Kecvn : Publication via Quaero Hub

2026-06-05T12:13:36Z

Publication via Quaero Hub

← Version précédente		Version du 5 juin 2026 à 08:13
Ligne 144 :		Ligne 144 :
	* [[SOC (Security Operations Center)]]		* [[SOC (Security Operations Center)]]
	* [[SIEM (informatique)]]		* [[SIEM (informatique)]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-05T09:32:00Z

Publication via Quaero Hub

Nouvelle page

L''''ISO/IEC 27001''' est une norme internationale publiée conjointement par l'[[Organisation internationale de normalisation]] (ISO) et la Commission électrotechnique internationale (IEC), qui définit les exigences relatives à l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un [[Système de management de la sécurité de l'information|système de management de la sécurité de l'information]] (SMSI). Elle constitue le référentiel de certification le plus répandu au monde dans le domaine de la [[Cybersécurité|cybersécurité]] organisationnelle et s'adresse à toute organisation, quelle que soit sa taille, son secteur d'activité ou sa localisation géographique. Selon l'ISO Survey 2022, 70 876 certificats ISO/IEC 27001 étaient actifs dans 150 pays à la fin de l'année 2022, soit une progression de 8 % par rapport à 2021.

== Historique et versions ==

La norme ISO/IEC 27001 trouve son origine dans la norme britannique BS 7799, publiée par le British Standards Institution (BSI) en deux parties : la première en 1995 (code de bonnes pratiques pour la gestion de la sécurité de l'information) et la seconde en 1999 (spécifications pour un système de management). La partie 1 de BS 7799 fut adoptée comme norme internationale sous la référence ISO/IEC 17799:2000, puis renommée [[ISO/IEC 27002]] en 2007 lors de son intégration dans la famille ISO/IEC 27000. La partie 2, consacrée aux systèmes de management, fut directement transposée en ISO/IEC 27001:2005, publiée en octobre 2005 — première édition officielle de la norme.

Une révision majeure, publiée en septembre 2013 (ISO/IEC 27001:2013), aligne la norme sur la structure à haut niveau (High Level Structure, HLS) commune à l'ensemble des normes de systèmes de management ISO, facilitant son intégration avec ISO 9001 (management de la qualité), ISO 14001 (management environnemental) ou ISO 22301 (continuité d'activité). Des amendements techniques mineurs sont intervenus en 2015 et en 2017.

La version en vigueur, ISO/IEC 27001:2022, a été publiée le 25 octobre 2022. Elle restructure l'annexe A en ramenant le nombre de contrôles de 114 (répartis en 14 domaines) à 93 contrôles organisés en 4 thèmes, et introduit 11 nouveaux contrôles reflétant les menaces contemporaines, notamment la sécurité dans les services cloud, la veille sur les menaces (threat intelligence) et la [[Microsegmentation réseau|microsegmentation réseau]]. Les organisations certifiées sur la version 2013 disposaient d'une période de transition de trois ans — jusqu'en octobre 2025 — pour migrer vers la version 2022.

== Structure de la norme ==

=== Les dix clauses de la structure HLS ===

ISO/IEC 27001:2022 est organisée en dix clauses selon la structure HLS. Les clauses 1 à 3 sont introductives ; les clauses 4 à 10 contiennent les exigences auxquelles l'organisation doit se conformer pour obtenir et maintenir la certification.

{| class="wikitable"
! Clause !! Titre !! Objet principal
|-
| 4 || Contexte de l'organisation || Identification des parties prenantes, définition du périmètre du SMSI, contexte interne et externe
|-
| 5 || Leadership || Engagement de la direction, politique de sécurité de l'information, attribution des rôles et responsabilités
|-
| 6 || Planification || Appréciation et traitement des risques, définition des objectifs de sécurité de l'information
|-
| 7 || Support || Ressources, compétences, sensibilisation, communication, maîtrise des informations documentées
|-
| 8 || Réalisation || Mise en œuvre des processus planifiés, exécution des plans de traitement des risques
|-
| 9 || Évaluation des performances || Surveillance, mesure, [[Audit de cybersécurité|audits internes]], revues de direction
|-
| 10 || Amélioration || Traitement des non-conformités, actions correctives, amélioration continue du SMSI
|}

