AI Act

Démêler la jungle ISO : 27001, 27002, 27005, 31000, 42001

Les normes ISO peuvent sembler former une jungle impénétrable : 27001, 27002, 27005, 31000, 42001… Voici la carte claire et sans détour dont les professionnels GRC ont réellement besoin.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
Mapping the ISO Jungle: 27001, 27002, 27005, 31000, 42001

La plupart des organisations n'échouent pas sur les projets ISO à cause des contrôles ou de la documentation. Elles échouent parce qu'elles ne comprennent pas la relation entre les normes.

ISO 27001, 27002, 27005, 31000 et désormais 42001 semblent toutes liées ; mais chacune joue un rôle différent. Confondez-les, et votre gouvernance s'effondre. Cartographiez-les correctement, et tout devient simple.

Voici la cartographie précise et éprouvée sur le terrain de la jungle ISO.

Les normes ISO ne sont pas des livres concurrents. Elles forment un système de gouvernance, chacune couvrant une couche différente :

  • 27001 → les exigences
  • 27002 → le guide de mise en œuvre
  • 27005 → la méthodologie de gestion des risques
  • 31000 → la philosophie du risque d'entreprise
  • 42001 → les exigences de gouvernance de l'IA

Une fois cette hiérarchie comprise, ISO cesse d'être de la paperasse et devient un plan directeur pour la sécurité, la gestion des risques et la gouvernance de l'IA.

1. ISO 27001 ; Les exigences fondamentales (le « Quoi »)

ISO 27001 est votre ancre. Elle définit ce que votre Système de Management de la Sécurité de l'Information (SMSI) doit atteindre.

Elle fournit :

  • Les chapitres (4 à 10) = exigences de gouvernance
  • L'Annexe A = référentiel de contrôles
  • Les critères de certification
  • La structure obligatoire du système de management

Ce qu'elle ne vous donne PAS :

  • Comment mettre en œuvre les contrôles
  • Le niveau de profondeur requis pour chaque contrôle
  • Une méthodologie de gestion des risques
  • Des recommandations techniques

C'est pourquoi d'autres normes existent autour d'elle.

Considérez 27001 comme le squelette.

2. ISO 27002 ; Le manuel de mise en œuvre (le « Comment »)

ISO 27002 n'est pas une norme de certification. C'est le guide détaillé des contrôles qui vient en appui de l'Annexe A de la 27001.

Chaque contrôle de 27001 → expliqué dans 27002.

Ce que 27002 vous apporte :

  • Les objectifs des contrôles
  • Des recommandations de mise en œuvre
  • Des attentes en matière de maturité
  • Des exemples
  • L'alignement avec d'autres référentiels (NIST, CIS, cloud, SaaS)

Ce que 27002 ne vous donne PAS :

  • Les exigences de gouvernance
  • La méthodologie de gestion des risques
  • Les critères de conformité

27002 est votre boîte à outils.27001 est votre règlement.

3. ISO 27005 ; Le moteur des risques (le « Comment penser le risque »)

ISO 27001 vous impose de réaliser des évaluations des risques ; mais elle ne vous dit pas comment.

ISO 27005 comble ce vide.

27005 vous fournit :

  • Une méthodologie complète de gestion des risques
  • Les étapes d'identification des risques
  • Des modèles d'impact et de vraisemblance
  • Les options de traitement
  • La surveillance continue des risques
  • L'alignement avec les chapitres 6 et 8 de la 27001

Pourquoi c'est important en pratique :

Si votre évaluation des risques est insuffisante, l'ensemble de votre SMSI s'effondre en audit.

27005 = le cerveau du SMSI.

4. ISO 31000 ; La philosophie de gouvernance des risques (le « Pourquoi »)

ISO 31000 n'est pas spécifique à la cybersécurité. C'est la norme mondiale pour le management des risques d'entreprise.

