Prompts de mise en œuvre des mesures de contrôle ISO 27001

Présentation

Vous découvrirez des prompts pratiques pour mettre en œuvre les mesures de l'Annexe A de l'ISO 27001:2022 à l'aide d'ISMS Copilot, de la conception des configurations techniques à la création de flux opérationnels démontrant la mise en œuvre effective des contrôles de sécurité.

À qui s'adresse cet article

Ces prompts sont conçus pour :

• Les équipes informatiques et de sécurité mettant en œuvre les contrôles de l'Annexe A

• Les administrateurs système configurant les contrôles de sécurité

• Les ingénieurs DevOps intégrant la sécurité dans l'infrastructure

• Les professionnels de la conformité documentant la mise en œuvre des contrôles

Avant de commencer

Prompts pour les mesures organisationnelles (A.5)

Conception des rôles de sécurité de l'information (A.5.1-A.5.3)

"Concevoir la structure organisationnelle des rôles de sécurité de l'information selon les contrôles ISO 27001:2022 A.5.1-A.5.3. Définir : la structure de gouvernance de la sécurité de l'information (comités, lignes hiérarchiques), les définitions de rôles et responsabilités (RSSI, équipe sécurité, équipe IT, unités commerciales), la matrice de séparation des tâches pour prévenir les conflits, les circuits d'escalade pour les décisions de sécurité, l'intégration à la structure organisationnelle globale, les mécanismes de démonstration de l'engagement de la direction, et l'allocation des ressources pour la fonction sécurité. Adapté pour [taille et structure de l'entreprise]."

Mise en œuvre du système de gestion des politiques (A.5.2)

"Concevoir un système de gestion des politiques pour maintenir nos politiques ISO 27001 selon le contrôle A.5.2. Inclure : structure du référentiel de politiques et contrôles d'accès, flux de cycle de vie des politiques (ébauche, révision, approbation, publication, retrait), contrôle des versions et suivi des modifications, calendrier de révision et rappels, processus de consultation des parties prenantes, autorités d'approbation par type de politique, communication des politiques et suivi de l'émargement, gestion des exceptions aux politiques et intégration avec l'intégration des nouveaux employés."

Configuration de la gestion des actifs (A.5.9)

"Mettre en œuvre un système d'inventaire et de gestion des actifs pour le contrôle ISO 27001 A.5.9. Concevoir : méthodes de découverte d'actifs (balayage automatisé, enregistrement manuel), attributs d'actifs à suivre (propriétaire, classification, emplacement, dépendances, statut de cycle de vie), flux d'attribution de propriété d'actifs, processus de marquage de classification, mécanismes d'application d'utilisation acceptable, intégration avec la CMDB ou la gestion des actifs informatiques, suivi du cycle de vie des actifs (de l'acquisition à l'élimination) et tableaux de bord de rapport pour la surveillance des actifs."

Conception du cadre de contrôle d'accès (A.5.15-A.5.18)

"Concevoir un cadre de contrôle d'accès complet pour les contrôles ISO 27001 A.5.15-A.5.18 en utilisant [votre système d'identité, ex: Azure AD, Okta]. Inclure : gestion du cycle de vie des identités (provisionnement, modifications, déprovisionnement), modèle de contrôle d'accès basé sur les rôles (RBAC) avec rôles mappés aux fonctions professionnelles, flux de demande et d'approbation d'accès, stratégie de gestion des accès privilégiés, mécanismes d'authentification (SSO, MFA, sans mot de passe), modèles d'autorisation (RBAC, ABAC), processus et calendrier de révision des accès, et mise en œuvre technique dans [votre système d'annuaire]."

Exemple : "Concevoir un cadre de contrôle d'accès complet pour les contrôles A.5.15-A.5.18 utilisant Azure AD avec accès conditionnel. Notre environnement : 200 utilisateurs, applications SaaS, infrastructure cloud Azure, postes de travail à accès privilégié pour les administrateurs."

