ISMS Copilot
Référentiels pris en charge

ISO 27001 Gestion de la sécurité de l'information

L'ISO 27001 est la norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle propose une approche systématique de la gestion des informations sensibles, incluant le personnel, les processus et les contrôles technologiques. Les organisations peuvent obtenir la certification ISO 27001 par le biais d'audits indépendants, démontrant ainsi à leurs clients et partenaires qu'elles respectent des normes de sécurité reconnues mondialement.

ISMS Copilot possède une connaissance approfondie des contrôles et des exigences de l'ISO 27001:2022. Vous pouvez poser des questions sur des contrôles spécifiques de l'Annexe A, générer des politiques et élaborer une documentation complète du SGSI.

Qui a besoin de l'ISO 27001 ?

L'ISO 27001 est volontaire mais largement adoptée par :

  • Les fournisseurs de technologies : Entreprises SaaS, fournisseurs de cloud, développeurs de logiciels prouvant leur sécurité aux entreprises clientes

  • Les prestataires de services : Prestataires de services informatiques, fournisseurs de sécurité gérés, cabinets de conseil manipulant des données clients

  • Les services financiers : Banques, processeurs de paiement, entreprises fintech exigeant une posture de sécurité robuste

  • Les organisations de santé : Prestataires gérant les informations de santé des patients

  • Les contractants gouvernementaux : Organisations travaillant avec des entités du secteur public exigeant la certification ISO 27001

  • Les partenaires de la chaîne d'approvisionnement : Fournisseurs cherchant à répondre aux exigences de sécurité dans les appels d'offres ou les contrats

Bien qu'elle ne soit pas légalement obligatoire dans la plupart des juridictions, l'ISO 27001 est souvent une exigence contractuelle, un différenciateur concurrentiel ou un préalable pour faire des affaires dans des secteurs réglementés.

Structure de l'ISO 27001

La norme se compose de deux éléments principaux :

Clauses principales (4-10) : Exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un SGSI

  • Clause 4 : Contexte de l'organisation

  • Clause 5 : Leadership et engagement

  • Clause 6 : Planification (évaluation et traitement des risques)

  • Clause 7 : Support (ressources, compétences, communication)

  • Clause 8 : Fonctionnement (mise en œuvre du traitement des risques)

  • Clause 9 : Évaluation des performances (surveillance, audit, revue)

  • Clause 10 : Amélioration (non-conformité et actions correctives)

Annexe A : 93 contrôles de sécurité répartis en 4 thèmes (organisationnels, personnes, physiques, technologiques)

Les quatre thèmes de l'Annexe A

L'ISO 27001:2022 organise 93 contrôles en catégories thématiques :

Contrôles organisationnels (37 contrôles) :

  • Politiques de sécurité de l'information

  • Gestion des actifs et utilisation acceptable

  • Contrôle d'accès et ségrégation des tâches

  • Relations avec les fournisseurs et sécurité des tiers

  • Gestion des incidents et continuité des activités

  • Conformité et exigences légales

Contrôles relatifs aux personnes (8 contrôles) :

  • Sélection et contrats de travail

  • Sensibilisation et formation à la sécurité

  • Processus disciplinaire

  • Rupture ou modification du contrat de travail

Contrôles physiques (14 contrôles) :

  • Sécurité du périmètre et contrôles d'accès

  • Zones sécurisées et protection des équipements

  • Politiques de bureau propre et d'écran verrouillé

  • Mise au rebut du matériel et manipulation des supports

Contrôles technologiques (34 contrôles) :

  • Sécurité des terminaux et des réseaux

  • Cryptographie et gestion des clés

  • Sauvegarde et journalisation

  • Gestion des vulnérabilités et protection contre les malwares

  • Cycle de vie du développement sécurisé

  • Gestion des configurations et gestion des correctifs (patchs)

Approche basée sur les risques

L'ISO 27001 exige un processus systématique de gestion des risques :

  1. Établissement du contexte : Définir le périmètre, les limites et les parties prenantes

  2. Évaluation des risques : Identifier les actifs, les menaces, les vulnérabilités et calculer les niveaux de risque

  3. Traitement des risques : Sélectionner des contrôles dans l'Annexe A ou d'autres sources pour atténuer les risques

  4. Déclaration d'applicabilité (SoA) : Documenter quels contrôles sont mis en œuvre et pourquoi

  5. Plan de traitement des risques : Définir qui met en œuvre les contrôles, quand et comment

Les organisations n'ont pas besoin de mettre en œuvre les 93 contrôles de l'Annexe A—seulement ceux pertinents pour leur profil de risque. Cependant, elles doivent justifier les exclusions dans la Déclaration d'applicabilité.

La Déclaration d'applicabilité (Statement of Applicability - SoA) est un document critique pour la certification. Elle fait le lien entre votre évaluation des risques et les contrôles choisis, et explique toute exclusion.

Cycle Plan-Do-Check-Act (Planifier-Faire-Vérifier-Agir)

L'ISO 27001 suit un modèle d'amélioration continue :

  • Plan (Planifier) : Établir le périmètre du SGSI, les politiques, les objectifs, l'évaluation des risques

  • Do (Faire) : Mettre en œuvre les contrôles, former le personnel, exécuter le plan de traitement des risques

  • Check (Vérifier) : Surveiller les contrôles, mener des audits internes, examiner les performances

  • Act (Agir) : Traiter les non-conformités, mettre à jour les contrôles, améliorer les processus

Cette approche itérative garantit que le SGSI s'adapte à l'évolution des menaces, aux besoins de l'entreprise et aux paysages technologiques.