=== Annexe A : contrôles de sécurité ===

L'annexe A liste les 93 contrôles de sécurité que l'organisation peut sélectionner en fonction de son [[Analyse des risques informatiques|analyse des risques]]. Ils sont regroupés en quatre thèmes :

* '''Contrôles organisationnels (37 contrôles)''' : politiques de sécurité, gestion des incidents, relations avec les fournisseurs, conformité légale et réglementaire, [[Plan de continuité d'activité|continuité d'activité]].
* '''Contrôles humains (8 contrôles)''' : présélection des candidats à l'embauche, responsabilités en cours de contrat, sensibilisation, formation, obligations après cessation de contrat.
* '''Contrôles physiques (14 contrôles)''' : périmètres de sécurité physique, protection contre les menaces environnementales, sécurité des équipements, gestion des supports physiques.
* '''Contrôles technologiques (34 contrôles)''' : [[Authentification multifacteur|authentification multifacteur]], [[Chiffrement des données|chiffrement]], [[Pare-feu|pare-feu]], [[Sauvegarde informatique|sauvegardes]], [[SIEM (informatique)|SIEM]], gestion des [[Vulnérabilité informatique|vulnérabilités informatiques]], journalisation.

Parmi les 11 nouveaux contrôles introduits en 2022 figurent : la sécurité des informations dans l'utilisation de services cloud, la préparation aux incidents ICT, la veille sur les menaces (threat intelligence), le masquage des données et le filtrage web.

Chaque contrôle retenu ou écarté doit être justifié dans la '''déclaration d'applicabilité''' (Statement of Applicability, SoA), document central du SMSI qui fait l'objet d'un examen systématique lors des audits de certification.

== Processus de certification ==

=== Phases d'audit ===

La certification ISO/IEC 27001 est délivrée par un organisme de certification accrédité tiers, distinct de l'ISO elle-même. L'audit de certification se déroule en deux phases obligatoires :

* '''Phase 1 — Revue documentaire''' : l'auditeur examine la documentation du SMSI (politique de sécurité, déclaration d'applicabilité, périmètre, résultats de l'appréciation des risques) afin d'évaluer la maturité de l'organisation avant l'audit de terrain.
* '''Phase 2 — Audit de terrain''' : l'auditeur vérifie la mise en œuvre effective et le bon fonctionnement des contrôles. Les '''non-conformités majeures''' (absence d'un processus exigé par la norme) bloquent la délivrance du certificat. Les '''non-conformités mineures''' font l'objet d'un plan d'action avec délai de levée.

Le certificat est valable '''trois ans'''. Des audits de surveillance (au minimum annuels) vérifient le maintien du SMSI entre deux certifications. Un audit de renouvellement complet intervient avant l'expiration du certificat triennal.

=== Organismes certificateurs ===

En France, les organismes accrédités par le Comité français d'accréditation (COFRAC) pour délivrer des certificats ISO/IEC 27001 incluent Bureau Veritas Certification, SGS, LRQA (anciennement Lloyd's Register) et BSI Group France. À l'échelle mondiale, selon l'ISO Survey 2022, le Japon représente à lui seul environ 22 % du total des certificats actifs, suivi par le Royaume-Uni (10 %) et l'Inde (8 %). La France comptait 1 456 certificats actifs en 2022.

== Domaine d'application ==

ISO/IEC 27001 peut s'appliquer à l'ensemble d'une organisation ou à un périmètre délimité : une direction métier, un système d'information particulier, un datacenter, ou un service cloud spécifique. La définition précise de ce périmètre (clause 4.3) constitue un point d'attention majeur lors des audits : un périmètre trop restreint peut laisser des interfaces critiques hors champ, tandis qu'un périmètre trop large alourdit le processus de certification sans valeur ajoutée proportionnelle.

La norme est adoptée dans des secteurs variés : services financiers et bancaires, santé, défense, administration publique, télécommunications, e-commerce et hébergement cloud. Certains donneurs d'ordre, notamment dans les secteurs bancaire et de la défense, imposent contractuellement la certification ISO/IEC 27001 à leurs sous-traitants accédant à des informations sensibles.