Les organisations utilisent 31000 pour :

  • aligner le risque cyber avec le risque d'entreprise
  • construire une taxonomie des risques cohérente
  • standardiser la gouvernance
  • définir l'appétence et la tolérance au risque
  • relier le risque métier → le risque TIC → le risque opérationnel

En termes simples :

27005 = méthode de gestion des risques opérationnels 31000 = culture du risque d'entreprise

27005 est votre méthode. 31000 est votre état d'esprit.

5. ISO 42001 ; Le nouveau système de gouvernance de l'IA (le « SMSI de l'IA »)

ISO 42001 est la première norme mondiale de système de management de l'IA. Elle fonctionne comme ISO 27001, mais pour la gouvernance de l'IA.

Ce qu'introduit 42001 :

  • Des méthodes d'évaluation des risques liés à l'IA
  • La gouvernance des données et la qualité des jeux de données
  • Les contrôles du cycle de vie des modèles
  • Les exigences de supervision humaine
  • La surveillance des biais et de la dérive
  • La gouvernance des fournisseurs d'IA
  • La gestion des incidents liés aux défaillances de l'IA
  • La documentation pour l'explicabilité
  • L'alignement avec l'AI Act de l'UE

42001 est le pont entre le GRC et le développement de l'IA.

Comment 42001 s'intègre dans la jungle ISO :

  • 27001 → sécurité de l'information
  • 42001 → gouvernance de l'intelligence

Ensemble : l'organisation devient sécurisée, résiliente ET responsable de son IA.

6. La vraie cartographie : comment chaque norme interagit

Voici le modèle mental utilisé par les meilleurs responsables GRC :

Couche 1 ; Cadre de gouvernance

ISO 27001 → Sécurité de l'information ISO 42001 → Gouvernance de l'IA

Ces normes définissent les exigences et constituent la colonne vertébrale certifiable.

Couche 2 ; Recommandations de mise en œuvre

ISO 27002 → Comment mettre en œuvre les contrôles de l'Annexe A (sécurité) Annexes ISO 42001 → Comment opérer la gouvernance de l'IA

Ce sont les manuels.

Couche 3 ; Méthodologie de gestion des risques

ISO 27005 → Méthode de gestion des risques opérationnels pour la sécurité ISO 31000 → Principes de gestion des risques à l'échelle de l'entreprise

Ce sont les moteurs de risque.

Couche 4 ; Contrôles, preuves et assurance

Toutes les normes alimentent :

  • les politiques
  • les procédures
  • les preuves
  • les registres des risques
  • les pistes d'audit
  • la surveillance continue

C'est le système opérationnel.

7. Les enseignements pratiques : ce que vous devez réellement appliquer

Voici comment les équipes GRC doivent utiliser les normes dans la réalité :

  • Utilisez 27001 comme plan directeur de gouvernance
  • Utilisez 27002 pour définir vos contrôles
  • Utilisez 27005 pour conduire vos évaluations des risques
  • Utilisez 31000 pour aligner le risque cyber avec le risque d'entreprise
  • Utilisez 42001 pour vous préparer aux obligations de l'AI Act

Cela vous donne un modèle de gouvernance unifié qui fonctionne pour les audits ISO, NIS2, DORA, GDPR et l'AI Act.

Conclusion

La jungle ISO semble complexe jusqu'à ce que vous compreniez une vérité :

27001 et 42001 vous disent quoi construire.27002 et 27005 vous disent comment le construire.31000 vous dit pourquoi c'est important.

Maîtrisez cette cartographie, et ISO cesse d'être un labyrinthe ; elle devient un moteur de gouvernance qui évolue avec votre activité, vos risques et vos ambitions en matière d'IA.

Si vous souhaitez maîtriser ISO 27001, 27002, 27005, 31000 et 42001, et construire un système de gouvernance unifié prêt pour NIS2, DORA, GDPR et l'AI Act, c'est exactement ce que nous enseignons dans les programmes de certification PECB de Cyber Academy.

← Retour à tous les articlesPlus sur AI Act

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.

S'abonner à la newsletterBack to articles