ISMS Copilot
Glossaire ISO 27001

Que sont les mesures de l'Annexe A dans l'ISO 27001:2022 ?

Aperçu

Les mesures de l'Annexe A sont les 93 mesures de sécurité de l'information énumérées dans l'Annexe A de l'ISO 27001:2022 que les organisations peuvent sélectionner pour traiter les risques de sécurité identifiés. Elles représentent des meilleures pratiques de sécurité reconnues internationalement, organisées en quatre thèmes : organisationnel, personnel, physique et technologique.

Ce que cela signifie concrètement

Considérez l'Annexe A comme un menu complet de mesures de sécurité. Sur la base de votre évaluation des risques, vous sélectionnez les mesures à mettre en œuvre à partir de ce menu. Vous n'êtes pas tenu de mettre en œuvre les 93 mesures : seulement celles qui traitent les risques identifiés dans votre contexte spécifique.

Exemple concret : Si votre évaluation des risques identifie l'utilisation abusive des données par les employés comme un risque, vous pourriez sélectionner A.5.10 (Politique d'utilisation acceptable), A.6.3 (Sensibilisation à la sécurité) et A.8.15 (Journalisation et surveillance). Si vous opérez exclusivement dans le cloud, vous pourriez exclure A.7.1-A.7.14 (Mesures physiques) car elles ne sont pas applicables à votre infrastructure.

Les quatre thèmes de mesures

Mesures organisationnelles (A.5.1 - A.5.37) - 37 mesures

Mesures de niveau direction pour la gouvernance, les politiques, la gestion des risques, la gestion des actifs, la sécurité des fournisseurs, la gestion des incidents, la continuité des activités et la conformité.

Exemples clés :

  • A.5.1 - Politiques de sécurité de l'information

  • A.5.7 - Veille sur les menaces (Threat intelligence)

  • A.5.9 - Inventaire des informations et des actifs

  • A.5.19 - Sécurité de l'information dans les relations avec les fournisseurs

  • A.5.24 - Planification de la gestion des incidents de sécurité de l'information

Mesures relatives aux personnes (A.6.1 - A.6.8) - 8 mesures

Mesures gérant les risques de sécurité liés aux ressources humaines tout au long du cycle d'emploi, du recrutement jusqu'à la fin du contrat.

Exemples clés :

  • A.6.1 - Processus de sélection (vérification des antécédents)

  • A.6.3 - Sensibilisation, éducation et formation à la sécurité de l'information

  • A.6.7 - Télétravail

  • A.6.8 - Signalement des événements de sécurité de l'information

Mesures physiques (A.7.1 - A.7.14) - 14 mesures

Mesures protégeant l'environnement physique où les actifs informationnels sont stockés ou traités.

Exemples clés :

  • A.7.1 - Périmètres de sécurité physique

  • A.7.2 - Contrôles d'accès physique

  • A.7.4 - Surveillance de la sécurité physique

  • A.7.10 - Gestion des supports de stockage

Mesures technologiques (A.8.1 - A.8.34) - 34 mesures

Mesures de sécurité techniques et informatiques, incluant la gestion des accès, la cryptographie, la sécurité des réseaux, le développement sécurisé et la gestion des vulnérabilités.

Exemples clés :

  • A.8.2 - Droits d'accès privilégiés

  • A.8.5 - Authentification sécurisée

  • A.8.8 - Gestion des vulnérabilités techniques

  • A.8.13 - Sauvegarde des informations

  • A.8.16 - Activités de surveillance

Distribution des mesures : La plupart des organisations mettent en œuvre entre 40 et 70 mesures selon leur taille, leur complexité et leur profil de risque. Les petites startups nées dans le cloud peuvent mettre en œuvre moins de mesures physiques, tandis que les entreprises réglementées en déploient généralement plus de 80.

Changements par rapport à l'ISO 27001:2013

Restructuration et consolidation

La version 2022 a réduit les 114 mesures réparties en 14 domaines à 93 mesures réparties en 4 thèmes, rendant le cadre plus propre et plus logique.

11 nouvelles mesures pour les menaces modernes

  • A.5.7 - Veille sur les menaces

  • A.5.23 - Sécurité de l'information pour l'utilisation des services cloud

  • A.8.9 - Gestion des configurations

  • A.8.10 - Suppression des informations

  • A.8.11 - Masquage des données

  • A.8.12 - Prévention des fuites de données

  • A.8.16 - Activités de surveillance

  • A.8.23 - Filtrage web

  • A.8.28 - Codage sécurisé

  • A.7.4 - Surveillance de la sécurité physique

  • A.8.9 - Gestion des configurations

24 mesures fusionnées

Les mesures liées de la version 2013 ont été consolidées pour réduire les doublons. Par exemple, plusieurs exigences de contrôle d'accès ont été combinées en mesures simplifiées.

Note sur la transition : Si vous êtes certifié ISO 27001:2013, vous devez migrer vers la structure de mesures de 2022 d'ici le 31 octobre 2025. Cela nécessite de re-corréler votre Déclaration d'Applicabilité (SoA) à la nouvelle numérotation et de traiter toute nouvelle mesure pertinente pour vos risques.

