ISO/IEC 27001.

ISO 27001 est le référentiel certifiable que les auditeurs utilisent pour évaluer votre sécurité de l'information. La révision 2022 a resserré l'annexe A à 93 mesures réparties en quatre thèmes (organisationnel, personnes, physique, technologique). Votre SMSI repose entièrement sur la Déclaration d'Applicabilité et les preuves de fonctionnement. Tout le monde s'y réfère ; peu le pilotent vraiment.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

La vision de Cyber Academy

ISO 27001 est le référentiel certifiable que les auditeurs utilisent pour évaluer votre sécurité de l'information. La révision 2022 a resserré l'annexe A à 93 mesures réparties en quatre thèmes (organisationnel, personnes, physique, technologique). Votre SMSI repose entièrement sur la Déclaration d'Applicabilité et les preuves de fonctionnement. Tout le monde s'y réfère ; peu le pilotent vraiment.

Ce que certifie réellement l'ISO/IEC 27001

L'ISO/IEC 27001 est la norme internationale qui spécifie les exigences relatives à un système de management de la sécurité de l'information, ou SMSI. Le certificat ne dit pas que vos systèmes sont inviolables. Il dit qu'un organisme accrédité a examiné la manière dont vous identifiez les risques liés à l'information, décidez de la conduite à tenir et maintenez cette décision sous la supervision de la direction. La norme repose sur le cycle Plan-Do-Check-Act ; la certification n'est donc jamais un évènement ponctuel : vous vous engagez dans un rythme récurrent d'appréciation des risques, de traitement, d'audit interne, de revue de direction et d'action corrective.

Une confusion fréquente consiste à considérer les mesures de l'Annexe A comme la norme elle-même. Elles ne le sont pas. Les exigences certifiables figurent dans les articles numérotés du système de management (contexte, leadership, planification, support, fonctionnement, évaluation des performances, amélioration). L'Annexe A est un ensemble de référence de mesures parmi lesquelles vous opérez une sélection. Vous pouvez réussir un audit sans mettre en œuvre chaque mesure, à condition que votre Déclaration d'applicabilité justifie ce que vous avez exclu et que vos preuves étayent ce que vous avez retenu.

La révision de 2022 et les thèmes de mesures

La révision de 2022 a réorganisé l'Annexe A en quatre thèmes plutôt qu'en quatorze domaines comme auparavant. Les thèmes regroupent les mesures selon le type d'élément protégé ou gouverné :

  • Les mesures organisationnelles couvrent les politiques, les relations avec les fournisseurs, le renseignement sur les menaces et la sécurité de l'information dans la gestion de projet.
  • Les mesures liées aux personnes couvrent la vérification, les conditions d'emploi, la sensibilisation et le processus disciplinaire.
  • Les mesures physiques couvrent les zones sécurisées, les équipements, le bureau dégagé et la mise au rebut des supports.
  • Les mesures technologiques couvrent la gestion des accès, la cryptographie, la journalisation, le développement sécurisé et la gestion des configurations.

Si vous étiez certifié selon la version antérieure, le travail de transition est essentiellement un exercice de réalignement : recartographier votre Déclaration d'applicabilité par rapport au nouvel ensemble de mesures, confirmer que rien n'est passé à travers les lacunes créées par des mesures fusionnées ou nouvellement introduites, et mettre à jour les références aux preuves. Les articles du système de management ont bien moins changé que l'annexe.

Comment elle se situe par rapport à ses voisines

L'ISO 27001 est l'ancre certifiable d'une famille. L'ISO 27002 fournit des recommandations de mise en œuvre pour les mêmes mesures de l'Annexe A mais n'est pas certifiable en elle-même ; les auditeurs s'y réfèrent lorsqu'ils veulent challenger la qualité de fonctionnement d'une mesure, et pas seulement son existence. L'ISO 27005 fournit une méthode pour l'appréciation des risques de sécurité de l'information que l'article 6 exige mais laisse délibérément ouverte. Le SMSI est la machine en marche que la norme certifie, et la SoA en est l'artefact maîtrisé central.

Du côté des personnes, le travail se répartit en deux disciplines complémentaires. Les implémenteurs construisent et font fonctionner le système de management. Les auditeurs planifient et dirigent les audits qui le mettent à l'épreuve, en s'appuyant sur les recommandations d'audit de l'ISO 19011. La plupart des fonctions de sécurité matures ont besoin des deux états d'esprit, même lorsqu'une seule personne porte les deux casquettes au début.

Ce que font réellement les praticiens

Bien faire fonctionner l'ISO 27001, plutôt que de simplement décrocher le certificat, ressemble en pratique à ceci :

  1. Définir le périmètre honnêtement. Un périmètre trop large vous ensevelit sous les preuves ; un périmètre trop étroit ne trompe personne et discrédite le certificat.
  2. Mener une véritable appréciation des risques et un plan de traitement, et les tenir à jour à mesure que l'activité et le paysage des menaces évoluent.
  3. Maintenir la Déclaration d'applicabilité comme un document vivant rattaché à des preuves réelles, et non comme un tableur rempli une seule fois pour l'auditeur.
  4. Réaliser les audits internes et les revues de direction selon le calendrier prévu, et clôturer les actions correctives avec des preuves plutôt qu'avec des promesses.
  5. Traiter les audits de surveillance et le cycle de recertification comme une continuité, et non comme des exercices d'alerte distincts.

Frequently asked questions

01L'ISO 27001 est-elle une obligation légale ?

Non. L'ISO 27001 est une norme volontaire, pas une loi. Les organisations l'adoptent parce que des clients, des régulateurs ou des contrats exigent une assurance de sécurité démontrable, et un certificat délivré par un tiers est le moyen le plus propre de la fournir.

02Quelle est la différence entre l'ISO 27001 et l'ISO 27002 ?

L'ISO 27001 est la norme certifiable comportant les exigences du système de management et les mesures de référence de l'Annexe A. L'ISO 27002 est une recommandation de mise en œuvre pour ces mesures et ne peut pas être certifiée en elle-même. Vous vous faites certifier par rapport à l'ISO 27001 et vous vous appuyez sur l'ISO 27002 pour le détail opérationnel.

03Dois-je mettre en œuvre toutes les mesures de l'Annexe A ?

Non. Vous sélectionnez les mesures sur la base de votre appréciation des risques et vous documentez la justification dans la Déclaration d'applicabilité, y compris celles que vous excluez. L'auditeur vérifie que votre sélection est justifiée et que les mesures que vous avez retenues fonctionnent véritablement.

04Combien de temps la certification reste-t-elle valable ?

Un certificat suit un cycle pluriannuel avec des audits de surveillance réguliers entre-temps, suivis d'un audit complet de recertification. Le calendrier exact est fixé par votre organisme de certification, mais le principe est continu : vous maintenez le SMSI en permanence, et pas seulement au moment de l'audit.

05La certification signifie-t-elle que nous ne pouvons pas être compromis ?

Non. La certification confirme que vous faites fonctionner un système de management fondé sur les risques et que vous opérez les mesures que vous avez sélectionnées. Elle réduit et gère le risque ; elle ne l'élimine pas. La réponse aux incidents et l'amélioration continue font partie de la norme précisément parce que les compromissions restent possibles.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.