Prompts pour les mesures relatives aux ressources humaines (A.6)

Élaboration du processus de sélection de sécurité (A.6.1)

"Créer un processus de sélection des employés et de vérification des antécédents pour le contrôle ISO 27001 A.6.1. Définir : exigences de sélection par sensibilité de rôle (standard, élevé, privilégié), vérifications pré-emploi (casier judiciaire, historique d'emploi, éducation, références, crédit pour les rôles financiers), calendrier de sélection dans le processus d'embauche, exigences relatives aux prestataires de sélection tiers, considérations pour les candidats internationaux, déclencheurs de sélection continue (changements de rôle, incidents de sécurité), consentement des candidats et conformité à la confidentialité, conservation des dossiers et intégration au flux d'intégration RH."

Mise en œuvre du programme de sensibilisation à la sécurité (A.6.3)

"Concevoir un programme complet de sensibilisation et de formation à la sécurité pour le contrôle ISO 27001 A.6.3. Inclure : formation de base à la sensibilisation (sujets, méthode de diffusion, durée, fréquence), liste de contrôle d'orientation sécurité pour les nouveaux embauchés, parcours de formation par rôle (développeurs, admins, managers, tout le personnel), programme de simulation de phishing (fréquence, niveaux de difficulté, déclencheurs de formation corrective), stratégie de communication sécurité (newsletters, alertes, campagnes), mesure de l'efficacité de la formation (quiz, sondages, corrélation avec les incidents), intégration au système de gestion de l'apprentissage (LMS) et suivi de la conformité."

Configuration du processus disciplinaire (A.6.4)

"Développer un processus disciplinaire pour les violations de la politique de sécurité selon le contrôle ISO 27001 A.6.4. Définir : catégories de violations et niveaux de gravité, procédures d'enquête pour les violations suspectées, mesures disciplinaires par type de violation (avertissement, suspension, licenciement), autorités d'escalade et d'approbation, exigences de documentation, droits des employés et procédure régulière, intégration aux procédures disciplinaires RH, confidentialité lors des enquêtes et protocoles de communication pour les cas sensibles."

Prompts pour les mesures physiques (A.7)

Conception des contrôles d'accès physiques (A.7.1-A.7.2)

"Concevoir les contrôles de sécurité physique pour nos installations selon les contrôles ISO 27001 A.7.1-A.7.2. Inclure : définition du périmètre de sécurité et barrières physiques, points d'entrée et mécanismes de contrôle d'accès (lecteurs de badges, biométrie, sas), processus de gestion des visiteurs (enregistrement, escorte, retour de badge), zones de sécurité et restrictions d'accès (public, employé, restreint, salle serveur), systèmes de surveillance (placement de caméras, enregistrement, conservation), personnel de sécurité et procédures de patrouille, procédures d'accès en dehors des heures d'ouverture et intégration entre les systèmes d'accès physiques et logiques."

Mise en œuvre de la sécurité des équipements (A.7.7-A.7.8)

"Créer des procédures de bureau propre, d'écran propre et de sécurité des équipements pour les contrôles ISO 27001 A.7.7-A.7.8. Définir : exigences de bureau propre (fin de journée, manipulation de matériel confidentiel), politiques d'écran propre (délai de verrouillage, écrans de confidentialité, positionnement du moniteur), dispositions de stockage sécurisé (armoires verrouillées, coffres-forts), placement de l'équipement pour empêcher la visualisation non autorisée, restrictions des zones de visiteurs, applicabilité au travail à distance, audits et vérifications de conformité, formation des employés et mécanismes d'application."

Conception du processus d'élimination sécurisée (A.7.10, A.7.14)

"Mettre en œuvre un processus d'élimination sécurisée pour l'équipement et les supports selon les contrôles ISO 27001 A.7.10 et A.7.14. Inclure : types de supports concernés (papier, disques durs, SSD, clés USB, appareils mobiles, bandes de sauvegarde), méthodes d'élimination par type de support (déchiquetage, démagnétisation, effacement cryptographique, destruction physique), procédures de vérification de l'assainissement des données, exigences en matière de certificat de destruction, gestion et surveillance des prestataires d'élimination, suivi et journaux d'audit de l'élimination, flux d'approbation pour les systèmes sensibles et conformité environnementale et réglementaire."