Comment sélectionner les mesures

Étape 1 : Réaliser l'évaluation des risques

Identifiez les risques de sécurité de l'information auxquels votre organisation est confrontée. Les mesures sont sélectionnées pour traiter ces risques, et non mises en œuvre aveuglément.

Étape 2 : Déterminer l'applicabilité des mesures

Pour chaque risque identifié, examinez l'Annexe A pour trouver les mesures qui réduiraient le risque à un niveau acceptable.

Étape 3 : Considérer les options de traitement du risque

Vous pouvez traiter les risques par :

  • Mise en œuvre de mesures : Appliquer les mesures de l'Annexe A pour réduire le risque.

  • Évitement du risque : Éliminer l'activité risquée.

  • Transfert du risque : Utiliser une assurance ou externaliser à un tiers.

  • Acceptation du risque : Accepter formellement les risques inférieurs à votre seuil de tolérance.

Étape 4 : Documenter dans la Déclaration d'Applicabilité (SoA)

Créez votre SoA listant les 93 mesures avec leur statut d'inclusion/exclusion et les justifications basées sur l'évaluation des risques.

Étape 5 : Mettre en œuvre les mesures sélectionnées

Déployez les mesures incluses avec la portée, le calendrier et les ressources appropriés basés sur la priorité du risque.

Conseil de sélection : Commencez par les mesures fondamentales qui activent les autres : politiques (A.5.1), inventaire des actifs (A.5.9), contrôle d'accès (A.5.15), sauvegarde (A.8.13) et surveillance (A.8.16). Celles-ci créent l'infrastructure supportant les autres mesures.

Guide de mise en œuvre des mesures

La norme compagnon ISO 27002:2022

Alors que l'ISO 27001 liste les objectifs de contrôle, l'ISO 27002 fournit des directives détaillées pour chaque mesure, incluant son but, les conseils de mise en œuvre et des informations connexes.

Attributs de mesures dans l'ISO 27002

La version 2022 a introduit des attributs de mesures pour vous aider à comprendre :

  • Type de mesure : Préventive, détective ou corrective

  • Propriétés de sécurité : Confidentialité, intégrité, disponibilité

  • Concepts de cybersécurité : Identifier, protéger, détecter, répondre, rétablir

  • Capacités opérationnelles : Quelles fonctions de sécurité la mesure soutient

  • Domaines de sécurité : Gouvernance, protection, défense, résilience

Adapter les mesures au contexte

L'ISO 27001 s'attend à ce que les mesures soient mises en œuvre de manière proportionnelle. Le « codage sécurisé » (A.8.28) d'une startup de 10 personnes différera de celui d'une banque, mais les deux peuvent être conformes s'ils sont appropriés à leur risque et contexte.

Exemple de proportionnalité : Pour la mesure A.6.3 (Sensibilisation à la sécurité), une petite organisation pourrait organiser des sessions mensuelles d'information, tandis qu'une grande entreprise pourrait déployer un système de gestion de l'apprentissage avec des cursus par rôle, des simulations de phishing trimestrielles et des programmes de certification. Les deux satisfont à la mesure si c'est adapté à leur taille et risque.

Modèles courants de mise en œuvre

Mesures hautement prioritaires pour la plupart des organisations

Sur la base des profils de risque courants, ces mesures sont typiquement incluses :

  • Organisationnel : A.5.1 (Politiques), A.5.9 (Inventaire), A.5.15 (Accès), A.5.24 (Incidents)

  • Personnes : A.6.3 (Formation), A.6.8 (Signalement d'incidents)

  • Technologique : A.8.2 (Accès privilégié), A.8.5 (Authentification), A.8.8 (Gestion des vulnérabilités), A.8.13 (Sauvegarde), A.8.16 (Surveillance)

Mesures souvent exclues

Selon le contexte, les organisations excluent couramment :

  • Mesures physiques (A.7.x) : Organisations cloud-only sans centres de données physiques.

  • Mesures de développement (A.8.25-A.8.34) : Organisations qui ne développent pas de logiciels.

  • Mesures liées aux fournisseurs (A.5.19-A.5.22) : Organisations ayant des dépendances minimales envers des tiers.

Examen des exclusions : Les auditeurs examinent attentivement les exclusions. Des justifications génériques comme « non applicable » ou « non pertinent » sont insuffisantes. Référez-vous aux résultats spécifiques de l'évaluation des risques ou aux caractéristiques de l'organisation (ex: « Architecture cloud exclusivement validée dans l'ER-2024-001 »).

