Skip to main content

Norme ISO 27001:2022

Mémo Cyber-Secu Norme Iso
Table of Contents

La norme ISO/IEC 27001:2022 est la norme internationale la plus reconnue pour les systèmes de management de la sécurité de l’information (SMSI). Elle fournit un cadre pour aider les organisations de toutes tailles et de tous secteurs à protéger leurs informations de manière systématique.

Structure de la Norme ISO 27001:2022
#

La norme ISO 27001:2022 est structurée en clauses principales (4 à 10) qui définissent les exigences pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un SMSI, et une annexe (Annexe A) qui contient un ensemble de contrôles de sécurité de l’information.

Clauses Principales (4 à 10)
#

Ces clauses sont obligatoires pour la certification et décrivent le “quoi” et le “comment” de la mise en œuvre d’un SMSI.

Clause 4: Contexte de l’Organisation
#

Importance: Comprendre le contexte interne et externe de l’organisation, les parties intéressées et leurs exigences, ainsi que la portée du SMSI, est fondamental pour s’assurer que le SMSI est pertinent et efficace.

Exemples d’actions:

  • Analyse du contexte: Réaliser une analyse SWOT (Forces, Faiblesses, Opportunités, Menaces) et PESTLE (Politique, Économique, Sociologique, Technologique, Légale, Environnementale) pour identifier les enjeux internes et externes pertinents pour la sécurité de l’information.
  • Identification des parties intéressées: Lister toutes les parties prenantes (clients, employés, fournisseurs, régulateurs, etc.) et leurs exigences en matière de sécurité de l’information.
  • Définition du périmètre du SMSI: Définir clairement les limites et l’applicabilité du SMSI, y compris les fonctions, les unités organisationnelles, les emplacements physiques et les technologies incluses.

Clause 5: Leadership
#

Importance: L’engagement et le soutien de la direction sont cruciaux pour le succès du SMSI. Le leadership doit démontrer son engagement en établissant la politique de sécurité de l’information, en attribuant les rôles et responsabilités, et en fournissant les ressources nécessaires.

Exemples d’actions:

  • Établissement de la politique de sécurité de l’information: La direction doit approuver et communiquer une politique de sécurité de l’information qui est appropriée à l’objectif de l’organisation.
  • Attribution des rôles et responsabilités: Définir clairement les rôles, responsabilités et autorités pour la sécurité de l’information au sein de l’organisation.
  • Intégration du SMSI: S’assurer que les exigences du SMSI sont intégrées dans les processus métier de l’organisation.

Clause 6: Planification
#

Importance: Cette clause exige que l’organisation planifie les actions pour adresser les risques et opportunités liés à la sécurité de l’information, et pour atteindre les objectifs de sécurité de l’information.

Exemples d’actions:

  • Évaluation des risques de sécurité de l’information: Identifier, analyser et évaluer les risques pour la sécurité de l’information. Cela inclut l’identification des actifs, des menaces et des vulnérabilités.
  • Traitement des risques de sécurité de l’information: Sélectionner les contrôles appropriés de l’Annexe A (ou d’autres sources) pour réduire les risques à un niveau acceptable. Développer un plan de traitement des risques.
  • Définition des objectifs de sécurité de l’information: Établir des objectifs mesurables pour la sécurité de l’information et planifier comment les atteindre.

Clause 7: Support
#

Importance: Cette clause traite des ressources nécessaires pour le SMSI, y compris les personnes, les infrastructures, l’environnement, la surveillance, les ressources de mesure, les connaissances organisationnelles, la compétence, la sensibilisation, la communication et les informations documentées.

Exemples d’actions:

  • Allocation des ressources: Assurer la disponibilité des ressources nécessaires (humaines, financières, technologiques) pour le fonctionnement et l’amélioration du SMSI.
  • Compétence et sensibilisation: S’assurer que le personnel a les compétences nécessaires et est sensibilisé à l’importance de la sécurité de l’information et à son rôle dans le SMSI.
  • Communication: Établir des processus de communication interne et externe pertinents pour le SMSI.
  • Informations documentées: Maintenir et contrôler les documents et enregistrements requis par la norme et par le SMSI lui-même.

Clause 8: Fonctionnement
#

Importance: Cette clause couvre la mise en œuvre des processus planifiés pour atteindre les objectifs de sécurité de l’information et la gestion des changements.

Exemples d’actions:

  • Planification et contrôle opérationnels: Mettre en œuvre les plans de traitement des risques et les processus nécessaires pour gérer la sécurité de l’information au quotidien.
  • Évaluation des risques de sécurité de l’information: Effectuer des évaluations régulières des risques de sécurité de l’information.
  • Traitement des risques de sécurité de l’information: Mettre en œuvre les contrôles de sécurité de l’information identifiés dans le plan de traitement des risques.