Prompts pour les mesures technologiques (A.8)

Configuration de l'authentification sécurisée (A.8.5)

"Mettre en œuvre des contrôles d'authentification sécurisée pour le contrôle ISO 27001 A.8.5 en utilisant [votre fournisseur d'identité]. Configurer : inscription et application de l'authentification multi-facteurs (MFA) par niveau de risque utilisateur, méthodes d'authentification (applications, jetons matériels, biométrie, SMS en secours), politiques d'accès conditionnel (lieu, appareil, risque), authentification unique (SSO) pour les applications intégrées, gestion des sessions (délai, sessions simultanées), authentification des comptes de service, authentification et autorisation API, options sans mot de passe et surveillance des échecs d'authentification."

Exemple : "Mettre en œuvre l'authentification sécurisée pour le contrôle A.8.5 avec Azure AD. Configurer le MFA pour tous les utilisateurs, l'accès conditionnel basé sur le risque de connexion, la conformité de l'appareil et l'emplacement. Activer le sans mot de passe pour les cadres avec Windows Hello et clés FIDO2."

Conception de la gestion des accès privilégiés (A.8.2-A.8.3)

"Mettre en œuvre un système de gestion des accès privilégiés pour les contrôles ISO 27001 A.8.2-A.8.3. Concevoir : inventaire et classification des comptes privilégiés, flux de demande et d'approbation d'accès privilégié (accès Just-In-Time), postes de travail à accès privilégié (PAW) pour les tâches administratives, enregistrement et surveillance de session pour les activités privilégiées, coffre-fort de mots de passe pour les identifiants privilégiés (avec [solution PAM]), rotation automatique des mots de passe, procédures de secours (break-glass), révisions d'accès privilégiés et journalisation d'audit des activités privilégiées."

Mise en œuvre de la restriction d'accès (A.8.1)

"Configurer les restrictions d'accès au réseau et à l'information pour le contrôle ISO 27001 A.8.1. Mettre en œuvre : stratégie de segmentation et micro-segmentation réseau, règles de pare-feu basées sur le moindre privilège, contrôles d'accès au niveau applicatif (authentification, autorisation), restrictions d'accès aux données par niveau de classification, application du besoin d'en connaître, séparation des environnements de développement, test et production, contrôles d'accès distant (VPN, zero trust, accès conditionnel) et surveillance des accès pour toutes les ressources restreintes."

Configuration de la sécurité des systèmes d'information (A.8.9-A.8.11)

"Mettre en œuvre la gestion de la configuration et le durcissement pour les contrôles ISO 27001 A.8.9-A.8.11. Inclure : configurations de base de sécurité pour [vos OS/plateformes], maintenance de la base de données de gestion des configurations (CMDB), normes et listes de contrôle de durcissement, détection et remédiation des écarts de configuration, modèles de configuration sécurisée pour les nouveaux systèmes, audits réguliers de configuration, contrôle des changements pour les modifications de configuration, sauvegarde et récupération des configurations et intégration à la gestion des vulnérabilités."

Conception de la prévention des fuites de données (A.8.12)

"Mettre en œuvre les contrôles de prévention des fuites de données pour le contrôle ISO 27001 A.8.12. Concevoir : intégration de la classification des données (marquage automatique), politiques DLP pour différents types de données (PII, données de paiement, propriété intellectuelle, confidentiel), canaux de surveillance (e-mail, web, USB, apps cloud, impression), actions de politique (alerte, blocage, cryptage, quarantaine), éducation des utilisateurs pour les alertes DLP, exceptions aux politiques et flux d'approbation, réponse aux incidents pour les violations DLP et métriques d'efficacité du DLP."

Mise en œuvre des contrôles de sauvegarde (A.8.13)

"Configurer le système de sauvegarde et de récupération pour le contrôle ISO 27001 A.8.13. Mettre en œuvre : périmètre de sauvegarde (systèmes et données critiques), fréquence de sauvegarde par niveau de système (continu, horaire, quotidien, hebdomadaire), politique de conservation (GFS - Grand-père-Père-Fils), stockage des sauvegardes (sur site, hors site, cloud), cryptage des sauvegardes en transit et au repos, vérification de l'intégrité, calendrier de test de restauration, surveillance automatisée et intégration au plan de reprise d'activité avec objectifs RTO/RPO."

