Implémentation ISO 27001 : Système de Management de la Sécurité de l'Information

ISO 27001 est la norme de gestion de la sécurité de l'information la plus largement reconnue au monde, avec plus de 70 000 organisations certifiées dans le monde. Contrairement aux réglementations prescriptives telles que le RGPD ou la PCI DSS, la norme ISO 27001 fournit un cadre basé sur les risques pour une gestion systématique de la sécurité de l'information, adaptable aux organisations de toute taille, secteur ou zone géographique. Une certification ISO 27001 valide signale aux clients, partenaires, régulateurs et assureurs que votre organisation gère les risques liés à la sécurité des informations grâce à un système de gestion structuré, audité et en amélioration continue.

La version actuelle est l'ISO/IEC 27001:2022, publiée en octobre 2022, qui a remplacé l'ISO/IEC 27001:2013. Les organisations titulaires des certifications 2013 avaient jusqu’au 31 octobre 2025 pour passer à la version 2022. Toutes les nouvelles certifications sont délivrées pour 2022.

Points clés à retenir

• ISO 27001 :2022 réduit les contrôles de l'Annexe A de 114 à 93, réorganisés en quatre thèmes : Organisationnel (37), Personnes (8), Physique (14), Technologique (34)
• Les nouveaux contrôles 2022 incluent : la veille sur les menaces, la préparation aux TIC pour la continuité des activités, la surveillance de la sécurité physique, le codage sécurisé, le filtrage Web, la DLP et le masquage des données.
• Le SMSI (Système de gestion de la sécurité de l'information) doit être défini, documenté, évalué en termes de risques et certifié par un organisme de certification accrédité.
• La certification nécessite : l'étape 1 (examen de la documentation) et l'étape 2 (audit de mise en œuvre) — généralement 3 à 6 mois entre la préparation à la certification
• L'amélioration continue est obligatoire : audits internes trimestriels, revue de direction annuelle, cycle de certification triennal avec audits de surveillance annuels
• La déclaration d'applicabilité (SoA) est le document essentiel reliant vos décisions de traitement des risques aux contrôles de l'annexe A.
• La certification ISO 27001 est de plus en plus requise pour les marchés publics de l'UE, les ventes aux entreprises et la souscription d'assurances.

---

Structure du cadre ISO 27001

ISO 27001:2022 suit la structure de haut niveau (HLS) — le cadre commun partagé par toutes les normes de systèmes de management ISO (ISO 9001, ISO 14001, ISO 22301, etc.). Cela permet des systèmes de gestion intégrés pour les organisations mettant en œuvre simultanément plusieurs normes ISO.

Clauses principales (4 à 10) — exigences obligatoires :

Annexe A — Objectifs de contrôle de référence : 93 contrôles répartis dans quatre thèmes qui représentent les meilleures pratiques de contrôle de sécurité. Le SoA détermine quels contrôles de l’annexe A s’appliquent à la portée de votre SMSI.

---

Étape 1 — Définir la portée du SMSI

Le champ d'application définit les limites de votre SMSI : ce qui est inclus et exclu. Les décisions relatives au champ d'application affectent fondamentalement le coût et la complexité de la certification.

Considérations relatives à la définition de la portée :

• Limites géographiques : bureaux spécifiques, centres de données, travailleurs à distance
• Limites organisationnelles : unités commerciales, départements ou filiales spécifiques
• Actifs informationnels concernés : systèmes spécifiques, ensembles de données, processus
• Interfaces avec des systèmes hors champ et des tiers

Approches de cadrage courantes :

Portée étroite : couvre uniquement les systèmes et processus directement liés à un segment client ou à un produit spécifique. Certification plus rapide et moins chère, mais valeur d'assurance limitée pour les clients.

Large portée : Couvrir l'ensemble de l'organisation. Assurance maximale mais coût de mise en œuvre le plus élevé.

Portée du service hébergé dans le cloud : pour les entreprises SaaS, la portée couvre généralement l'infrastructure cloud, le code d'application et les processus opérationnels prenant en charge le service, en tirant parti des certifications SOC 2/ISO 27001 du fournisseur de cloud pour les contrôles physiques et d'infrastructure.

La portée doit être documentée et incluse dans la documentation de certification. Les auditeurs testeront les contrôles dans les limites du champ d'application et vérifieront les interfaces avec des éléments hors du champ d'application.