Plongée dans les mesures organisationnelles (A.5.x)

Politiques de sécurité de l'information (A.5.1 - A.5.4)

  • A.5.1 - Politiques de sécurité de l'information

  • A.5.2 - Rôles et responsabilités en matière de sécurité de l'information

  • A.5.3 - Séparation des tâches

  • A.5.4 - Responsabilités de la direction

Gestion des contacts (A.5.5 - A.5.6)

  • A.5.5 - Relations avec les autorités

  • A.5.6 - Relations avec des groupes de travail spécialisés

Menaces et gestion de projet (A.5.7 - A.5.8)

  • A.5.7 - Veille sur les menaces

  • A.5.8 - Sécurité de l'information dans la gestion de projet

Gestion des actifs (A.5.9 - A.5.14)

  • A.5.9 - Inventaire des informations et des autres actifs associés

  • A.5.10 - Utilisation acceptable des informations et des autres actifs associés

  • A.5.11 - Restitution des actifs

  • A.5.12 - Classification des informations

  • A.5.13 - Étiquetage des informations

  • A.5.14 - Transfert d'informations

Contrôle d'accès (A.5.15 - A.5.18)

  • A.5.15 - Contrôle d'accès

  • A.5.16 - Gestion des identités

  • A.5.17 - Informations d'authentification

  • A.5.18 - Droits d'accès

Relations fournisseurs (A.5.19 - A.5.23)

  • A.5.19 - Sécurité de l'information dans les relations avec les fournisseurs

  • A.5.20 - Traitement de la sécurité de l'information dans les accords fournisseurs

  • A.5.21 - Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC

  • A.5.22 - Surveillance, revue et gestion du changement des services fournisseurs

  • A.5.23 - Sécurité de l'information pour l'utilisation des services cloud (NOUVEAU en 2022)

Gestion des incidents (A.5.24 - A.5.28)

  • A.5.24 - Planification et préparation de la gestion des incidents de sécurité de l'information

  • A.5.25 - Évaluation et décision concernant les événements de sécurité de l'information

  • A.5.26 - Réponse aux incidents de sécurité de l'information

  • A.5.27 - Tirer les enseignements des incidents de sécurité de l'information

  • A.5.28 - Collecte de preuves

Continuité des activités (A.5.29 - A.5.30)

  • A.5.29 - Sécurité de l'information lors d'une interruption

  • A.5.30 - Préparation des TIC pour la continuité des activités

Conformité (A.5.31 - A.5.37)

  • A.5.31 - Exigences légales, statutaires, réglementaires et contractuelles

  • A.5.32 - Droits de propriété intellectuelle

  • A.5.33 - Protection des enregistrements

  • A.5.34 - Confidentialité et protection des PII (Données personnelles)

  • A.5.35 - Revue indépendante de la sécurité de l'information

  • A.5.36 - Conformité aux politiques et normes de sécurité de l'information

  • A.5.37 - Procédures opérationnelles documentées

Exigences de preuves pour les mesures

Ce que les auditeurs vérifient

Pour chaque mesure incluse, les auditeurs demandent la preuve que :

  • La mesure existe : Politiques, procédures ou configurations documentées.

  • La mesure est opérationnelle : Enregistrements, journaux ou documents montrant un fonctionnement continu.

  • La mesure est efficace : Les résultats démontrent une réduction du risque (ex: les scans de vulnérabilité montrent l'efficacité des correctifs).

Exemples de preuves par type de mesure

  • Mesures de politique : Documents de politique approuvés, preuves de prise de connaissance.

  • Mesures de processus : Documents de procédure, listes de contrôle, tickets de flux de travail.

  • Mesures techniques : Captures d'écran de configuration, journaux système, rapports de scan.

  • Mesures de formation : Registres de complétion de formation, scores aux tests, feuilles de présence.

Stratégie de collecte de preuves : N'attendez pas l'audit pour rassembler les preuves. Mettez en œuvre une collecte systématique dans le cadre du fonctionnement de la mesure : les revues d'accès trimestrielles génèrent des preuves pour A.5.18, les rapports de sauvegarde pour A.8.13, les rapports de formation pour A.6.3.

Mesures additionnelles au-delà de l'Annexe A

Quand l'Annexe A ne suffit pas

Si votre évaluation des risques identifie des risques non traités de manière adéquate par les 93 mesures standards, vous pouvez mettre en œuvre des mesures supplémentaires spécifiques à votre contexte.

Documenter les mesures additionnelles

Listez ces mesures supplémentaires dans votre Déclaration d'Applicabilité ou tenez un registre complémentaire. Liez-les clairement aux risques spécifiques qu'elles traitent.

Exemples de mesures supplémentaires

  • Mesures spécifiques au secteur (exigences PCI DSS pour les paiements).

  • Exigences réglementaires (mesures HIPAA pour la santé).

  • Mesures de technologies émergentes (sécurité IA/ML non couverte par la norme).

  • Risques spécifiques à l'organisation (risques opérationnels ou géographiques uniques).

Concepts associés

Obtenir de l'aide

Accélérez la sélection et la mise en œuvre de vos mesures avec ISMS Copilot. Bénéficiez de conseils sur les mesures adaptées à vos risques spécifiques, générez votre documentation et créez des plans de collecte de preuves pour être prêt pour l'audit.

Cela vous a-t-il été utile ?