« ISO/IEC 27001 » : différence entre les versions

L'ISO/IEC 27001 est une norme internationale publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), qui définit les exigences relatives à l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de management de la sécurité de l'information (SMSI). Elle constitue le référentiel de certification le plus répandu au monde dans le domaine de la cybersécurité organisationnelle et s'adresse à toute organisation, quelle que soit sa taille, son secteur d'activité ou sa localisation géographique. Selon l'ISO Survey 2022, 70 876 certificats ISO/IEC 27001 étaient actifs dans 150 pays à la fin de l'année 2022, soit une progression de 8 % par rapport à 2021.

La norme ISO/IEC 27001 trouve son origine dans la norme britannique BS 7799, publiée par le British Standards Institution (BSI) en deux parties : la première en 1995 (code de bonnes pratiques pour la gestion de la sécurité de l'information) et la seconde en 1999 (spécifications pour un système de management). La partie 1 de BS 7799 fut adoptée comme norme internationale sous la référence ISO/IEC 17799:2000, puis renommée ISO/IEC 27002 en 2007 lors de son intégration dans la famille ISO/IEC 27000. La partie 2, consacrée aux systèmes de management, fut directement transposée en ISO/IEC 27001:2005, publiée en octobre 2005 — première édition officielle de la norme.

Une révision majeure, publiée en septembre 2013 (ISO/IEC 27001:2013), aligne la norme sur la structure à haut niveau (High Level Structure, HLS) commune à l'ensemble des normes de systèmes de management ISO, facilitant son intégration avec ISO 9001 (management de la qualité), ISO 14001 (management environnemental) ou ISO 22301 (continuité d'activité). Des amendements techniques mineurs sont intervenus en 2015 et en 2017.

La version en vigueur, ISO/IEC 27001:2022, a été publiée le 25 octobre 2022. Elle restructure l'annexe A en ramenant le nombre de contrôles de 114 (répartis en 14 domaines) à 93 contrôles organisés en 4 thèmes, et introduit 11 nouveaux contrôles reflétant les menaces contemporaines, notamment la sécurité dans les services cloud, la veille sur les menaces (threat intelligence) et la microsegmentation réseau. Les organisations certifiées sur la version 2013 disposaient d'une période de transition de trois ans — jusqu'en octobre 2025 — pour migrer vers la version 2022.

ISO/IEC 27001:2022 est organisée en dix clauses selon la structure HLS. Les clauses 1 à 3 sont introductives ; les clauses 4 à 10 contiennent les exigences auxquelles l'organisation doit se conformer pour obtenir et maintenir la certification.

Clause	Titre	Objet principal
4	Contexte de l'organisation	Identification des parties prenantes, définition du périmètre du SMSI, contexte interne et externe
5	Leadership	Engagement de la direction, politique de sécurité de l'information, attribution des rôles et responsabilités
6	Planification	Appréciation et traitement des risques, définition des objectifs de sécurité de l'information
7	Support	Ressources, compétences, sensibilisation, communication, maîtrise des informations documentées
8	Réalisation	Mise en œuvre des processus planifiés, exécution des plans de traitement des risques
9	Évaluation des performances	Surveillance, mesure, audits internes, revues de direction
10	Amélioration	Traitement des non-conformités, actions correctives, amélioration continue du SMSI

L'annexe A liste les 93 contrôles de sécurité que l'organisation peut sélectionner en fonction de son analyse des risques. Ils sont regroupés en quatre thèmes :

• Contrôles organisationnels (37 contrôles) : politiques de sécurité, gestion des incidents, relations avec les fournisseurs, conformité légale et réglementaire, continuité d'activité.
• Contrôles humains (8 contrôles) : présélection des candidats à l'embauche, responsabilités en cours de contrat, sensibilisation, formation, obligations après cessation de contrat.
• Contrôles physiques (14 contrôles) : périmètres de sécurité physique, protection contre les menaces environnementales, sécurité des équipements, gestion des supports physiques.
• Contrôles technologiques (34 contrôles) : authentification multifacteur, chiffrement, pare-feu, sauvegardes, SIEM, gestion des vulnérabilités informatiques, journalisation.

Parmi les 11 nouveaux contrôles introduits en 2022 figurent : la sécurité des informations dans l'utilisation de services cloud, la préparation aux incidents ICT, la veille sur les menaces (threat intelligence), le masquage des données et le filtrage web.

Chaque contrôle retenu ou écarté doit être justifié dans la déclaration d'applicabilité (Statement of Applicability, SoA), document central du SMSI qui fait l'objet d'un examen systématique lors des audits de certification.

