ISMS Copilot
Référentiels pris en charge

ISO 27001 Gestion de la sécurité de l'information

L'ISO 27001 est la norme internationale pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Elle offre une approche systématique pour gérer les informations sensibles, couvrant les personnes, les processus et la technologie. La certification ISO 27001 démontre aux clients, aux régulateurs et aux partenaires que votre organisation a mis en œuvre des contrôles complets pour protéger la confidentialité, l'intégrité et la disponibilité des données.

L'ISO 27001 est mondialement reconnue et s'applique à toute organisation, quels que soient sa taille ou son secteur d'activité. Elle est souvent exigée par les grandes entreprises clientes, les contrats gouvernementaux et les secteurs réglementés.

Qui a besoin de l'ISO 27001 ?

L'ISO 27001 est pertinente pour les organisations de tous les secteurs :

  • Entreprises technologiques : fournisseurs SaaS, infrastructures cloud, éditeurs de logiciels, fournisseurs de services managés

  • Services financiers : banques, processeurs de paiement, plateformes fintech, compagnies d'assurance

  • Santé : systèmes de dossiers de santé informatisés, plateformes de télémédecine, fabricants de dispositifs médicaux

  • Services professionnels : cabinets de conseil, cabinets d'avocats, cabinets comptables gérant des données clients confidentielles

  • Fournisseurs gouvernementaux : organisations soumissionnant à des marchés publics exigeant une certification en sécurité de l'information

  • Partenaires de la chaîne d'approvisionnement : fournisseurs soutenant des clients de type grandes entreprises ou des infrastructures critiques

Bien qu'elle ne soit pas légalement obligatoire dans la plupart des juridictions, l'ISO 27001 est une exigence de facto pour faire des affaires avec des clients soucieux de la sécurité, particulièrement en Europe.

Structure de l'ISO 27001

La norme est divisée en deux parties :

Clauses principales (4 à 10) : exigences pour établir, mettre en œuvre, maintenir et améliorer un SMSI

  • Clause 4 : Contexte de l'organisation (périmètre, parties intéressées, exigences légales)

  • Clause 5 : Leadership (engagement de la direction, rôles, politique)

  • Clause 6 : Planification (évaluation des risques, traitement des risques, objectifs)

  • Clause 7 : Support (ressources, compétences, sensibilisation, communication, documentation)

  • Clause 8 : Fonctionnement (mise en œuvre des plans de traitement des risques, contrôles)

  • Clause 9 : Évaluation des performances (surveillance, audit interne, revue de direction)

  • Clause 10 : Amélioration (gestion des non-conformités, actions correctives, amélioration continue)

Annexe A : 93 mesures de sécurité organisées en 4 thèmes et 14 catégories

Les organisations sélectionnent les mesures applicables de l'Annexe A en fonction de leur évaluation des risques et documentent les justifications des exclusions dans une Déclaration d'Applicabilité (SoA).

Thèmes des mesures de l'Annexe A

Les 93 mesures (version ISO 27001:2022) sont regroupées en :

Mesures organisationnelles (37 mesures) :

  • Politiques, rôles et responsabilités, séparation des tâches

  • Gestion des actifs, utilisation acceptable, restitution des actifs

  • Sécurité des ressources humaines (vérifications d'antécédents, formation à la sécurité, processus disciplinaire)

  • Relations avec les fournisseurs (évaluations de sécurité des fournisseurs, contrats, surveillance)

  • Conformité (exigences légales, confidentialité, propriété intellectuelle, audits)

Mesures relatives aux personnes (8 mesures) :

  • Sélection, conditions d'emploi, sensibilisation à la sécurité

  • Processus disciplinaire, responsabilités après la fin du contrat

  • Travail à distance et sécurité des appareils mobiles

Mesures physiques (14 mesures) :

  • Périmètres de sécurité physique, contrôles d'accès physiques, sécurisation des bureaux et des installations

  • Sécurité des équipements (emplacement, protection, maintenance, mise au rebut)

  • Protection des bureaux et des écrans (politique du bureau propre)

Mesures technologiques (34 mesures) :

  • Contrôle d'accès (enregistrement des utilisateurs, gestion des mots de passe, revue des droits d'accès)

  • Cryptographie (politiques de chiffrement, gestion des clés)

  • Sécurité du réseau (segmentation, détection d'intrusion, règles de pare-feu)

  • Sécurité du système (durcissement, gestion des correctifs, journalisation, surveillance)

  • Sécurité des applications (développement sécurisé, tests, gestion des changements)

  • Sauvegarde, continuité d'activité, reprise après sinistre

  • Gestion des incidents (détection, réponse, expertise forensique, leçons apprises)

Toutes les mesures ne s'appliquent pas à chaque organisation. Une startup SaaS peut exclure les contrôles de périmètre physique si elle utilise des centres de données en colocation, mais elle doit justifier cette exclusion.