== Famille ISO/IEC 27000 ==

ISO/IEC 27001 est la norme centrale d'une famille d'une trentaine de normes complémentaires publiées sous la série ISO/IEC 27000 :

* '''ISO/IEC 27000''' : vocabulaire et vue d'ensemble du SMSI.
* '''[[ISO/IEC 27002]]''' : guide de mise en œuvre pratique des contrôles de l'annexe A (édition 2022 alignée sur la restructuration en 4 thèmes).
* '''[[ISO/IEC 27017]]''' : contrôles supplémentaires pour la [[Sécurité du cloud|sécurité du cloud]], utilisables en extension de 27001 et 27002.
* '''ISO/IEC 27018''' : protection des données à caractère personnel dans les services cloud publics.
* '''ISO/IEC 27005''' : lignes directrices pour la gestion des risques liés à la sécurité de l'information, compatible avec la méthode [[EBIOS Risk Manager]].
* '''ISO/IEC 27701''' : extension pour le management de la protection de la vie privée, articulée avec le RGPD.
* '''ISO/IEC 27035''' : gestion des incidents de sécurité de l'information.

== Relations avec d'autres référentiels ==

=== NIST Cybersecurity Framework ===

Le [[NIST Cybersecurity Framework]] (CSF), publié par le National Institute of Standards and Technology américain, partage avec ISO/IEC 27001 l'approche basée sur les risques. Le CSF 2.0 (publié en 2024) s'organise en six fonctions — Gouverner, Identifier, Protéger, Détecter, Répondre, Récupérer — dont la couverture recoupe largement les clauses 4 à 10 et l'annexe A de la norme ISO. Une table de correspondance officielle publiée par le NIST facilite le mapping entre les deux référentiels ; une organisation certifiée ISO/IEC 27001 couvre généralement 70 à 80 % des contrôles du CSF sans efforts supplémentaires.

=== Directive NIS2 ===

La [[Directive NIS2]], adoptée par l'Union européenne en décembre 2022 et applicable depuis octobre 2024, impose des mesures de gestion des risques cybersécurité aux entités essentielles et importantes dans dix-huit secteurs critiques. La certification ISO/IEC 27001 est reconnue comme un levier de mise en conformité partielle avec NIS2, bien qu'elle ne couvre pas l'intégralité des obligations, notamment les exigences de signalement d'incidents à l'[[ANSSI]] dans un délai de 24 heures pour les incidents significatifs.

=== RGS et contexte français ===

Le [[RGS (Référentiel Général de Sécurité)|Référentiel Général de Sécurité (RGS)]], géré par l'[[ANSSI]] et applicable aux systèmes d'information des autorités administratives françaises, s'appuie sur une démarche d'homologation compatible avec les principes d'ISO/IEC 27001. L'ANSSI pilote également le [[CERT-FR]] et publie des guides d'application pratique de la norme à destination des administrations et des opérateurs d'importance vitale (OIV).

=== PCI DSS ===

Le [[PCI DSS]] (Payment Card Industry Data Security Standard) régit la sécurité des données de cartes bancaires pour l'ensemble des acteurs du paiement électronique. PCI DSS et ISO/IEC 27001 sont complémentaires : PCI DSS impose des contrôles techniques prescriptifs sur un périmètre limité aux données de cartes, tandis qu'ISO/IEC 27001 adopte une approche par les risques sur l'ensemble du périmètre informationnel de l'organisation.

== Mise en œuvre ==

=== Analyse des risques ===

L'[[Analyse des risques informatiques|analyse et le traitement des risques]] constituent le cœur de la démarche ISO/IEC 27001 (clauses 6.1 et 8.2). La norme n'impose pas de méthode spécifique mais exige un processus formalisé comprenant : l'identification des actifs informationnels et de leurs propriétaires, l'identification des menaces — dont les [[Cyberattaque|cyberattaques]], les [[Rançongiciel|rançongiciels]] et les campagnes de [[Hameçonnage|hameçonnage]] — et des [[Vulnérabilité informatique|vulnérabilités]], l'évaluation de la vraisemblance et de l'impact, ainsi que la définition de critères d'acceptation du risque.

La méthode [[EBIOS Risk Manager]], développée par l'ANSSI et révisée en 2018, est fréquemment utilisée dans les contextes français pour répondre à cette exigence. Elle articule cinq ateliers : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, et traitement du risque. La méthode MEHARI, développée par le CLUSIF, constitue une alternative reconnue. Des approches simplifiées basées sur des matrices de vraisemblance/impact sont également admises par les auditeurs.