Configuration de la journalisation et de la surveillance (A.8.15-A.8.16)

"Mettre en œuvre une journalisation et une surveillance complètes pour les contrôles ISO 27001 A.8.15-A.8.16 en utilisant [votre outil SIEM]. Configurer : sources de journaux et types d'événements à collecter (authentification, accès, changements, événements de sécurité, erreurs), centralisation et agrégation dans le SIEM, conservation des journaux par type et exigences réglementaires, protection des journaux (intégrité, contrôle d'accès, cryptage), règles de surveillance et d'alerte en temps réel, cas d'usage de sécurité et logique de détection, procédures et responsabilités de révision des journaux, flux d'enquête sur les incidents et tableau de bord opérationnel."

Exemple : "Mettre en œuvre la journalisation et la surveillance pour les contrôles A.8.15-A.8.16 à l'aide de Microsoft Sentinel. Collecter les journaux d'Azure AD, Office 365, des ressources Azure, de l'AD sur site, des pares-feux et des terminaux. Configurer la détection des attaques par force brute, de l'élévation de privilèges, de l'exfiltration de données et des logiciels malveillants."

Conception des contrôles cryptographiques (A.8.24)

"Mettre en œuvre des contrôles cryptographiques pour le contrôle ISO 27001 A.8.24. Configurer : cryptage des données au repos (bases de données, stockage de fichiers, sauvegardes) via [méthode de cryptage], cryptage des données en transit (TLS 1.2+, suites de chiffrement approuvées), système de gestion des clés (génération, stockage, rotation, destruction), séquestre des clés de cryptage pour la récupération, certificats numériques et gestion PKI, algorithmes et longueurs de clés approuvés, cryptage cloud (clés gérées par le client vs fournisseur) et audit de conformité cryptographique."

Mise en œuvre de la gestion des vulnérabilités (A.8.8)

"Concevoir un programme de gestion des vulnérabilités pour le contrôle ISO 27001 A.8.8 avec [vos outils de scan]. Mettre en œuvre : calendrier de balayage (hebdomadaire authentifié pour les systèmes critiques, mensuel pour tous), couverture du balayage (réseau, applications, conteneurs, infra cloud), classification de gravité et SLA (critique sous 24h, élevé sous 7j, moyen sous 30j), flux de gestion des correctifs et tests, contrôles compensatoires pour les systèmes impossibles à corriger, gestion de la divulgation des vulnérabilités, métriques et rapports à la direction, et intégration à la gestion des actifs et des changements."

Configuration du développement sécurisé (A.8.25-A.8.31)

"Mettre en œuvre le cycle de vie du développement sécurisé (S-SDLC) pour les contrôles ISO 27001 A.8.25-A.8.31. Concevoir : exigences de sécurité dans le processus de développement, modélisation des menaces pour les nouvelles fonctionnalités, normes de codage sécurisé pour [vos langages de programmation], processus de révision de code axé sécurité, tests de sécurité statiques (SAST) dans le pipeline CI/CD, tests dynamiques (DAST) avant déploiement, analyse des dépendances et bibliothèques tierces, tests de sécurité en phase QA, gestion des données de test (masquage, données synthétiques) et vérifications de sécurité avant mise en production."

Conception de la gestion des changements (A.8.32)

"Mettre en œuvre un système de gestion des changements pour le contrôle ISO 27001 A.8.32 en utilisant [votre outil ITSM]. Configurer : processus de demande de changement et approbations, catégorisation (standard, normal, urgent), évaluation des risques pour les changements, processus du comité consultatif sur les changements (CAB), exigences de test avant mise en œuvre, fenêtres d'intervention, procédures de retour arrière (rollback) et critères, révision post-mise en œuvre, processus de changement urgent avec approbation rétroactive et analyse des métriques (taux de réussite, incidents causés par les changements)."

