C'est là qu'on rigole : la liste des changements est minime. Bon, c'est un amendement aussi, pas une annexe, mais quand même. 😄

Les changements sont au nombre de deux :

4.1 - Compréhension de l’organisme et de son contexte

On ajoute ici la mention:

L’organisme doit déterminer si de tels enjeux découlent des changements climatiques.

4.2 - Compréhension des besoins et attentes des parties intéressées

Cette fois, on ajoute :

NOTE 2 : Les parties intéressées concernées peuvent avoir des exigences relatives aux changements climatiques.

Et c'est tout.

Comment implémenter ça ?

En 2024, il est fort probable que ce qui touche au changement climatique figure déjà ici ou là dans un document, une politique... de l'entreprise. Et je ne parle même pas du cas de la norme ISO 14001 😅

Pour la clause 4.1, concrètement, si vous prenez déjà ces enjeux en compte par ailleurs, vous n'avez rien à faire. Voilà. De rien.

Dans le cas contraire, et sur la base des premiers retours que j'ai pu avoir d'auditeurs et audités, vous devez mettre à jour le contexte de l'organisation dans votre manuel SMSI, en ajoutant un petit laïus indiquant que vous avez considéré le changement climatique et qu'il a été conclu qu'il n'est pas un risque pertinent pour vous ou pour le SMSI, et que cela a été validé par les instances de gouvernance du SMSI. C'est probablement le moyen le plus simple et le plus rapide pour satisfaire à cette nouvelle exigence.

Mon opinion personnelle, c'est que vous pouvez en profiter pour pointer vers votre PCA/PRA, lequel inclut probablement déjà des évènements en liens avec (ou assimilables) les changements climatiques : vagues de chaleur plus longues et qui nécessiteraient de climatiser vos serveurs, inondations plus fréquentes pouvant vous pousser à envisager des backups sur des sites physiques distincts...

Évidemment, il y a des entreprises pour lesquelles ça ne se limite pas à ça : si les changements climatiques constituent un risque important pour vous, vous devez l'ajouter au registre des risques et le gérer comme vos autres risques.

Pour la clause 4.2, vous devez demander aux parties intéressées si le changement climatique les concerne et, le cas échéant, de quelle manière, afin d'inclure cette exigence dans la mise en œuvre de votre SMSI. Comme toujours, gardez une trace de ces questions pour vos auditeurs, histoire de démontrer que ce n'était pas pertinent ou, si c'est le cas pour une partie prenante, de prouver que vous avez fait ou prévu de faire quelque chose pour satisfaire à cette attente.

ISO/IEC 27001:2022 Amendement 1
Illustration générée par ChatGPT (on s'amuse comme on peut)

Conclusion : ne vous prenez pas trop la tête !

Disons qu'au pire, vous risquez une observation durant votre prochain audit, et que vous aurez à prendre cet amendement en compte d'ici la prochaine fois. Après, comme pour le contrôle technique automobile, moins on a d'observations, mieux c'est, et vu la quantité de travail réduite induite par cet amendement, on aurait tort de faire l'impasse dessus. Et n'allez pas payer un consultant pour ça : ça n'en vaut pas la peine selon moi (mais vous faites bien ce que vous voulez après tout !).

💡Note importante : cet amendement n'a aucun impact sur vos certifications actuelles, sur le domaine d'application de votre système de management certifié, ou encore sur votre planning d'audits. Relax !

Pensée personnelle : vous connaissez probablement (surtout si vous traînez dans le coin depuis un moment) mon fort intérêt pour le développement durable. Malgré ça, je me pose la question de la pertinence d'un tel amendement pour la norme ISO 27001 spécifiquement : ça me donne plus l'impression de faire du boxticking qu'autre chose, et c'est quelque chose qui me déplaît, alors que c'est une des raisons qui me font préférer l'ISO 27001 à SOC2 par exemple. Allez, disons que ça participe de la prise de conscience collective à propos de l'urgence climatique ! 😊

❌