Processus de certification

L'obtention de la certification ISO 27001 implique généralement :

  1. Analyse d'écarts (Gap analysis) : Évaluer l'état actuel par rapport aux exigences de l'ISO 27001

  2. Conception du SGSI : Définir le périmètre, établir les politiques, mener l'évaluation des risques

  3. Mise en œuvre : Déployer les contrôles, former le personnel, documenter les processus (3 à 12 mois)

  4. Audit interne : Tester l'efficacité des contrôles et identifier les lacunes

  5. Revue de direction : La direction évalue la performance du SGSI

  6. Audit de l'étape 1 (revue documentaire) : Un auditeur externe examine la documentation du SGSI

  7. Audit de l'étape 2 (revue de mise en œuvre) : Un auditeur externe teste les contrôles sur site

  8. Certification : Certificat délivré pour 3 ans, avec des audits de surveillance annuels

Les audits de renouvellement ont lieu tous les 3 ans.

Exigences communes en matière de documentation

L'ISO 27001 requiert des informations documentées spécifiques :

  • Politiques obligatoires : Politique de sécurité de l'information, méthodologie d'évaluation des risques, plan de traitement des risques

  • Déclaration d'applicabilité (SoA) : Sélection et justification des contrôles

  • Enregistrements de l'évaluation et du traitement des risques

  • Procédures : Réponse aux incidents, contrôle d'accès, gestion des changements, sauvegarde, surveillance

  • Preuves : Journaux d'audit, dossiers de formation, revues de risques, rapports d'incidents, actions correctives

Les organisations produisent généralement entre 20 et 50 politiques et procédures, selon le périmètre et la complexité.

Les auditeurs de certification vérifieront si les contrôles documentés sont réellement mis en œuvre. La documentation seule est insuffisante—vous devez démontrer des preuves opérationnelles.

ISO 27001:2022 vs 2013

L'édition 2022 a introduit des changements importants :

  • Réduction du nombre de contrôles de 114 à 93 (consolidés et modernisés)

  • Réorganisation de 14 domaines en 4 thèmes

  • Ajout de 11 nouveaux contrôles (renseignement sur les menaces, sécurité cloud, masquage des données, filtrage web, codage sécurisé)

  • Alignement sur les conseils de l'ISO 27002:2022

  • Accent renforcé sur la confidentialité, la chaîne d'approvisionnement et les technologies émergentes

Les organisations certifiées ISO 27001:2013 avaient jusqu'en octobre 2025 pour effectuer la transition vers la norme 2022.

Comment ISMS Copilot vous aide

ISMS Copilot offre un soutien complet pour la mise en œuvre et la certification ISO 27001 :

  • Requêtes sur des contrôles spécifiques : Posez des questions sur n'importe quel contrôle de l'Annexe A (ex: « Expliquez l'ISO 27001 A.8.1 dispositifs terminaux des utilisateurs »)

  • Génération de politiques : Créez des politiques prêtes pour l'audit pour n'importe quel contrôle ou exigence

  • Évaluations des risques : Générez des cadres d'évaluation des risques, des inventaires d'actifs et des plans de traitement des risques

  • Analyse d'écarts : Téléchargez vos politiques existantes pour identifier les lacunes de couverture par rapport à l'Annexe A

  • Déclaration d'applicabilité : Élaborez des documents SoA faisant correspondre les contrôles aux risques

  • Génération de preuves : Créez des modèles de procédures, des listes de contrôle et des enregistrements de conformité

  • Préparation à l'audit interne : Développez des listes de contrôle d'audit et des scripts de test

  • Organisation de l'espace de travail : Gérez vos projets de certification séparément de votre travail de sécurité opérationnelle

L'IA a une connaissance directe des 93 contrôles de l'Annexe A et peut référencer les numéros de contrôles spécifiques dans ses réponses.

Essayez de demander : « Génère une politique de contrôle d'accès pour l'ISO 27001 A.5.15 » ou « Crée un modèle d'évaluation des risques aligné sur la Clause 6 »

Pour commencer

Pour débuter la mise en œuvre de l'ISO 27001 avec ISMS Copilot :

  1. Créez un espace de travail dédié à votre projet ISO 27001

  2. Définissez le périmètre et les limites de votre SGSI

  3. Demandez à l'IA de vous aider à créer une politique de sécurité de l'information (niveau supérieur)

  4. Générez un document de méthodologie d'évaluation des risques

  5. Réalisez une analyse d'écarts en téléchargeant vos politiques de sécurité existantes

  6. Créez des politiques pour les contrôles applicables de l'Annexe A basées sur votre évaluation des risques

  7. Documentez votre Déclaration d'applicabilité (SoA)

  8. Générez des procédures pour les contrôles opérationnels (réponse aux incidents, sauvegarde, gestion des accès)

Ressources connexes

  • Norme officielle ISO 27001:2022 (à acheter auprès de l'ISO ou des organismes nationaux de normalisation)

  • Guide de mise en œuvre ISO 27002:2022

  • Guide de gestion des risques ISO 27005

  • Annuaires des organismes de certification (COFRAC, UKAS, ANAB, organismes d'accréditation)

Cela vous a-t-il été utile ?