---

Étape 2 — Évaluation des risques liés à la sécurité de l'information

L'évaluation des risques (article 6.1.2) constitue le fondement méthodologique de la norme ISO 27001. La norme exige un processus documenté d'évaluation des risques qui :

1. Établit et applique un processus d’évaluation des risques liés à la sécurité de l’information
2. Identifie les risques associés à la perte de confidentialité, d'intégrité et de disponibilité des informations dans le cadre du SMSI
3. Analyse et évalue les risques

Approche d'évaluation des risques basée sur les actifs :

1. Inventaire des actifs : répertoriez tous les actifs informationnels concernés (systèmes, bases de données, documents physiques, personnes, processus, services tiers)
2. Identification des menaces : Pour chaque actif, identifiez les menaces potentielles (attaque externe, menace interne, suppression accidentelle, panne matérielle, catastrophe naturelle, etc.)
3. Identification des vulnérabilités : identifiez les vulnérabilités qui pourraient être exploitées par des menaces (logiciels non corrigés, mots de passe faibles, manque de contrôles d'accès, etc.)
4. Évaluation de l'impact : pour chaque combinaison menace/vulnérabilité, évaluez l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité à l'aide d'une échelle définie (par exemple, 1 à 5).
5. Évaluation de la vraisemblance : évaluez la probabilité que la menace exploite la vulnérabilité à l'aide d'une échelle définie
6. Évaluation du risque : Calculez le risque = Impact × Probabilité. Établir des critères d'acceptation des risques (par exemple, les risques supérieurs à un certain score nécessitent un traitement)

Format du registre des risques :

---

Étape 3 — Plan de traitement des risques et déclaration d'applicabilité

Pour chaque risque supérieur à votre seuil d’acceptation, sélectionnez une option de traitement des risques :

• Atténuer : mettre en œuvre des contrôles de sécurité pour réduire le risque
• Accepter : documenter l'acceptation du risque (généralement pour les risques à faible impact et faible probabilité)
• Transfert : Transfert du risque à un tiers (assurance, externalisation)
• Éviter : interrompre l'activité qui génère le risque

Déclaration d'applicabilité (SoA) : le document central de conformité. Pour chacun des 93 contrôles de l’annexe A, la SoA enregistre :

• Si le contrôle est applicable à votre périmètre
• S'il est actuellement mis en œuvre
• Justification de l'inclusion ou de l'exclusion

La SoA est ce que les auditeurs examinent de plus près. Chaque exclusion doit être justifiée – et justifiée de manière convaincante. Exclusions légitimes courantes : contrôles de sécurité physique pour les organisations uniquement cloud (centres de données gérés par un fournisseur de cloud), contrôles de gestion des fournisseurs s'il n'existe aucune relation significative avec des tiers.

---

Étape 4 — Mettre en œuvre les contrôles de l'annexe A

L'Annexe A de l'ISO 27001 : 2022 organise 93 contrôles en quatre thèmes. Contrôles clés pour les organisations orientées technologie :

Contrôles organisationnels (37 contrôles)

Les contrôles clés comprennent :

• 5.1 Politiques de sécurité des informations : Politique de sécurité documentée, approuvée et communiquée et politiques spécifiques à un sujet
• 5.2 Rôles et responsabilités en matière de sécurité de l'information : Rôle défini du RSSI/responsable de la sécurité ; responsabilités de sécurité documentées
• 5.7 Threat Intelligence (nouveau en 2022) : Collectez et analysez les informations sur les menaces pertinentes pour l'organisation
• 5.9 Inventaire des informations et autres actifs associés : inventaire des actifs tenu à jour avec propriété
• 5.15 Contrôle d'accès : Politique de contrôle d'accès ; moindre privilège; procédures formelles de gestion des accès
• 5.16 Gestion des identités : Gestion complète du cycle de vie des identités (provisionnement, modification, déprovisionnement)
• 5.17 Informations d'authentification : politique et procédures de gestion des mots de passe/identifiants d'authentification
• 5.20 Aborder la sécurité dans les accords avec les fournisseurs : Exigences de sécurité dans les contrats avec les fournisseurs et les partenaires
• 5.23 Sécurité des informations pour l'utilisation des services cloud (nouveau en 2022) : politiques de sécurité cloud, sélection des services cloud, surveillance

Contrôles des personnes (8 contrôles)

• 6.1 Filtrage : Vérification des antécédents avant et pendant l'emploi
• 6.2 Conditions d'emploi : Conditions liées à la sécurité dans les contrats de travail
• 6.3 Sensibilisation, éducation et formation à la sécurité de l'information : programme de formation annuel, formation spécifique au rôle, simulations de phishing
• 6.4 Processus disciplinaire : processus formel en cas de violation de la politique de sécurité
• 6.6 Accords de confidentialité ou de non-divulgation : NDA avec les employés et les sous-traitants

