ISMS Copilot
Glossaire ISO 27001

Qu'est-ce que l'ISO 27001:2022 ?

Aperçu

L'ISO 27001:2022 est la norme internationale actuelle qui spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI). Publiée en octobre 2022, elle a remplacé l'ISO 27001:2013 et fournit un cadre reconnu mondialement pour permettre aux organisations de gérer systématiquement les risques liés à la sécurité de l'information.

Ce que cela signifie en pratique

L'ISO 27001:2022 est à la fois un ensemble d'exigences que votre organisation doit respecter et une certification que vous pouvez obtenir auprès d'un auditeur tiers accrédité. Considérez cela comme les « règles du jeu » de la gestion de la sécurité de l'information : elle vous indique ce que vous devez faire, mais vous donne de la flexibilité sur la manière de le faire en fonction de votre contexte.

Valeur de la certification : La certification ISO 27001 démontre aux clients, aux régulateurs et aux partenaires qu'un auditeur indépendant a vérifié que votre organisation suit des pratiques de sécurité reconnues internationalement. Elle est souvent exigée pour les contrats publics et les achats des grandes entreprises.

Changements clés par rapport à l'ISO 27001:2013

Restructuration des contrôles de l'Annexe A

Le changement le plus significatif a été une réorganisation complète des contrôles de sécurité :

  • Version 2013 : 114 contrôles répartis dans 14 domaines

  • Version 2022 : 93 contrôles répartis dans 4 thèmes (Organisationnel, Personnes, Physique, Technologique)

  • Résultat : 11 nouveaux contrôles ajoutés, 24 contrôles fusionnés, structure simplifiée

Nouveaux contrôles traitant des menaces modernes

L'ISO 27001:2022 a introduit des contrôles pour les défis de sécurité actuels :

  • A.5.7 Renseignement sur les menaces (Threat intelligence) - Surveillance et réponse aux menaces émergentes

  • A.5.23 Sécurité du cloud - Gestion de la sécurité de l'information dans les services cloud

  • A.8.9 Gestion de la configuration - Contrôle des configurations de sécurité

  • A.8.10 Suppression d'informations - Procédures d'élimination sécurisée des données

  • A.8.11 Masquage des données - Protection des données sensibles dans les environnements hors production

  • A.8.12 Prévention des fuites de données - Détection et prévention des transferts de données non autorisés

  • A.8.16 Activités de surveillance - Détection des comportements anormaux

  • A.8.23 Filtrage Web - Contrôle de l'accès au Web

  • A.8.28 Codage sécurisé - Intégration de la sécurité dans le développement de logiciels

Alignement avec l'ISO 27002:2022

Les attributs de contrôle de l'ISO 27002:2022 (le guide de mise en œuvre d'accompagnement) incluent désormais des propriétés telles que le type de contrôle, les domaines de sécurité et les capacités opérationnelles, ce qui facilite le mappage des contrôles à des cas d'utilisation spécifiques.

Date limite de transition : La date limite de transition était le 31 octobre 2025. Les organisations devraient désormais être certifiées selon la version 2022. Les certifications délivrées après mai 2024 doivent obligatoirement l'être selon la version 2022.

Structure de l'ISO 27001:2022

Clauses 1 à 3 : Introduction et domaine d'application

Définit l'objectif de la norme, son applicabilité et fait référence à des normes connexes comme l'ISO 27000 pour la terminologie.

Clause 4 : Contexte de l'organisation

Exige de comprendre le contexte de votre organisation, les parties intéressées (parties prenantes) et de déterminer le domaine d'application du SGSI. Vous devez identifier les enjeux internes et externes affectant la sécurité de l'information.

Clause 5 : Leadership

La haute direction doit démontrer son leadership et son engagement en établissant une politique de sécurité, en attribuant les rôles et responsabilités, et en assurant l'intégration du SGSI dans les processus métier.

Clause 6 : Planification

Exige des processus d'appréciation et de traitement des risques, définissant comment vous identifierez les risques, les évaluerez et sélectionnerez des contrôles pour y répondre. Vous devez également établir des objectifs de sécurité de l'information mesurables.

Clause 7 : Support

Couvre les ressources, les compétences, la sensibilisation, la communication et les informations documentées. Vous devez garantir des ressources adéquates, former le personnel, sensibiliser à la sécurité et créer la documentation requise.

Clause 8 : Fonctionnement

Mettre en œuvre et exploiter les processus prévus, y compris l'appréciation des risques, le traitement des risques et les contrôles de sécurité opérationnels.

Clause 9 : Évaluation des performances

Surveiller, mesurer, analyser et évaluer les performances de sécurité par des audits internes et des revues de direction. Suivre si vous atteignez vos objectifs.

Clause 10 : Amélioration

Traiter les non-conformités par des actions correctives et améliorer continuellement l'efficacité du SGSI.

Annexe A : Contrôles de sécurité

Liste 93 contrôles de sécurité répartis en quatre thèmes que les organisations sélectionnent en fonction des résultats de l'appréciation des risques. C'est le « menu » de mise en œuvre pour traiter les risques identifiés.

Les quatre thèmes de contrôles de l'Annexe A

Contrôles organisationnels (37 contrôles, A.5.1-A.5.37)

Gouvernance, politiques, gestion des risques, gestion des actifs, contrôle d'accès, gestion des fournisseurs, gestion des incidents, continuité des activités et conformité. Ce sont des contrôles de niveau managérial définissant le fonctionnement de l'organisation.

Contrôles liés aux personnes (8 contrôles, A.6.1-A.6.8)

Présélection des employés, conditions d'emploi, formation à la sécurité, processus disciplinaires, procédures de fin de contrat, accords de confidentialité (NDA), télétravail et signalement des incidents. Ces contrôles gèrent les risques liés à l'humain.

Contrôles physiques (14 contrôles, A.7.1-A.7.14)

Sécurité des installations, contrôle d'accès physique, protection des équipements, protection environnementale (énergie, climat), sécurité du câblage, élimination sécurisée, politiques de bureau propre, retrait d'actifs, supports de stockage, services généraux, maintenance et surveillance. Ils protègent l'environnement physique.

Contrôles technologiques (34 contrôles, A.8.1-A.8.34)

Sécurité des terminaux, accès privilégié, restriction d'accès aux informations, accès au code source, authentification, gestion de la capacité, protection contre les malwares, journalisation, surveillance, synchronisation de l'horloge, sécurité du réseau, chiffrement, sécurité du développement, gestion du changement, tests, gestion des vulnérabilités, etc. Ce sont des contrôles techniques et informatiques.

Tous les contrôles ne s'appliquent pas : Votre appréciation des risques détermine lesquels des 93 contrôles sont pertinents pour votre organisation. Les petites organisations peuvent mettre en œuvre 40 à 60 contrôles, tandis que les entreprises complexes peuvent avoir besoin des 93. Documentez vos décisions dans la Déclaration d'Applicabilité.

Exigences obligatoires ou facultatives

Exigences obligatoires (Clauses 4-10)

Chaque organisation cherchant la certification doit mettre en œuvre toutes les exigences des clauses 4 à 10. Celles-ci ne sont pas négociables et comprennent :

  • Définir le domaine d'application du SGSI

  • Réaliser des appréciations des risques

  • Créer une Déclaration d'Applicabilité

  • Documenter la politique de sécurité

  • Réaliser des audits internes

  • Tenir des revues de direction

  • Gérer les non-conformités

Sélection des contrôles basée sur le risque (Annexe A)

Les contrôles de l'Annexe A sont sélectionnés en fonction de votre appréciation des risques. Vous pouvez exclure des contrôles s'ils ne sont pas pertinents pour vos risques, mais vous devez justifier les exclusions dans votre Déclaration d'Applicabilité.

Erreur fréquente : Les organisations supposent qu'elles doivent mettre en œuvre les 93 contrôles de l'Annexe A. La norme autorise explicitement les exclusions lorsque les contrôles ne répondent pas aux risques identifiés ou ne sont pas applicables à votre contexte. Cependant, vous ne pouvez pas exclure les exigences obligatoires des clauses 4 à 10.

Fonctionnement de la certification

Étape 1 : Revue de la documentation

L'auditeur examine la documentation de votre SGSI, y compris le domaine d'application, les politiques, l'appréciation des risques, la Déclaration d'Applicabilité et les procédures. Il vérifie que vous avez traité toutes les exigences obligatoires et documenté les contrôles appropriés.

Étape 2 : Vérification de la mise en œuvre

Audit sur site ou à distance où les auditeurs interrogent le personnel, examinent les preuves, testent les contrôles et vérifient que votre SGSI fonctionne comme documenté. Ils échantillonneront tous les thèmes de contrôles et les domaines organisationnels du périmètre.

Décision de certification

S'il n'y a pas de non-conformité majeure, l'organisme de certification délivre un certificat valable trois ans. Les non-conformités mineures doivent être corrigées dans les délais convenus.

Audits de surveillance

Des audits de suivi annuels vérifient la conformité et l'amélioration continue. Ils sont plus courts que l'audit de certification initial mais échantillonnent des domaines différents.

Recertification

Tous les trois ans, un audit complet de recertification similaire à l'étape 2 renouvelle votre certificat pour un nouveau cycle de trois ans.

Maintenance requise : La certification n'est pas un acquis définitif. Vous devez maintenir votre SGSI, traiter les changements de votre organisation ou de vos risques, collecter en continu les preuves de fonctionnement des contrôles et démontrer une amélioration continue. Négliger cela conduit à des non-conformités lors des audits de surveillance.

Qui devrait viser la certification ISO 27001 ?

Secteurs réglementés

Les services financiers, la santé, les télécommunications et les infrastructures critiques font souvent face à des exigences réglementaires que l'ISO 27001 aide à satisfaire (RGPD, NIS2, DORA, PCI DSS).

Prestataires de services B2B

Les entreprises SaaS, les fournisseurs de cloud, les prestataires de services managés et les sous-traitants de processus métier utilisent la certification pour démontrer leur maturité en matière de sécurité aux clients entreprises.

Fournisseurs de l'État

Les marchés publics exigent ou favorisent de plus en plus la certification ISO 27001 comme preuve de capacité en matière de sécurité.

Organisations manipulant des données sensibles

Toute entreprise traitant des données personnelles, de la propriété intellectuelle ou des informations confidentielles bénéficie d'une gestion systématique des risques.

Entreprises cherchant un avantage concurrentiel

Dans les appels d'offres compétitifs, la certification ISO 27001 différencie les fournisseurs et peut être un facteur décisif.

ISO 27001 vs. autres référentiels de sécurité

SOC 2

Le SOC 2 est une attestation nord-américaine axée sur les organisations de services. L'ISO 27001 a une portée plus large et est reconnue mondialement. De nombreuses organisations visent les deux.

NIST Cybersecurity Framework

Le NIST CSF est un guide, pas une norme certifiable. L'ISO 27001 permet la certification. Les référentiels sont compatibles et les organisations font souvent des mappages entre eux.

PCI DSS

Le PCI DSS est spécifique aux données de cartes de paiement. L'ISO 27001 traite de toute la sécurité de l'information. De nombreuses exigences du PCI DSS chevauchent les contrôles de l'ISO 27001.

RGPD

Le RGPD est une exigence légale pour la protection des données. L'ISO 27001 aide à démontrer la conformité au RGPD via les contrôles de sécurité (Article 32) et les mesures de responsabilité.

Synergie des référentiels : L'approche par les risques de l'ISO 27001 vous permet de répondre simultanément à plusieurs exigences de conformité. Les contrôles sélectionnés pour l'ISO 27001 satisfont souvent le RGPD, le SOC 2, le PCI DSS et d'autres cadres. Utilisez ISMS Copilot pour mapper les contrôles entre les référentiels.

Bénéfices de l'adoption de l'ISO 27001:2022

Réduction des incidents de sécurité

L'identification systématique des risques et la mise en œuvre de contrôles réduisent de manière mesurable la probabilité et l'impact des violations.

Conformité réglementaire

De nombreux contrôles ISO 27001 répondent directement au RGPD, à NIS2, à DORA et aux réglementations sectorielles, réduisant ainsi la charge de conformité.

Confiance des clients

Une certification indépendante apporte une assurance aux clients, en particulier lors des phases d'achat et de négociation de contrats.

Efficacité opérationnelle

Des processus documentés, des responsabilités claires et une amélioration systématique réduisent les erreurs et les retouches.

Assurance et responsabilité

Certains assureurs cyber proposent de meilleures conditions aux organisations certifiées, reconnaissant ainsi la réduction du risque.

Résilience de l'entreprise

Les contrôles de réponse aux incidents et de continuité des activités assurent une récupération plus rapide après des événements de sécurité ou des perturbations.

Délais de mise en œuvre et coûts

Calendrier type de mise en œuvre

  • Petite organisation (10-50 employés) : 6 à 9 mois

  • Organisation moyenne (50-250 employés) : 9 à 12 mois

  • Grande organisation (250+ employés) : 12 à 18 mois

Facteurs de coûts

  • Ressources internes : Chef de projet, équipe SGSI, experts métier

  • Soutien externe : Consultants (10 k€ à 100 k€+ selon le périmètre et la taille de l'organisation)

  • Outils : Plateformes GRC, outils de sécurité, systèmes de documentation

  • Audit de certification : 5 k€ à 50 k€+ pour les audits d'étape 1 et 2

  • Surveillance annuelle : 2 k€ à 15 k€+ par an

  • Mise en œuvre des contrôles : Variable selon la maturité de sécurité existante et les contrôles requis

Stratégies de réduction des coûts : Utilisez des outils d'IA comme ISMS Copilot pour accélérer la documentation, l'appréciation des risques et l'analyse d'écarts. Tirez parti des investissements de sécurité existants et alignez-vous avec d'autres efforts de conformité. Envisagez une mise en œuvre progressive en commençant par les zones à plus haut risque.

Défis courants de mise en œuvre

Définition du domaine d'application

Les organisations ont souvent du mal à définir un périmètre de SGSI approprié : trop étroit, il occulte des risques ; trop large, il devient ingérable. Le domaine d'application doit couvrir les actifs informationnels critiques et les interfaces avec les tiers.

Méthodologie d'appréciation des risques

Développer une approche d'appréciation des risques qui soit à la fois conforme et pratique nécessite un équilibre entre rigueur et pragmatisme. Des méthodologies trop complexes freinent la mise en œuvre.

Collecte de preuves

Les auditeurs ont besoin de preuves que les contrôles fonctionnent efficacement. Les organisations mettent souvent en œuvre des contrôles mais omettent de collecter systématiquement les preuves de leur fonctionnement.

Maintien de la dynamique

La mise en œuvre d'un SGSI nécessite un effort soutenu sur plusieurs mois. L'enthousiasme initial s'essouffle sans un soutien visible de la direction et des victoires rapides.

Facteur de réussite : Traitez l'ISO 27001 comme une initiative d'amélioration de l'entreprise, pas comme un simple projet de conformité. Liez-le aux objectifs commerciaux comme l'acquisition de clients, l'efficacité opérationnelle et la réduction des risques. Célébrez les étapes franchies et communiquez largement sur les progrès.

Concepts associés

  • Système de Management de la Sécurité de l'Information (SMSI / ISMS) - Le système défini par l'ISO 27001

  • Contrôles de l'Annexe A - Les 93 contrôles de sécurité de l'ISO 27001:2022

  • Déclaration d'Applicabilité - Document listant les contrôles que vous mettez en œuvre

  • Appréciation des risques - Processus d'identification des risques de sécurité

  • Comment débuter la mise en œuvre de l'ISO 27001 avec l'IA

Obtenir de l'aide

Prêt à mettre en œuvre l'ISO 27001:2022 ? Utilisez ISMS Copilot pour accélérer votre mise en œuvre grâce à des appréciations de risques assistées par IA, la génération de politiques et des analyses d'écarts adaptées à la version 2022.

Cela vous a-t-il été utile ?