La révision 2022 de l'ISO 27001 a réduit les mesures de 114 à 93 et les a réorganisées en 4 thèmes. Si vous étiez certifié selon la version 2013, vous devrez effectuer la transition vers la structure 2022 d'ici octobre 2025.

Évaluation et traitement des risques

L'ISO 27001 exige un processus de gestion des risques structuré :

  1. Identifier les actifs : données, systèmes, personnel, installations, réputation

  2. Identifier les menaces et vulnérabilités : cyberattaques, menaces internes, catastrophes naturelles, erreur humaine, défaillances de tiers

  3. Évaluer la probabilité et l'impact : quantifier ou qualifier les niveaux de risque

  4. Déterminer l'appétence au risque : définir quel niveau de risque est acceptable

  5. Sélectionner le traitement des risques : atténuer (appliquer des contrôles), accepter (documenter la justification), transférer (assurance, externalisation) ou éviter (interrompre les activités à risque)

  6. Documenter dans le Plan de traitement des risques : lister les mesures choisies, les responsabilités, les échéances, les ressources

L'évaluation des risques détermine quelles mesures de l'Annexe A vous mettez en œuvre. Les risques prioritaires nécessitent des contrôles plus stricts ; les risques de faible priorité peuvent être acceptés ou traités par des mesures plus légères.

Déclaration d'Applicabilité (SoA)

La SoA est un document critique qui fait le lien entre votre évaluation des risques et les mesures de l'Annexe A :

  • Lister l'ensemble des 93 mesures de l'Annexe A

  • Pour chaque mesure, indiquer : Applicable ou Non Applicable

  • Si applicable : décrire comment la mesure est mise en œuvre, référencer les politiques/procédures

  • Si non applicable : justifier l'exclusion sur la base de l'évaluation des risques

Les auditeurs examinent de près la SoA pour vérifier que les mesures sont appropriées et que les exclusions sont justifiées. Des justifications insuffisantes (ex: "non pertinent" sans explication) déclencheront des non-conformités.

Exclure des mesures sans justification appropriée est une cause courante d'échec à l'audit. Documentez pourquoi chaque exclusion est acceptable selon le contexte, les actifs et le profil de risque de votre organisation.

Processus de certification

L'obtention de la certification ISO 27001 suit généralement ce calendrier :

  1. Analyse d'écart (1-2 mois) : évaluer la posture de sécurité actuelle par rapport aux exigences ISO 27001

  2. Conception du SMSI (2-4 mois) : définir le périmètre, réaliser l'évaluation des risques, créer la SoA, rédiger les politiques

  3. Mise en œuvre (4-12 mois) : déployer les contrôles, former le personnel, documenter les procédures, collecter les preuves

  4. Audit interne (1 mois) : tester l'efficacité du SMSI, identifier les non-conformités, y remédier

  5. Revue de direction : la direction évalue les performances du SMSI et les opportunités d'amélioration

  6. Audit de l'Étape 1 (revue documentaire) : un auditeur externe examine la documentation du SMSI, identifie les lacunes

  7. Actions correctives : traiter les conclusions de l'Étape 1 avant l'Étape 2

  8. Audit de l'Étape 2 (audit de mise en œuvre) : l'auditeur externe teste les contrôles, interroge le personnel, examine les preuves

  9. Certification : certificat délivré pour 3 ans avec des audits de surveillance annuels

Une première certification peut prendre 6 à 18 mois selon la taille et la maturité de l'organisation.

Surveillance et recertification

La certification ISO 27001 est valable 3 ans, avec des obligations continues :

  • Audits de surveillance annuels : l'auditeur externe teste un sous-ensemble de contrôles chaque année pour garantir la conformité continue

  • Audits internes : à réaliser au moins une fois par an pour détecter les problèmes avant les audits externes

  • Revue de direction : la direction examine les performances du SMSI au moins une fois par an

  • Amélioration continue : traiter les non-conformités, mettre à jour les évaluations des risques, s'adapter aux nouvelles menaces

  • Audit de recertification (année 3) : audit complet pour renouveler le certificat pour 3 années supplémentaires

L'échec à un audit de surveillance peut entraîner la suspension ou le retrait du certificat, d'où l'importance d'un suivi continu.

Documentation clé

L'ISO 27001 exige des informations documentées, notamment :

  • Périmètre du SMSI : limites du SMSI (quels départements, sites, systèmes sont couverts)

  • Politique de sécurité de l'information : engagement de haut niveau signé par la direction

  • Méthodologie d'évaluation des risques : comment vous identifiez et évaluez les risques

  • Résultats de l'évaluation des risques : inventaire des actifs, analyse des menaces/vulnérabilités, scores de risque

  • Plan de traitement des risques : contrôles sélectionnés, responsables, échéances

  • Déclaration d'Applicabilité : les 93 mesures de l'Annexe A avec détails sur l'applicabilité et la mise en œuvre

  • Politiques et procédures de support : politique de contrôle d'accès, politique d'utilisation acceptable, plan de réponse aux incidents, politique de sauvegarde, gestion des changements, etc.