Clause 9: Évaluation de la Performance
#

Importance: L’organisation doit surveiller, mesurer, analyser et évaluer la performance de son SMSI pour s’assurer de son efficacité et de son amélioration continue.

Exemples d’actions:

  • Surveillance, mesure, analyse et évaluation: Définir des indicateurs clés de performance (KPIs) pour la sécurité de l’information et surveiller leur évolution. Réaliser des revues régulières des processus et des contrôles.
  • Audit interne: Mener des audits internes à intervalles planifiés pour déterminer si le SMSI est conforme aux exigences de la norme et aux exigences de l’organisation.
  • Revue de direction: La direction doit revoir le SMSI à intervalles planifiés pour s’assurer de son adéquation, de son efficacité et de son alignement continu avec la stratégie de l’organisation.

Clause 10: Amélioration
#

Importance: Cette clause exige que l’organisation améliore continuellement la pertinence, l’adéquation et l’efficacité du SMSI.

Exemples d’actions:

  • Non-conformités et actions correctives: Identifier les non-conformités, prendre des mesures pour les corriger et éliminer les causes profondes pour éviter leur récurrence.
  • Amélioration continue: Rechercher activement des opportunités d’amélioration du SMSI, en se basant sur les résultats des audits, des revues de direction, des incidents de sécurité et des retours d’expérience.

Annexe A: Contrôles de Référence de la Sécurité de l’Information
#

L’Annexe A de l’ISO 27001:2022 contient 93 contrôles de sécurité de l’information, organisés en quatre thèmes principaux. Ces contrôles sont des mesures que les organisations peuvent choisir d’implémenter pour gérer leurs risques de sécurité de l’information. Il est important de noter que tous les contrôles ne sont pas obligatoires; leur applicabilité est déterminée par l’évaluation des risques de l’organisation et documentée dans une Déclaration d’Applicabilité (SoA - Statement of Applicability).

Thèmes de l’Annexe A
#

1. Contrôles Organisationnels (37 contrôles)
#

Importance: Ces contrôles définissent la manière dont l’organisation gère la sécurité de l’information au niveau stratégique et tactique. Ils couvrent les politiques, les rôles, les responsabilités, la gestion des risques, la conformité, et la gestion des relations avec les fournisseurs.

Exemples d’actions:

  • Politiques de sécurité de l’information (A.5.1): Établir et maintenir un ensemble de politiques de sécurité de l’information approuvées par la direction, communiquées à tous les employés et révisées régulièrement. Exemple: Développer une politique d’utilisation acceptable des actifs informationnels.
  • Rôles et responsabilités en matière de sécurité de l’information (A.5.2): Définir et attribuer clairement les rôles et responsabilités en matière de sécurité de l’information à travers l’organisation. Exemple: Nommer un Responsable de la Sécurité des Systèmes d’Information (RSSI) et établir un comité de sécurité.
  • Gestion des relations avec les fournisseurs (A.5.19 - A.5.22): Mettre en place des processus pour gérer la sécurité de l’information dans les relations avec les fournisseurs, y compris l’intégration des exigences de sécurité dans les contrats et la surveillance de la conformité. Exemple: Inclure des clauses de sécurité de l’information dans tous les contrats avec des fournisseurs tiers et effectuer des audits réguliers des fournisseurs critiques.
  • Gestion des incidents de sécurité de l’information (A.5.24 - A.5.28): Établir des processus pour la gestion des incidents de sécurité de l’information, y compris la planification, la détection, l’évaluation, la réponse et l’apprentissage des incidents. Exemple: Mettre en place un plan de réponse aux incidents, former une équipe de réponse aux incidents et effectuer des exercices de simulation d’incidents.

2. Contrôles Relatifs aux Personnes (8 contrôles)
#

Importance: Ces contrôles se concentrent sur la sécurité de l’information liée aux individus au sein de l’organisation, y compris le recrutement, la formation, la sensibilisation et la gestion des départs.

Exemples d’actions:

  • Filtrage (A.6.1): Effectuer des vérifications d’antécédents pour les candidats à des postes sensibles. Exemple: Réaliser des vérifications de casier judiciaire et des références pour les nouveaux employés ayant accès à des informations confidentielles.
  • Sensibilisation, éducation et formation à la sécurité de l’information (A.6.3): Fournir une formation régulière et une sensibilisation à la sécurité de l’information à tous les employés. Exemple: Organiser des sessions de formation annuelles sur les menaces de phishing et les bonnes pratiques de mot de passe.
  • Télétravail (A.6.7): Mettre en œuvre des mesures de sécurité spécifiques pour le télétravail. Exemple: Fournir des équipements sécurisés (ordinateurs portables chiffrés), des connexions VPN obligatoires et des directives claires pour le travail à distance.