La certification ISO/IEC 27001 est délivrée par un organisme de certification accrédité tiers, distinct de l'ISO elle-même. L'audit de certification se déroule en deux phases obligatoires :

• Phase 1 — Revue documentaire : l'auditeur examine la documentation du SMSI (politique de sécurité, déclaration d'applicabilité, périmètre, résultats de l'appréciation des risques) afin d'évaluer la maturité de l'organisation avant l'audit de terrain.
• Phase 2 — Audit de terrain : l'auditeur vérifie la mise en œuvre effective et le bon fonctionnement des contrôles. Les non-conformités majeures (absence d'un processus exigé par la norme) bloquent la délivrance du certificat. Les non-conformités mineures font l'objet d'un plan d'action avec délai de levée.

Le certificat est valable trois ans. Des audits de surveillance (au minimum annuels) vérifient le maintien du SMSI entre deux certifications. Un audit de renouvellement complet intervient avant l'expiration du certificat triennal.

En France, les organismes accrédités par le Comité français d'accréditation (COFRAC) pour délivrer des certificats ISO/IEC 27001 incluent Bureau Veritas Certification, SGS, LRQA (anciennement Lloyd's Register) et BSI Group France. À l'échelle mondiale, selon l'ISO Survey 2022, le Japon représente à lui seul environ 22 % du total des certificats actifs, suivi par le Royaume-Uni (10 %) et l'Inde (8 %). La France comptait 1 456 certificats actifs en 2022.

ISO/IEC 27001 peut s'appliquer à l'ensemble d'une organisation ou à un périmètre délimité : une direction métier, un système d'information particulier, un datacenter, ou un service cloud spécifique. La définition précise de ce périmètre (clause 4.3) constitue un point d'attention majeur lors des audits : un périmètre trop restreint peut laisser des interfaces critiques hors champ, tandis qu'un périmètre trop large alourdit le processus de certification sans valeur ajoutée proportionnelle.

La norme est adoptée dans des secteurs variés : services financiers et bancaires, santé, défense, administration publique, télécommunications, e-commerce et hébergement cloud. Certains donneurs d'ordre, notamment dans les secteurs bancaire et de la défense, imposent contractuellement la certification ISO/IEC 27001 à leurs sous-traitants accédant à des informations sensibles.

ISO/IEC 27001 est la norme centrale d'une famille d'une trentaine de normes complémentaires publiées sous la série ISO/IEC 27000 :

• ISO/IEC 27000 : vocabulaire et vue d'ensemble du SMSI.
• ISO/IEC 27002 : guide de mise en œuvre pratique des contrôles de l'annexe A (édition 2022 alignée sur la restructuration en 4 thèmes).
• ISO/IEC 27017 : contrôles supplémentaires pour la sécurité du cloud, utilisables en extension de 27001 et 27002.
• ISO/IEC 27018 : protection des données à caractère personnel dans les services cloud publics.
• ISO/IEC 27005 : lignes directrices pour la gestion des risques liés à la sécurité de l'information, compatible avec la méthode EBIOS Risk Manager.
• ISO/IEC 27701 : extension pour le management de la protection de la vie privée, articulée avec le RGPD.
• ISO/IEC 27035 : gestion des incidents de sécurité de l'information.

Le NIST Cybersecurity Framework (CSF), publié par le National Institute of Standards and Technology américain, partage avec ISO/IEC 27001 l'approche basée sur les risques. Le CSF 2.0 (publié en 2024) s'organise en six fonctions — Gouverner, Identifier, Protéger, Détecter, Répondre, Récupérer — dont la couverture recoupe largement les clauses 4 à 10 et l'annexe A de la norme ISO. Une table de correspondance officielle publiée par le NIST facilite le mapping entre les deux référentiels ; une organisation certifiée ISO/IEC 27001 couvre généralement 70 à 80 % des contrôles du CSF sans efforts supplémentaires.

La Directive NIS2, adoptée par l'Union européenne en décembre 2022 et applicable depuis octobre 2024, impose des mesures de gestion des risques cybersécurité aux entités essentielles et importantes dans dix-huit secteurs critiques. La certification ISO/IEC 27001 est reconnue comme un levier de mise en conformité partielle avec NIS2, bien qu'elle ne couvre pas l'intégralité des obligations, notamment les exigences de signalement d'incidents à l'ANSSI dans un délai de 24 heures pour les incidents significatifs.

Le Référentiel Général de Sécurité (RGS), géré par l'ANSSI et applicable aux systèmes d'information des autorités administratives françaises, s'appuie sur une démarche d'homologation compatible avec les principes d'ISO/IEC 27001. L'ANSSI pilote également le CERT-FR et publie des guides d'application pratique de la norme à destination des administrations et des opérateurs d'importance vitale (OIV).