Prompts pour la mise en œuvre de la gestion des incidents

Élaboration de la capacité de réponse aux incidents (A.5.24-A.5.28)

"Mettre en œuvre un programme de réponse aux incidents de sécurité pour les contrôles ISO 27001 A.5.24-A.5.28. Concevoir : sources de détection (SIEM, EDR, rapports utilisateurs, threat intelligence), classification et niveaux de gravité, structure de l'équipe de réponse (CSIRT) et astreintes, playbooks par type d'incident (ransomware, fuite de données, DDoS, menace interne), collecte de preuves et procédures forensiques, plan de communication (escalade interne, notification client, rapport réglementaire), système de suivi des cas et exercices de simulation (tabletop)."

Configuration de la détection d'événements de sécurité (A.8.16)

"Concevoir la détection et la réponse aux événements de sécurité avec [vos outils SIEM/EDR]. Mettre en œuvre : cas d'usage et règles de détection (anomalies d'authentification, mouvement latéral, exfiltration, élévation de privilèges, exécution de malware), intégration de la threat intelligence, analyse comportementale et machine learning pour la détection d'anomalies, réglage des alertes et réduction des faux positifs, flux de tri et d'enquête sur les alertes, actions de réponse automatisées (désactivation de compte, quarantaine, blocage IP), playbooks SOC et suivi du MTTR (temps moyen de réponse)."

Prompts pour la mise en œuvre de la continuité d'activité

Conception du programme de continuité d'activité (A.5.29-A.5.30)

"Mettre en œuvre un programme de continuité d'activité et de reprise après sinistre pour les contrôles ISO 27001 A.5.29-A.5.30. Créer : analyse d'impact métier (BIA) pour identifier les fonctions critiques, objectifs RTO et RPO par fonction, stratégies de continuité (redondance, basculement, modes dégradés), sites de traitement alternatifs, plans de communication lors des perturbations, rôles de l'équipe BC, calendrier de test (tabletop annuel, test complet tous les 2 ans), déclencheurs de mise à jour du plan et intégration à la réponse aux incidents."

Mise en œuvre de la continuité des TIC (A.8.14)

"Concevoir la continuité et la redondance des TIC pour le contrôle ISO 27001 A.8.14. Mettre en œuvre : redondance système et haute disponibilité pour les systèmes critiques, mécanismes de basculement automatique, réplication des données (synchrone pour le critique, asynchrone pour les autres), site DR ou région cloud de secours, vérification RTO/RPO via tests, procédures de retour à la normale, redondance des fournisseurs pour les services critiques et intégration aux processus de restauration de sauvegarde du contrôle A.8.13."

Prompts pour la gestion des fournisseurs

Conception du programme de sécurité des fournisseurs (A.5.19-A.5.23)

"Mettre en œuvre un programme de gestion de la sécurité des tiers pour les contrôles ISO 27001 A.5.19-A.5.23. Créer : classification des risques fournisseurs (haut/moyen/bas selon l'accès aux données), processus d'évaluation et questionnaire de sécurité, exigences de sécurité dans le processus d'achat, clauses contractuelles (contrôles de sécurité, droits d'audit, notification d'incident, conformité), vérification de sécurité lors de l'accueil du fournisseur, surveillance continue et revues de performance, gestion des accès fournisseurs, coordination de réponse aux incidents et procédures de fin de contrat et restitution des données."

Configuration de la sécurité des services cloud (A.5.23)

"Mettre en œuvre les contrôles de sécurité des services cloud selon le contrôle ISO 27001 A.5.23 pour [vos fournisseurs cloud]. Traiter : compréhension et documentation du modèle de responsabilité partagée, vérification de la sécurité du fournisseur (SOC 2, ISO 27001, FedRAMP), configurations de sécurité spécifiques au cloud (IAM, cryptage, réseau, logs), exigences de souveraineté et résidence des données, outils de gestion de la posture de sécurité cloud (CSPM), broker de sécurité d'accès au cloud (CASB) pour le multi-SaaS, cohérence de sécurité multi-cloud et coordination de réponse aux incidents."