  • Preuves du fonctionnement des contrôles : journaux (logs), pistes d'audit, comptes-rendus de formation, revues d'accès, rapports d'incidents, enregistrements de gestion des correctifs

  • Rapports d'audit interne : constatations, non-conformités, actions correctives

  • Comptes-rendus de revue de direction : décisions de la direction, points d'action

Choisir un organisme de certification

Sélectionnez un organisme de certification (OC) accrédité ayant de l'expérience avec l'ISO 27001 :

  • Vérifiez l'accréditation par un organisme reconnu (Cofrac, UKAS, ANAB, DAkkS, etc.)

  • Vérifiez que le domaine d'activité de l'OC inclut votre secteur et votre géographie

  • Demandez des références d'organisations de taille similaire

  • Comparez les tarifs (les coûts de certification varient généralement de 15 000 $ à plus de 100 000 $ selon le périmètre et la taille de l'organisation)

  • Évaluez l'expertise des auditeurs (profondeur technique, connaissance du secteur)

Les organismes de certification courants incluent BSI, SGS, TÜV, DNV, Bureau Veritas et A-LIGN.

ISO 27001 vs SOC 2

Les organisations comparent souvent l'ISO 27001 et le SOC 2 :

Aspect

ISO 27001

SOC 2

Géographie

International (norme ISO)

Principalement USA (norme AICPA)

Applicabilité

Toute organisation

Fournisseurs de services uniquement

Résultat

Certificat public

Rapport d'audit confidentiel

Contrôles

Prescriptif (93 mesures Annexe A)

Flexible (déterminé par l'auditeur)

Coût

15 000 $ - 100 000 $ + / an

20 000 $ - 75 000 $ + / an

Échéancier

6-12 mois

9-18 mois (Type II)

Beaucoup d'organisations poursuivent les deux : l'ISO 27001 pour les clients européens et la crédibilité publique, et le SOC 2 pour les clients américains et les évaluations de fournisseurs SaaS.

Comment ISMS Copilot vous aide

ISMS Copilot est conçu spécifiquement pour la conformité ISO 27001 :

  • Génération de politiques : créez des politiques alignées sur l'ISO 27001 (sécurité de l'information, contrôle d'accès, réponse aux incidents, utilisation acceptable, sauvegarde, gestion des changements)

  • Évaluation des risques : élaborez des cadres d'évaluation des risques, des inventaires d'actifs, des matrices de menaces/vulnérabilités

  • Analyse d'écart : téléchargez vos politiques existantes pour identifier les lacunes par rapport aux exigences ISO 27001

  • Déclaration d'Applicabilité : générez des modèles de SoA incluant les 93 mesures de l'Annexe A

  • Aide à la mise en œuvre des contrôles : posez des questions sur des mesures spécifiques (ex: "Comment mettre en œuvre A.8.1 Appareils terminaux utilisateur ?")

  • Modèles de documentation : guides de réponse aux incidents, listes de contrôle pour les revues d'accès, guides de collecte de preuves d'audit

  • Préparation à l'audit : générez des plans d'audit interne, des rapports d'actions correctives

La base de connaissances d'ISMS Copilot est issue d'une réelle expérience de conseil en ISO 27001, il comprend donc les attentes des auditeurs et les pièges courants.

Essayez de demander : "Génère une politique de sécurité de l'information ISO 27001" ou "Quelles preuves me faut-il pour le contrôle A.5.23 (sécurité de l'information pour les services cloud) ?"

Démarrage

Pour vous préparer à l'ISO 27001 avec ISMS Copilot :

  1. Créez un espace de travail dédié pour votre projet ISO 27001

  2. Définissez le périmètre de votre SMSI (quelles parties de l'organisation seront certifiées)

  3. Réalisez une analyse d'écart pour évaluer la maturité actuelle

  4. Utilisez l'IA pour générer les politiques de base (sécurité de l'information, utilisation acceptable, contrôle d'accès, réponse aux incidents, sauvegarde)

  5. Réalisez une évaluation des risques (identifier les actifs, menaces, vulnérabilités, impacts)

  6. Créez une Déclaration d'Applicabilité basée sur votre évaluation des risques

  7. Développez les procédures et les preuves pour les contrôles prioritaires

  8. Réalisez un audit interne pour tester l'efficacité du SMSI avant de faire appel à un organisme de certification

Ressources associées

  • Norme officielle ISO 27001:2022 (à acheter auprès de l'ISO ou des organismes nationaux)

  • ISO 27002:2022 (recommandations de mise en œuvre pour les mesures de l'Annexe A)

  • Annuaires des organismes de certification (Cofrac, UKAS, ANAB, IAF pour les auditeurs accrédités)

  • Guide de transition ISO 27001 (version 2013 vers 2022)

Cela vous a-t-il été utile ?