Le PCI DSS (Payment Card Industry Data Security Standard) régit la sécurité des données de cartes bancaires pour l'ensemble des acteurs du paiement électronique. PCI DSS et ISO/IEC 27001 sont complémentaires : PCI DSS impose des contrôles techniques prescriptifs sur un périmètre limité aux données de cartes, tandis qu'ISO/IEC 27001 adopte une approche par les risques sur l'ensemble du périmètre informationnel de l'organisation.

L'analyse et le traitement des risques constituent le cœur de la démarche ISO/IEC 27001 (clauses 6.1 et 8.2). La norme n'impose pas de méthode spécifique mais exige un processus formalisé comprenant : l'identification des actifs informationnels et de leurs propriétaires, l'identification des menaces — dont les cyberattaques, les rançongiciels et les campagnes de hameçonnage — et des vulnérabilités, l'évaluation de la vraisemblance et de l'impact, ainsi que la définition de critères d'acceptation du risque.

La méthode EBIOS Risk Manager, développée par l'ANSSI et révisée en 2018, est fréquemment utilisée dans les contextes français pour répondre à cette exigence. Elle articule cinq ateliers : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, et traitement du risque. La méthode MEHARI, développée par le CLUSIF, constitue une alternative reconnue. Des approches simplifiées basées sur des matrices de vraisemblance/impact sont également admises par les auditeurs.

Le résultat est un plan de traitement des risques (Risk Treatment Plan, RTP) listant les contrôles à mettre en œuvre, les responsables et les échéances. Quatre options de traitement sont prévues par la norme : modifier le risque (réduire via des contrôles), l'accepter, l'éviter (supprimer l'activité à l'origine du risque) ou le transférer (assurance cyber, sous-traitance).

La clause 7.3 impose la sensibilisation de l'ensemble du personnel à la politique de sécurité de l'information, aux risques identifiés et aux conséquences des non-conformités. En pratique, cette exigence se traduit par des formations régulières, des campagnes de simulation de hameçonnage, et des procédures documentées de gestion et de remontée des incidents. La clause 7.2 exige que les personnes assumant des fonctions liées à la sécurité disposent de compétences attestées, vérifiables lors des audits.

Les contrôles relatifs à la Gestion des identités et des accès occupent une place significative dans l'annexe A. L'attribution des droits d'accès doit respecter le principe du moindre privilège, faire l'objet de revues périodiques documentées, et être révoquée promptement lors de départs ou de changements de fonction. L'usage de l'authentification multifacteur est explicitement mentionné comme contrôle technologique dans la version 2022 de la norme.

Le thème de la continuité figure dans les contrôles organisationnels de l'annexe A. L'organisation doit mettre en place et tester périodiquement des procédures de continuité d'activité et de reprise d'activité informatique adaptées aux risques identifiés. Ces procédures doivent faire l'objet d'exercices réguliers, dont les résultats sont documentés et servent à améliorer le dispositif. Le recours à des solutions de sauvegarde informatique robustes et à des architectures de sécurité du cloud adaptées s'inscrit dans ce cadre.

La mise en œuvre et le maintien d'un SMSI certifié ISO/IEC 27001 impliquent plusieurs acteurs au sein de l'organisation :

• Le responsable de la sécurité des systèmes d'information (RSSI) pilote l'analyse des risques, coordonne le plan de traitement, gère la déclaration d'applicabilité et assure le reporting à la direction (clause 5.3).
• L'ingénieur en cybersécurité met en œuvre les contrôles techniques : solutions de chiffrement, de pare-feu, de détection via un SIEM et de supervision au sein d'un SOC. Des missions de test d'intrusion ou d'exercice Red team sont commanditées dans le cadre des revues d'efficacité des contrôles.
• L'auditeur interne conduit les audits de conformité requis par la clause 9.2, évalue l'efficacité des contrôles et remonte les non-conformités à la direction.

Les certifications personnelles les plus reconnues pour les professionnels travaillant dans l'écosystème ISO/IEC 27001 incluent le CISSP (Certified Information Systems Security Professional), le Lead Implementer ISO/IEC 27001 et le Lead Auditor ISO/IEC 27001, délivrés par des organismes tels que PECB, BSI Group ou LRQA.

• Cybersécurité
• ANSSI
• CERT-FR
• Directive NIS2
• NIST Cybersecurity Framework
• RGS (Référentiel Général de Sécurité)
• PCI DSS
• ISO/IEC 27017
• Responsable de la sécurité des systèmes d'information
• Audit de cybersécurité
• Test d'intrusion
• SOC (Security Operations Center)
• SIEM (informatique)