Prompts pour la conformité et le juridique

Mise en œuvre des contrôles de confidentialité (A.5.33-A.5.34)

"Concevoir un programme de protection de la vie privée pour les contrôles ISO 27001 A.5.33-A.5.34 et la conformité RGPD. Mettre en œuvre : processus de satisfaction des droits des personnes concernées (accès, rectification, effacement, portabilité), protection de la vie privée dès la conception (Privacy by Design), déclencheurs et processus d'analyse d'impact (AIPD), gestion du consentement pour le marketing, registres et inventaire des traitements, automatisation de la conservation et suppression des données, mécanismes de transfert transfrontalier (clauses contractuelles types) et responsabilités du délégué à la protection des données (DPO)."

Conception de la gestion de la conformité (A.5.31)

"Mettre en œuvre un système de gestion de la conformité pour le contrôle ISO 27001 A.5.31. Créer : inventaire des obligations de conformité (légales, réglementaires, contractuelles), mappage de surveillance et de contrôle, calendrier d'évaluation de la conformité, processus de veille réglementaire, formation du personnel concerné, reporting de conformité à la direction, évaluation des risques de conformité, vérification externe (audits) et conservation des preuves selon [réglementations applicables]."

Prompts pour les tests et la vérification

Conception des tests d'efficacité des contrôles

"Créer un programme de test et de validation des contrôles pour vérifier l'efficacité de l'Annexe A. Pour le contrôle [numéro], concevoir : objectifs et périmètre du test, méthodologie (revue documentaire, observation, test technique, ré-exécution), approche d'échantillonnage et taille de l'échantillon, fréquence des tests (surveillance continue, trimestrielle, annuelle), preuves attendues et critères de réussite/échec, outils et automatisation, exigences d'indépendance du testeur, signalement des lacunes et remédiation, et documentation pour l'audit."

Réalisation de revues de contrôle (Walkthrough)

"Créer un document de revue (walkthrough) pour le contrôle de l'Annexe A [numéro et nom]. Inclure : description et objectif du contrôle, références aux politiques et procédures, flux de processus étape par étape (narratif et schéma), rôles et responsabilités à chaque étape, systèmes et outils impliqués, entrées et sorties, points de contrôle et vérifications, exceptions et escalades, et preuves générées par le contrôle. Utiliser ceci pour former le personnel et faire la démonstration aux auditeurs."

Prompts pour l'intégration et l'automatisation

Automatisation de la mise en œuvre des contrôles

"Concevoir l'automatisation du contrôle ISO 27001 [numéro] en utilisant [vos outils, ex: PowerShell, Terraform, Ansible]. Créer : objectifs et périmètre de l'automatisation, approche de mise en œuvre technique, scripts ou infrastructure-as-code, test et validation de l'automatisation, gestion des erreurs et retour arrière, ordonnancement, journalisation d'audit des actions automatisées, points d'intervention manuelle et documentation pour la maintenance."

Intégration des outils de sécurité

"Concevoir une stratégie d'intégration des outils de sécurité supportant les contrôles ISO 27001. Intégrer : fournisseur d'identité (AD/Azure AD/Okta), SIEM (Splunk/Sentinel/Chronicle), EDR (CrowdStrike/Defender/SentinelOne), scanner de vulnérabilités (Qualys/Rapid7/Tenable), solution PAM, outil DLP, CASB et système de tickets. Pour chaque intégration : définir les flux de données, les configurations API, les flux d'alertes, les opportunités d'automatisation et les rapports unifiés sur tableau de bord."

Conseils pour utiliser ces prompts efficacement

Bibliothèques de prompts associées

Complétez votre mise en œuvre ISO 27001 avec ces collections de prompts liées :

• Prompts pour l'évaluation des risques ISO 27001

• Prompts pour les politiques et procédures ISO 27001

• Prompts pour la préparation à l'audit ISO 27001

• Bibliothèque de prompts SOC 2

Obtenir de l'aide

Pour obtenir de l'aide sur la mise en œuvre des contrôles :

• Comprendre les exigences : Consultez le guide d'évaluation des risques ISO 27001 pour voir quels contrôles traitent vos risques.

• Créer la documentation : Utilisez les prompts de politique et procédure pour documenter vos mises en œuvre.

• Utiliser l'IA de manière responsable : Lisez Comment utiliser ISMS Copilot de manière responsable pour des conseils de mise en œuvre.