Contrôles physiques (14 contrôles)

• 7.1 Périmètres de sécurité physique : périmètres de sécurité définis ; contrôle d'accès aux zones sécurisées
• 7.4 Surveillance de la sécurité physique (nouveauté 2022) : CCTV, détection d'intrusion, journaux d'accès
• 7.7 Bureau clair et écran clair : Politique et mise en œuvre ; verrouillages d'écran ; bureau propre en fin de journée
• 7.10 Supports de stockage : Gestion des supports amovibles ; élimination sécurisée

Contrôles Technologiques (34 contrôles)

• 8.2 Droits d'accès privilégiés : Gestion des comptes privilégiés ; accès juste à temps ; suivi des sessions privilégiées
• 8.4 Accès au code source : Accès restreint au code source ; exigences de révision du code
• 8.5 Authentification sécurisée : MFA ; protocoles d'authentification sécurisés
• 8.7 Protection contre les logiciels malveillants : Anti-malware sur tous les points finaux ; filtrage du courrier et du Web
• 8.8 Gestion des vulnérabilités techniques : Scan des vulnérabilités ; patcher le SLA ; tests d'intrusion
• 8.9 Gestion de la configuration (nouveau en 2022) : lignes de base de sécurité documentées ; processus de gestion de configuration
• 8.10 Suppression des informations (nouveau en 2022) : suppression sécurisée lorsqu'elle n'est plus nécessaire
• 8.11 Masquage des données (nouveauté 2022) : Masquage des données sensibles dans les environnements hors production
• 8.12 Prévention des fuites de données (nouveau en 2022) : outils DLP pour empêcher l'exfiltration non autorisée de données
• 8.15 Journalisation : journalisation d'audit complète ; protection des journaux ; examen du journal
• 8.16 Activités de surveillance (nouveau en 2022) : Surveillance du réseau et du système ; SIEM
• 8.23 Filtrage Web (nouveau en 2022) : Filtrage de contenu Web pour se protéger contre les contenus malveillants
• 8.25 Cycle de vie de développement sécurisé : politique SDLC sécurisée ; les exigences de sécurité dans le développement ; révision du code ; SAST/DAST
• 8.26 Exigences de sécurité des applications : définition des exigences de sécurité pour les applications nouvelles et améliorées
• 8.27 Architecture de système sécurisée et principes d'ingénierie (nouveau en 2022) : Sécurité dès la conception ; défense en profondeur
• 8.28 Codage sécurisé (nouveau en 2022) : normes de codage sécurisé ; révision du code ; analyse statique
• 8.29 Tests de sécurité en développement et acceptation : Tests de sécurité dans le cadre du SDLC ; tests d'intrusion avant la mise en service
• 8.34 Protection des systèmes d'information pendant les tests d'audit : Coordination des activités d'audit pour minimiser les perturbations

---

Étape 5 — Documentation et enregistrements

La norme ISO 27001 requiert des informations documentées spécifiques (politiques et enregistrements). Ensemble de documentation minimum :

Documents obligatoires :

• Document de portée du SMSI
• Politique de sécurité des informations
• Méthodologie d'évaluation des risques liés à la sécurité de l'information
• Registre des risques et plan de traitement des risques
• Déclaration d'applicabilité
• Programme et rapports d'audit interne
• Dossiers de revue de direction
• Dossiers de formation et de sensibilisation

Règles spécifiques à un sujet recommandées :

• Politique de contrôle d'accès
• Politique d'utilisation acceptable
• Politique de gestion du patrimoine
• Politique de continuité d'activité et DR
• Politique de conduite du changement
• Politique de cryptographie et de gestion des clés
• Politique de réponse aux incidents
• Politique de travail à distance
• Politique de sécurité des fournisseurs
• Politique de gestion des vulnérabilités

---

Étape 6 — Programme d'audit interne

La clause 9.2 exige un programme d'audits internes menés à intervalles planifiés couvrant toutes les exigences du SMSI et les contrôles de l'annexe A. Les auditeurs internes doivent être compétents et objectifs (ils ne doivent pas auditer leur propre travail).

Approche d'audit interne :

• Plan d'audit interne annuel couvrant toutes les clauses du SMSI et tous les contrôles applicables de l'Annexe A sur un cycle défini
• Échantillonnage basé sur les risques : tester plus fréquemment dans les zones à risque élevé
• Collecte de preuves documentaires et enregistrement des non-conformités
• Faire rapport à la direction ; suivre les actions correctives jusqu'à la clôture

Les auditeurs internes doivent être certifiés (auditeur principal ISO 27001 ou formation d’auditeur interne) pour plus de crédibilité. De nombreuses organisations utilisent une approche de deuxième département (audit de sécurité informatique, audit de sécurité informatique) ou font appel à une société externe pour des raisons d'objectivité.

