Qu'est-ce qu'une mesure de contrôle dans l'ISO 27001 ?
Aperçu
Une mesure de contrôle dans la norme ISO 27001 est une disposition qui modifie ou réduit le risque lié à la sécurité de l'information. Les mesures de contrôle sont des politiques, procédures, pratiques, structures organisationnelles ou mécanismes techniques qui protègent la confidentialité, l'intégrité et la disponibilité des actifs informationnels.
Ce que cela signifie en pratique
Les mesures de contrôle représentent le « comment » de la sécurité - les actions spécifiques que vous entreprenez pour traiter les risques identifiés. Une fois que l'appréciation des risques a identifié les menaces, les mesures de contrôle sont les contre-mesures que vous mettez en œuvre pour ramener ces risques à des niveaux acceptables.
Exemple concret : Si l'appréciation des risques identifie l'« accès non autorisé à la base de données clients » comme un risque élevé, vous pourriez mettre en œuvre des mesures comprenant : une politique de contrôle d'accès (contrôle organisationnel), une authentification multi-facteurs (contrôle technique) et une formation de sensibilisation à la sécurité (contrôle humain). Ensemble, ces mesures réduisent le risque.
Types de mesures de contrôle
Par fonction
Mesures préventives : Empêchent les incidents de sécurité avant qu'ils ne surviennent (contrôles d'accès, pare-feu, chiffrement)
Mesures de détection : Identifient les incidents de sécurité lorsqu'ils se produisent (surveillance, journalisation, détection d'intrusion)
Mesures correctives : Réduisent l'impact après la survenue d'incidents (restauration de sauvegardes, procédures de réponse aux incidents)
Par nature
Mesures techniques : Mesures basées sur la technologie (chiffrement, authentification, protection contre les logiciels malveillants)
Mesures organisationnelles : Politiques, procédures et pratiques de gestion (gestion des risques, classification des actifs)
Mesures physiques : Protègent l'environnement physique (verrous, surveillance, accès aux installations)
Mesures humaines : Mesures axées sur l'humain (formation, vérification des antécédents, accords de confidentialité)
Par approche de mise en œuvre
Mesures administratives : Règles et procédures documentées
Mesures logiques : Mesures basées sur les logiciels et les systèmes
Mesures physiques : Mesures de protection tangibles
Les mesures de l'Annexe A
L'Annexe A de l'ISO 27001:2022 liste 93 mesures de contrôle spécifiques, organisées en quatre thématiques, parmi lesquelles les organisations peuvent choisir en fonction de leur appréciation des risques :
Mesures organisationnelles (A.5.1-A.5.37) : 37 mesures pour la gouvernance, les politiques, la gestion des actifs, la gestion des fournisseurs, la gestion des incidents
Mesures humaines (A.6.1-A.6.8) : 8 mesures pour le cycle de vie de l'emploi et les risques liés à l'humain
Mesures physiques (A.7.1-A.7.14) : 14 mesures pour la sécurité des installations et la protection des actifs physiques
Mesures technologiques (A.8.1-A.8.34) : 34 mesures pour la sécurité informatique, la gestion des accès et les sauvegardes techniques
Sélection des mesures : Vous n'êtes pas tenu de mettre en œuvre les 93 mesures de l'Annexe A. C'est votre appréciation des risques qui détermine quelles mesures sont nécessaires. Documentez les décisions de sélection des mesures dans votre Déclaration d'Applicabilité.
Objectifs de contrôle vs mesures de contrôle
Objectif de contrôle
Le résultat souhaité ou l'objectif de sécurité (ex. : « empêcher l'accès non autorisé aux données sensibles »).
Mesure de contrôle
La mesure spécifique mettant en œuvre l'objectif (ex. : « authentification multi-facteurs pour tous les utilisateurs accédant à la base de données clients »).
Pourquoi la distinction est importante
L'Annexe A de l'ISO 27001 liste des objectifs de contrôle. La manière dont vous mettez en œuvre chaque mesure dépend de votre contexte organisationnel, de votre technologie et de votre profil de risque. Deux organisations peuvent atteindre le même objectif avec des mises en œuvre différentes.
