Nous rejoindre : Auditeurs/Formateurs
Notre centre de formation

Évolution de la norme ISO/IEC 20153:2025

par | Nov 17, 2025 | Actualités

ISO

ISO/IEC 20153:2025 : les modifications clés par rapport à la version antérieure

Introduction

La norme ISO/IEC 20153:2025 apporte une évolution majeure dans la gestion des avis de sécurité. Dès le premier paragraphe, il apparaît que cette nouvelle version renforce l’usage du format CSAF v2.0 et améliore la circulation automatisée des informations sur les vulnérabilités. De plus, elle clarifie plusieurs éléments techniques afin d’aider les organisations à structurer leurs échanges. Cet article présente les changements introduits par ISO/IEC 20153:2025 et les compare à ceux des versions antérieures du format CSAF.

Comprendre la norme ISO/IEC 20153:2025

La norme ISO/IEC 20153:2025 établit un cadre international pour décrire et partager les avis de sécurité de manière automatisée. Elle reprend le format CSAF v2.0 développé par OASIS, mais lui donne un statut de norme ISO/IEC. Grâce à cette reconnaissance, elle gagne en portée internationale et en crédibilité opérationnelle. Avant cette révision, le format CSAF existait déjà, mais il n’était pas intégré dans un cadre normatif ISO.

Modifications apportées par ISO/IEC 20153:2025

1. Statut normatif renforcé

ISO/IEC 20153:2025 transforme le standard OASIS CSAF v2.0 en norme internationale. Ce changement élargit son adoption. De plus, il offre une base commune à toutes les organisations souhaitant harmoniser leurs pratiques de gestion des vulnérabilités. La version antérieure reposait sur un standard ouvert, mais son usage restait inégal selon les secteurs.

2. Amélioration du schéma JSON et des métadonnées

La nouvelle norme clarifie la structure du schéma JSON. Elle enrichit aussi les propriétés utilisées dans les avis de vulnérabilité. Ainsi, les organisations peuvent intégrer plus facilement les flux SBOM ou VEX. Avant 2025, les formats JSON présentaient davantage d’incohérences, ce qui compliquait l’automatisation.

3. Interopérabilité plus large

La version 2025 encourage une adoption commune entre éditeurs logiciels, CERT, CSIRT et utilisateurs. Grâce à cette harmonisation, le partage d’informations devient plus fluide. Par comparaison, les versions antérieures souffraient d’une adoption limitée, ce qui freinait l’efficacité des échanges.

4. Gouvernance et maintenance consolidées

La nouvelle version crée un lien direct entre ISO/IEC et le comité technique OASIS chargé du format CSAF. Cette gouvernance partagée garantit une évolution cohérente des futures versions. Avant cela, l’entretien du format dépendait principalement de travaux OASIS, ce qui créait des divergences dans les implémentations.

5. Conséquences pour la gestion des vulnérabilités

Les organisations doivent désormais utiliser un format normalisé pour produire et consommer des avis de vulnérabilité. Elles adoptent aussi des workflows plus structurés et mieux intégrés aux outils modernes de cybersécurité. La version antérieure laissait davantage de liberté, ce qui conduisait parfois à des formats propriétaires difficiles à exploiter.

Mise en œuvre de la norme

Pour appliquer ISO/IEC 20153:2025, l’organisation doit commencer par un diagnostic d’écarts. Cette analyse compare le format utilisé actuellement avec les exigences de la norme. Ensuite, elle adapte ses outils de génération d’avis, ses flux SBOM et ses systèmes VEX. Elle forme aussi les équipes responsables afin d’assurer une adoption efficace. Enfin, elle maintient un suivi régulier pour intégrer les futures mises à jour du schéma.

Compétences nécessaires

La mise en conformité avec ISO/IEC 20153:2025 développe plusieurs compétences clés :

  • maîtrise du schéma JSON standardisé ;

  • capacité à automatiser les échanges d’avis de sécurité ;

  • compréhension des liens entre SBOM, VEX et advisories enrichis ;

  • organisation d’une gouvernance claire pour la gestion des vulnérabilités.

Public concerné

Cette évolution concerne plusieurs acteurs :

  • éditeurs de logiciels et fournisseurs technologiques ;

  • équipes CERT et CSIRT ;

  • responsables cybersécurité, gestionnaires de risques et analystes SOC ;

  • auditeurs et organismes de certification souhaitant évaluer la conformité aux formats d’avis internationaux.

Passerelles avec d’autres normes

ISO/IEC 20153:2025 s’intègre facilement dans l’écosystème des normes de cybersécurité. Elle complète les exigences d’ISO/IEC 27001, soutient la création de SBOM structurés et renforce la cohérence avec les pratiques d’échange de données sur les vulnérabilités. Grâce à cette compatibilité, les organisations peuvent consolider leurs systèmes de sécurité.

Bénéfices pour les organisations

Grâce à la norme, les organisations améliorent la rapidité de traitement des vulnérabilités. Elles renforcent aussi l’automatisation et réduisent les erreurs liées aux formats hétérogènes. Enfin, elles augmentent la confiance de leurs partenaires, car elles adoptent un cadre reconnu à l’échelle internationale.

Conclusion

ISO/IEC 20153:2025 marque une étape importante pour la gestion des avis de sécurité. Elle transforme un standard ouvert en norme internationale et renforce l’interopérabilité entre tous les acteurs. Cette évolution clarifie la structure des avis, améliore l’automatisation et offre une base solide pour les prochaines avancées du domaine. En conclusion, les organisations qui adoptent rapidement la norme gagnent en efficacité et en cohérence dans la gestion des vulnérabilités.

Fiches techniques

Accédez aux ressources Audiciaux