---

Étape 7 — Examen de la direction

La clause 9.3 exige que la haute direction examine le SMSI à intervalles planifiés (généralement une fois par an). La revue de direction doit porter sur :

• État des actions des examens précédents
• Changements dans les questions externes et internes pertinentes pour le SMSI
• Retour d'expérience sur les performances du SMSI (incidents de sécurité, résultats d'audit, monitoring, KPI)
• Commentaires des parties intéressées
• Résultats de l'évaluation des risques et statut du plan de traitement des risques
• Possibilités d'amélioration continue

Résultat de l'examen de direction : Décisions sur les opportunités d'amélioration continue, les changements du SMSI, les besoins en ressources.

---

Processus de certification

Sélectionnez un organisme de certification : doit être accrédité par un organisme d'accréditation national (UKAS au Royaume-Uni, DAkkS en Allemagne, ANAB aux États-Unis, JAS-ANZ en Australie/Nouvelle-Zélande). Vérifiez la reconnaissance de l'IAF pour une acceptation mondiale.

Audit d'étape 1 (examen de la documentation) : l'auditeur examine la documentation de votre SMSI (portée, SoA, évaluation des risques, politiques) pour confirmer que vous êtes prêt à passer à l'étape 2. Généralement 1 à 2 jours. Résultat : liste des constatations/lacunes à combler avant l’étape 2.

Correction des écarts : traiter les résultats de l'étape 1. Peut prendre 4 à 8 semaines en fonction des lacunes identifiées.

Audit d'étape 2 (audit de mise en œuvre) : audit sur site (ou à distance) de la mise en œuvre réelle du SMSI. Les auditeurs testent les contrôles, interrogent le personnel et examinent les dossiers de preuves. Généralement 3 à 10 jours d'audit selon la portée et la taille de l'organisation. Les non-conformités (majeures ou mineures) doivent être traitées.

Décision de certification : L'organisme de certification délivre le certificat ISO 27001:2022, valable 3 ans. Le certificat comprend une déclaration de portée.

Audits de surveillance : Audits de surveillance annuels au cours des années 1 et 2 du cycle de certificat (plus légers que l'audit de certification). L’audit de recertification de l’année 3 couvre l’intégralité du SMSI.

---

Liste de contrôle de mise en œuvre ISO 27001

-[ ] Périmètre du SMSI défini et documenté

• Politique de sécurité de l'information approuvée par la haute direction
• Méthodologie d'évaluation des risques documentée et appliquée
• Registre des risques complet avec évaluations des risques pour tous les risques importants
• Plan de traitement des risques élaboré pour tous les risques inacceptables
• Statement of Applicability completed for all 93 Annex A controls
• Tous les contrôles applicables de l'Annexe A mis en œuvre
• Ensemble de documentation complet (politiques, procédures, enregistrements)
• Programme d'audit interne établi et premier audit réalisé
• Actions correctives depuis l'audit interne suivies jusqu'à la clôture
• Revue de direction complétée avec dossiers
• Formation de sensibilisation à la sécurité du personnel complétée et documentée -[ ] Organisme de certification accrédité sélectionné et audit de phase 1 programmé
• Résultats de l'étape 1 abordés
• Audit de certification étape 2 terminé

---

Questions fréquemment posées

Combien de temps prend la mise en œuvre de la norme ISO 27001 ?

Pour une entreprise technologique de taille moyenne partant d’une base de sécurité raisonnable, la mise en œuvre prend généralement 6 à 12 mois entre le lancement et la certification. Les organisations ayant des pratiques de sécurité matures peuvent obtenir la certification en 4 à 6 mois. Les grandes entreprises avec une portée complexe, plusieurs sites ou une documentation existante étendue peuvent prendre de 12 à 18 mois. Facteurs clés du calendrier : complexité de la portée, maturité de la documentation existante, disponibilité des ressources et planification de l'organisme de certification.

Quelle est la différence entre ISO 27001 et ISO 27002 ?

ISO 27001 est la norme de système de gestion par rapport à laquelle les organisations sont certifiées : elle spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration d'un SMSI. La norme ISO 27002 est un document d'orientation fournissant des conseils sur les meilleures pratiques pour la mise en œuvre de chacun des 93 contrôles de l'Annexe A. L'Annexe A de l'ISO 27001 contient les contrôles (normativement) ; L'ISO 27002 explique comment les mettre en œuvre (à titre informatif). La certification ISO 27001 est requise ; ISO 27002 est le manuel de mise en œuvre. Vous ne pouvez pas être « certifié ISO 27002 » : seule la certification ISO 27001 existe.