Le résultat est un '''plan de traitement des risques''' (Risk Treatment Plan, RTP) listant les contrôles à mettre en œuvre, les responsables et les échéances. Quatre options de traitement sont prévues par la norme : modifier le risque (réduire via des contrôles), l'accepter, l'éviter (supprimer l'activité à l'origine du risque) ou le transférer (assurance cyber, sous-traitance).

=== Sensibilisation et formation du personnel ===

La clause 7.3 impose la sensibilisation de l'ensemble du personnel à la politique de sécurité de l'information, aux risques identifiés et aux conséquences des non-conformités. En pratique, cette exigence se traduit par des formations régulières, des campagnes de simulation de [[Hameçonnage|hameçonnage]], et des procédures documentées de gestion et de remontée des incidents. La clause 7.2 exige que les personnes assumant des fonctions liées à la sécurité disposent de compétences attestées, vérifiables lors des audits.

=== Gestion des identités et des accès ===

Les contrôles relatifs à la [[Gestion des identités et des accès]] occupent une place significative dans l'annexe A. L'attribution des droits d'accès doit respecter le principe du moindre privilège, faire l'objet de revues périodiques documentées, et être révoquée promptement lors de départs ou de changements de fonction. L'usage de l'[[Authentification multifacteur|authentification multifacteur]] est explicitement mentionné comme contrôle technologique dans la version 2022 de la norme.

=== Continuité d'activité et reprise après incident ===

Le thème de la continuité figure dans les contrôles organisationnels de l'annexe A. L'organisation doit mettre en place et tester périodiquement des procédures de [[Plan de continuité d'activité|continuité d'activité]] et de [[Plan de reprise d'activité informatique|reprise d'activité informatique]] adaptées aux risques identifiés. Ces procédures doivent faire l'objet d'exercices réguliers, dont les résultats sont documentés et servent à améliorer le dispositif. Le recours à des solutions de [[Sauvegarde informatique|sauvegarde informatique]] robustes et à des architectures de [[Sécurité du cloud|sécurité du cloud]] adaptées s'inscrit dans ce cadre.

== Rôles et compétences associés ==

La mise en œuvre et le maintien d'un SMSI certifié ISO/IEC 27001 impliquent plusieurs acteurs au sein de l'organisation :

* Le [[Responsable de la sécurité des systèmes d'information|responsable de la sécurité des systèmes d'information (RSSI)]] pilote l'analyse des risques, coordonne le plan de traitement, gère la déclaration d'applicabilité et assure le reporting à la direction (clause 5.3).
* L'[[Ingénieur en cybersécurité|ingénieur en cybersécurité]] met en œuvre les contrôles techniques : solutions de [[Chiffrement des données|chiffrement]], de [[Pare-feu|pare-feu]], de détection via un [[SIEM (informatique)|SIEM]] et de supervision au sein d'un [[SOC (Security Operations Center)|SOC]]. Des missions de [[Test d'intrusion|test d'intrusion]] ou d'exercice [[Red team]] sont commanditées dans le cadre des revues d'efficacité des contrôles.
* L'auditeur interne conduit les audits de conformité requis par la clause 9.2, évalue l'efficacité des contrôles et remonte les non-conformités à la direction.

Les certifications personnelles les plus reconnues pour les professionnels travaillant dans l'écosystème ISO/IEC 27001 incluent le [[CISSP|CISSP]] (Certified Information Systems Security Professional), le Lead Implementer ISO/IEC 27001 et le Lead Auditor ISO/IEC 27001, délivrés par des organismes tels que PECB, BSI Group ou LRQA.

== Voir aussi ==

* [[Cybersécurité]]
* [[ANSSI]]
* [[CERT-FR]]
* [[Directive NIS2]]
* [[NIST Cybersecurity Framework]]
* [[RGS (Référentiel Général de Sécurité)]]
* [[PCI DSS]]
* [[ISO/IEC 27017]]
* [[Responsable de la sécurité des systèmes d'information]]
* [[Audit de cybersécurité]]
* [[Test d'intrusion]]
* [[SOC (Security Operations Center)]]
* [[SIEM (informatique)]]

ISO/IEC 27001 - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub