ISO/IEC 27001

Aperçu

ISO/IEC 27001 est la norme internationale pour les Systèmes de Management de la Sécurité de l’Information (SMSI). Publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), elle fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer en continu la sécurité de l’information au sein d’une organisation.

La norme est certifiable — les organisations peuvent subir des audits par des tiers pour obtenir la certification ISO 27001, largement reconnue comme la référence en matière de gestion de la sécurité de l’information.

Structure principale

ISO 27001 suit le cycle Planifier-Faire-Vérifier-Améliorer (PDCA) et est structuré autour :

  1. Contexte de l’organisation — compréhension des enjeux internes/externes et des besoins des parties prenantes
  2. Direction — engagement de la direction, politique, rôles et responsabilités
  3. Planification — évaluation des risques, traitement des risques, déclaration de Applicabilité
  4. Support — ressources, compétences, sensibilisation, communication, informations documentées
  5. Réalisation — planification et contrôle opérationnels, mise en œuvre du traitement des risques
  6. Évaluation de la performance — surveillance, mesure, audit interne, revue de direction
  7. Amélioration — non-conformité, action corrective, amélioration continue

Contrôles de l’Annexe A

La norme comprend l’Annexe A, un catalogue de 93 contrôles organisés en 4 thèmes (dans la révision 2022) :

  • Contrôles organisationnels (37 contrôles) — politiques, rôles, classification, contrôle d’accès, cryptographie
  • Contrôles liés au personnel (8 contrôles) — sélection, conditions d’emploi, sensibilisation, procédure disciplinaire
  • Contrôles physiques (14 contrôles) — zones sécurisées, équipements, gestion des supports, nettoyage des équipements
  • Contrôles technologiques (34 contrôles) — authentification, journalisation, surveillance, sauvegarde, résilience, tests

Chaque contrôle possède un code (par ex. A.5.1, A.8.9) et un titre descriptif. Les organisations sélectionnent les contrôles applicables en fonction de leur évaluation des risques.

Concepts clés

  • Déclaration d’applicabilité (SoA) — documente quels contrôles de l’Annexe A sont sélectionnés, pourquoi et comment ils sont mis en œuvre
  • Évaluation des risques — processus systématique d’identification, d’analyse et d’évaluation des risques de sécurité de l’information
  • Traitement des risques — sélection et mise en œuvre de contrôles pour modifier les risques
  • Amélioration continue — amélioration ongoing du SMSI par les cycles PDCA

Processus de certification

  1. Mettre en œuvre le SMSI selon la norme
  2. Réaliser un audit interne et une revue de direction
  3. Faire appel à un organisme de certification certifié pour l’Étape 1 (revue de documentation) et l’Étape 2 (audit de mise en œuvre)
  4. Recevoir la certification valide pour 3 ans, avec des audits de surveillance annuels

Relation avec d’autres normes

  • ISO 27002 — Fournit des directives d’implémentation détaillées pour les contrôles de l’Annexe A
  • ISO 27005 — Lignes directrices pour la gestion des risques de sécurité de l’information
  • NIST Cybersecurity Framework — Cadre complémentaire utilisé conjointement avec ISO 27001
  • SOC 2 — Cadre d’audit complémentaire pour les organisations de services

Références