Pouvons-nous obtenir la certification ISO 27001 pour une partie seulement de notre organisation ?

Oui — La norme ISO 27001 permet de s'étendre à un service, une ligne de produits, un département ou un emplacement spécifique. Une entreprise SaaS peut étendre sa certification ISO 27001 à sa plate-forme de produits hébergée dans le cloud, à l'exclusion des systèmes RH et financiers de back-office. Le certificat de certification précisera le champ d'application, et les clients et les auditeurs comprendront que les contrôles s'appliquent dans le cadre du champ d'application indiqué. Un champ d'application restreint signifie une certification plus rapide et moins coûteuse, mais offre moins d'assurance aux clients qui souhaitent avoir confiance dans l'ensemble de votre organisation.

En quoi la norme ISO 27001 est-elle différente de SOC 2 ?

Les deux abordent la sécurité de l’information, mais à partir de cadres et de publics différents. ISO 27001 est une norme internationale de système de gestion produisant un certificat de trois ans ; les audits sont menés par des organismes de certification accrédités ; il est largement reconnu dans les achats en Europe, en Asie-Pacifique et au Moyen-Orient. SOC 2 est un cadre d'attestation d'origine américaine produisant un rapport (Type I ou Type II) examiné par les auditeurs du client ; il se concentre sur les critères de service de confiance ; il est principalement demandé par les acheteurs d'entreprises américaines. Les contrôles se chevauchent considérablement. De nombreuses organisations suivent les deux : SOC 2 pour les ventes aux entreprises aux États-Unis, ISO 27001 pour les marchés publics et internationaux.

Quels sont les principaux changements apportés à la norme ISO 27001:2022 par rapport à 2013 ?

Principaux changements : (1) Annexe A restructurée de 14 catégories/114 contrôles à 4 thèmes/93 contrôles ; (2) 11 nouveaux contrôles ajoutés : renseignements sur les menaces, préparation aux TIC pour la continuité des activités, surveillance de la sécurité physique, gestion de la configuration, suppression des informations, masquage des données, prévention des fuites de données, activités de surveillance, filtrage Web, codage sécurisé et sécurité des informations pour les services cloud ; (3) Aucun contrôle n'a été supprimé — les contrôles existants ont été fusionnés et réorganisés ; (4) La clause 6.3 a ajouté « Planification des modifications » pour les modifications gérées du SMSI ; (5) Le libellé est mis à jour pour plus de clarté. La structure fondamentale du système de gestion (articles 4 à 10) reste largement inchangée.

Combien coûte la certification ISO 27001 ?

Les coûts totaux varient considérablement selon la taille et la portée de l'organisation : Frais d'audit de l'organisme de certification : 8 000 $ à 50 000 $+ selon la portée et les jours d'audit ; Conseil (facultatif) : 30 000 à 150 000 $ pour une mise en œuvre assistée ; Temps du personnel interne : plus de 200 à 1 000 heures pour la mise en œuvre et la documentation ; Outillage (plateforme GRC, analyse des vulnérabilités, SIEM) : 10 000 $ à 100 000 $/an ; Audits de surveillance annuels : environ 30 à 50 % du coût de l'étape 2. Les petites organisations avec une portée limitée peuvent obtenir une certification pour un total de 40 000 à 80 000 dollars. Les organisations de taille moyenne investissent généralement entre 100 000 et 300 000 $ dans leur premier cycle de certification.

---

Prochaines étapes

La certification ISO 27001 est un investissement stratégique qui rapporte grâce à une confiance accrue des clients, une accélération des ventes de l'entreprise, une réduction des primes de cyberassurance et une amélioration structurée de la sécurité. Pour les entreprises technologiques, la mise en œuvre de la norme ISO 27001 parallèlement à SOC 2 offre une couverture mondiale complète des exigences de sécurité des acheteurs de l'entreprise.

L'équipe d'ECOSIRE aide les entreprises technologiques à mettre en œuvre des programmes de gestion de la sécurité conformes à la norme ISO 27001, avec une expertise dans la mise en œuvre de contrôles techniques dans les environnements cloud, la sécurité des applications et la fourniture de services gérés.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement. Les exigences de la certification ISO 27001 doivent être confirmées auprès d'un organisme de certification accrédité. Les exigences spécifiques de mise en œuvre varient selon la taille, la portée et le secteur d’activité de l’organisation.