Mise en œuvre proportionnelle : Une petite startup peut mettre en œuvre la « sensibilisation, éducation et formation à la sécurité » (A.6.3) via des réunions d'équipe mensuelles, tandis qu'une grande entreprise peut utiliser un système de gestion de l'apprentissage avec des cursus basés sur les rôles. Les deux satisfont l'objectif de contrôle s'il est approprié à leur contexte.
Efficacité des mesures de contrôle
Ce qui rend une mesure efficace
Les mesures doivent réellement réduire le risque, et non exister seulement sur le papier. Les mesures efficaces sont :
Mises en œuvre : Réellement déployées et opérationnelles
Appropriées : Adaptées au risque et au contexte organisationnel
Mesurables : Vous pouvez vérifier qu'elles fonctionnent
Cohérentes : Appliquées uniformément dans toute l'organisation
Maintenues : Tenues à jour à mesure que les risques et l'environnement évoluent
Tester l'efficacité des mesures
Examen documentaire : Vérifier que la documentation de la mesure existe et est à jour
Observation : Observer les mesures en fonctionnement
Entretien : Confirmer que le personnel comprend et suit les procédures de contrôle
Tests techniques : Vérifier que les mesures techniques fonctionnent comme configurées
Échantillonnage de preuves : Examiner les enregistrements prouvant le fonctionnement continu de la mesure
Constat d'audit courant : Mesures documentées dans les politiques mais non mises en œuvre ou maintenues. Les auditeurs vérifient que les mesures fonctionnent efficacement, et pas seulement que vous avez une belle documentation.
Mesures de contrôle compensatoires
Quand utiliser des mesures compensatoires
Il arrive qu'on ne puisse pas mettre en œuvre une mesure spécifique en raison de limitations techniques, de contraintes de coût ou de raisons opérationnelles. Les mesures compensatoires sont des mesures alternatives qui permettent d'obtenir la même réduction de risque.
Exigences pour les mesures compensatoires
Offrir une réduction de risque similaire ou supérieure à la mesure d'origine
Répondre au même objectif de contrôle
Être documentées et justifiées dans votre Déclaration d'Applicabilité
Être acceptables pour les auditeurs et les parties prenantes
Exemples
Mesure d'origine : Segmentation réseau pour isoler les systèmes sensibles
Mesure compensatoire : Surveillance renforcée et contrôles d'accès accrus si l'architecture réseau empêche la segmentation
Mesure d'origine : Accès biométrique pour la salle des serveurs
Mesure compensatoire : Accès par badge avec surveillance CCTV et journaux d'accès si la biométrie n'est pas réalisable
Preuves des mesures de contrôle
Ce que recherchent les auditeurs
Pour chaque mesure mise en œuvre, les auditeurs demandent des preuves prouvant :
L'existence : La mesure est établie (documents de politique, configurations système)
Le fonctionnement : La mesure fonctionne régulièrement (journaux, rapports, enregistrements)
L'efficacité : La mesure réduit le risque (métriques, résultats de tests, données d'incidents)
Exemples de preuves par type de mesure
Mesures de politique : Documents de politique approuvés, historique des versions, émargements du personnel
Mesures techniques : Captures d'écran de configuration, journaux système, rapports de scan
Mesures de processus : Listes de contrôle remplies, tickets de flux de travail, rapports d'examen
Mesures de formation : Certificats de réussite, listes de présence, scores aux tests
Stratégie de preuve : Intégrez la collecte de preuves dans le fonctionnement de la mesure dès le départ. Les révisions d'accès trimestrielles génèrent des preuves pour la gestion des accès, les journaux de sauvegarde prouvent le fonctionnement des mesures de sauvegarde, les rapports de formation soutiennent les mesures de sensibilisation.
Cycle de vie d'une mesure de contrôle
1. Sélection (Planification)
Sur la base de l'appréciation des risques, identifiez quelles mesures traitent les risques identifiés. Documentez-les dans la Déclaration d'Applicabilité.
2. Mise en œuvre (Déploiement)
Déployez les mesures sélectionnées avec le périmètre, le calendrier et les ressources appropriés. Créez des politiques, configurez les systèmes, formez le personnel.
3. Fonctionnement (Quotidien)
Exécutez les mesures dans le cadre des activités normales de l'entreprise. Générez des preuves via des journaux, rapports et enregistrements.