3. Contrôles Physiques (14 contrôles)
#

Importance: Ces contrôles visent à protéger les informations et les actifs informationnels contre les menaces physiques, telles que le vol, les dommages ou l’accès non autorisé.

Exemples d’actions:

  • Périmètres de sécurité physique (A.7.1): Mettre en place des périmètres de sécurité physique autour des zones contenant des informations sensibles. Exemple: Installer des clôtures, des caméras de surveillance et des systèmes de contrôle d’accès par badge autour des centres de données.
  • Accès physique (A.7.2): Contrôler l’accès physique aux zones sécurisées. Exemple: Utiliser des cartes d’accès, des systèmes biométriques et des journaux d’accès pour enregistrer toutes les entrées et sorties des salles de serveurs.
  • Protection contre les menaces physiques et environnementales (A.7.5): Protéger les équipements et les informations contre les menaces environnementales (incendie, inondation, etc.). Exemple: Installer des systèmes de détection et d’extinction d’incendie, des capteurs d’humidité et des systèmes de climatisation dans les salles de serveurs.
  • Bureau et écran propres (A.7.7): Mettre en œuvre une politique de bureau et d’écran propres pour réduire les risques d’accès non autorisé aux informations. Exemple: Exiger que les documents confidentiels soient rangés sous clé et que les écrans d’ordinateur soient verrouillés lorsqu’ils ne sont pas utilisés.

4. Contrôles Technologiques (34 contrôles)
#

Importance: Ces contrôles concernent la mise en œuvre de mesures techniques pour protéger les systèmes d’information, les réseaux et les données contre les menaces cybernétiques.

Exemples d’actions:

  • Gestion des identités (A.8.1): Gérer les identités numériques des utilisateurs et les droits d’accès. Exemple: Mettre en œuvre un système de gestion des identités et des accès (IAM) avec authentification unique (SSO) et authentification multi-facteurs (MFA).
  • Authentification sécurisée (A.8.5): Utiliser des méthodes d’authentification robustes. Exemple: Exiger des mots de passe complexes, des changements réguliers de mot de passe et l’utilisation de MFA pour l’accès aux systèmes critiques.
  • Protection contre les logiciels malveillants (A.8.7): Mettre en œuvre des mesures pour prévenir, détecter et récupérer des attaques de logiciels malveillants. Exemple: Déployer des logiciels antivirus et anti-malware sur tous les postes de travail et serveurs, et maintenir les définitions à jour.
  • Sauvegarde des informations (A.8.13): Effectuer des sauvegardes régulières des informations critiques et tester leur restauration. Exemple: Mettre en place une politique de sauvegarde quotidienne des données critiques, stocker les sauvegardes hors site et tester la restauration des données au moins une fois par an.
  • Journalisation et surveillance (A.8.16): Enregistrer les événements pertinents et surveiller les activités pour détecter les anomalies. Exemple: Mettre en place un système de gestion des informations et des événements de sécurité (SIEM) pour collecter et analyser les journaux de sécurité des systèmes et applications critiques.
  • Chiffrement (A.8.24): Utiliser le chiffrement pour protéger la confidentialité et l’intégrité des informations sensibles. Exemple: Chiffrer les données au repos (disques durs, bases de données) et en transit (communications réseau via TLS/SSL).

Déclaration d’Applicabilité (SoA - Statement of Applicability)
#

Importance: La SoA est un document essentiel qui justifie la sélection des contrôles de l’Annexe A. Elle doit lister tous les contrôles de l’Annexe A, indiquer si chaque contrôle est implémenté ou non, et fournir une justification pour l’inclusion ou l’exclusion de chaque contrôle. Pour les contrôles exclus, une justification claire doit être fournie (par exemple, le risque n’est pas applicable à l’organisation).

Exemples d’actions:

  • Élaboration de la SoA: Après l’évaluation des risques et la sélection des contrôles, rédiger la Déclaration d’Applicabilité en détaillant la pertinence de chaque contrôle pour l’organisation.
  • Révision et approbation de la SoA: Faire réviser et approuver la SoA par la direction pour s’assurer qu’elle reflète fidèlement la position de l’organisation en matière de sécurité de l’information.

Comparaison Rapide entre ISO 27001 et NIST CSF 2.0
#

Point de comparaisonISO 27001:2022NIST CSF 2.0
NatureNorme internationale certifiable.Cadre de référence (Framework) volontaire.
ApprocheBasée sur la conformité et le management.Basée sur les résultats et la flexibilité.
StructureClauses (4-10) + 93 Contrôles.6 Fonctions -> Catégories -> Sous-catégories.
PublicOrganisations cherchant une preuve de confiance.Toutes organisations (PME à Grands Groupes).