4. Surveillance (Continu)
Suivez l'efficacité des mesures avec des métriques, des examens et des tests. Identifiez tôt les défaillances ou les faiblesses.
5. Revue (Périodique)
Évaluez si les mesures restent appropriées à mesure que les risques, la technologie et l'entreprise évoluent. Mettez à jour ou supprimez des mesures si nécessaire.
6. Amélioration (Continue)
Améliorez les mesures en fonction des incidents, des constats d'audit, des nouvelles menaces ou des améliorations technologiques.
Erreurs courantes de mise en œuvre
Mettre en œuvre des mesures sans appréciation des risques
Choisir des mesures basées sur des modèles ou des « bonnes pratiques » plutôt que sur votre appréciation réelle des risques. Cela gaspille des ressources et peut laisser des lacunes.
Sur-documentation, sous-implémentation
Créer des politiques et procédures extensives sans réellement déployer ou exploiter les mesures.
Mentalité du « une fois pour toutes »
Mettre en œuvre des mesures une seule fois pendant la préparation à la certification sans les maintenir ni collecter de preuves continues.
Absence de mesure d'efficacité
Supposer que les mesures fonctionnent sans tester ou mesurer leur impact sur la réduction des risques.
Solutions ponctuelles au lieu de la défense en profondeur
S'appuyer sur des mesures uniques plutôt que sur des défenses multicouches. La défaillance d'une seule mesure ne devrait pas entraîner un compromis total.
Bonne pratique : Implémentez des mesures par couches (défense en profondeur). Par exemple, protégez les données sensibles avec : une politique de classification (organisationnelle), des contrôles d'accès (technique), le chiffrement (technique), la surveillance (détection) et des sauvegardes (corrective). Si une mesure échoue, les autres assurent toujours la protection.
Niveaux de maturité des mesures
Niveau 1 : Initial / Ad hoc
Les mesures existent de manière informelle ou irrégulière. Aucune documentation ni standardisation.
Niveau 2 : Reproductible
Les mesures sont documentées et généralement suivies, mais la mise en œuvre varie selon les départements ou les individus.
Niveau 3 : Défini
Les mesures sont standardisées, documentées et mises en œuvre de manière cohérente dans toute l'organisation.
Niveau 4 : Géré
Les mesures sont mesurées et surveillées. Des métriques suivent l'efficacité et la performance.
Niveau 5 : Optimisé
Les mesures sont continuellement améliorées en fonction des métriques, des incidents et de l'évolution de l'environnement des risques.
La certification ISO 27001 requiert généralement le niveau 3 (défini et cohérent). Les organisations matures visent les niveaux 4-5.
Les mesures dans différents référentiels
Mesures ISO 27001
93 mesures dans l'Annexe A, sélection basée sur les risques, reconnue internationalement.
Cadres NIST
Le NIST CSF utilise cinq fonctions (Identifier, Protéger, Détecter, Répondre, Récupérer). Le NIST 800-53 fournit un catalogue détaillé de contrôles principalement pour les systèmes fédéraux américains.
Critères de service de confiance SOC 2
Critères de sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée avec des exigences de contrôle spécifiques aux organisations de services.
Exigences PCI DSS
12 exigences axées sur la protection des données de cartes de paiement, obligatoires pour les organisations gérant des paiements par carte.
De nombreuses mesures se chevauchent entre les cadres. L'approche par les risques de l'ISO 27001 répond souvent simultanément aux exigences de plusieurs référentiels.
Concepts associés
Mesures de l'Annexe A - Les 93 mesures spécifiques de l'ISO 27001:2022
Appréciation des risques - Processus qui détermine quelles mesures mettre en œuvre
Déclaration d'Applicabilité - Document listant vos sélections de mesures
Traitement des risques - Mise en œuvre des mesures pour traiter les risques
Comment mettre en œuvre les mesures de l'Annexe A de l'ISO 27001 à l'aide de l'IA
Obtenir de l'aide
Utilisez ISMS Copilot pour identifier les mesures appropriées à vos risques, créer la documentation de mise en œuvre et élaborer des stratégies de collecte de preuves pour être prêt pour l'audit.