P.I.L.O.T.E

4 min de lecture

Introduction à la norme ISO/IEC 27001

Info

Cette norme établit les exigences pour la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI), destiné à protéger la confidentialité, l’intégrité et la disponibilité des informations.

Objectifs de la norme

L’ISO/IEC 27001 a pour objectif de définir, mettre en œuvre et maintenir un système de gestion de la sécurité de l’information qui soit certifiable, reconnu internationalement et adaptable à tout type d’organisation (privée, publique, ONG, collectivités, opérateurs de services essentiels).
Ce référentiel constitue un outil opérationnel pour :

  • Protéger les actifs informationnels critiques.
  • Réduire les risques liés aux cybermenaces.
  • Démontrer la conformité réglementaire (RGPD, NIS2, DORA).
  • Instaurer une dynamique d’amélioration continue de la sécurité.

La famille ISO/IEC 27000

Info

La norme ISO/IEC 27001 ne vit pas seule : elle fait partie d’un ensemble cohérent de normes complémentaires.

NormeRôle
ISO/IEC 27000Vocabulaire, concepts fondamentaux
==ISO/IEC 27001==Spécifie les exigences d’un SMSI, certifiable
ISO/IEC 27002Catalogue de mesures de sécurité détaillées (non certifiable)
ISO/IEC 27005Gestion des risques de sécurité de l’information
ISO/IEC 27701Extension vie privée et données personnelles (alignée RGPD)

Importance de la révision 2022

La révision 2022 a profondément simplifié et modernisé la norme :

  • Passage de 114 mesures à 93.
  • Regroupement en 4 grands thèmes : organisationnels, humains, physiques et technologiques.
  • Introduction de nouvelles mesures adaptées aux menaces modernes : cloud, télétravail, gestion de la chaîne d’approvisionnement.
  • Harmonisation accrue avec d’autres cadres (NIS2, ISO 27005, ISO 27701, DORA).

Tip

Pour un RSSI, comprendre cette évolution est essentiel : elle facilite le mapping réglementaire et réduit la redondance documentaire.

Différence ISO/IEC 27001 vs ISO/IEC 27002

Un point souvent mal compris concerne la distinction entre ISO/IEC 27001 et ISO/IEC 27002 :

  • ISO/IEC 27001 : spécifie les exigences d’un SMSI. C’est la norme certifiable. Elle impose un cadre de gouvernance, un processus de gestion des risques, et l’obligation de mettre en place des mesures adaptées au contexte.
  • ISO/IEC 27002 : fournit un catalogue de mesures et de bonnes pratiques. Elle est non certifiable, mais sert de guide pour appliquer concrètement les contrôles énumérés dans l’Annexe A de l’ISO/IEC 27001.

Info

Lors d’un audit, les auditeurs vérifient la conformité à ISO/IEC 27001, mais utilisent ISO/IEC 27002 comme référentiel de preuves et de mise en œuvre.

Preuves d’audit typiques

Un auditeur ISO/IEC 27001 attend des preuves concrètes telles que :

  • Preuve documentaire de l’adoption d’un SMSI par la direction.
  • Registre des risques basé sur une méthodologie (souvent inspirée d’ISO 27005).
  • Plan de traitement des risques aligné sur les objectifs de sécurité.
  • Cartographie des mesures appliquées, avec correspondance entre 27001 et 27002.
  • Rapports de conformité internes ou d’audits tiers.

Cas pratiques et retours d’expérience

  • Secteur bancaire : après l’entrée en vigueur de NIS2, plusieurs banques françaises ont utilisé la révision 2022 d’ISO 27001 pour réorganiser leur référentiel de contrôles et prouver leur conformité en audit.
  • Secteur santé : des hôpitaux européens, fortement impactés par les rançongiciels, ont intégré ISO 27001 pour justifier des financements publics en cybersécurité, en s’appuyant sur la granularité d’ISO 27002 pour démontrer la couverture de risques spécifiques (télémaintenance, équipements médicaux connectés).

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Situer ISO/IEC 27001 dans la famille des normes ISO 27000.
  • Expliquer l’importance de la révision 2022.
  • Distinguer clairement ISO/IEC 27001 (certifiable) et ISO/IEC 27002 (catalogue de mesures).
  • Identifier les preuves d’audit attendues lors d’une certification.

Checklist RSSI

  • Vérifier que l’organisation utilise bien la révision 2022 de la norme.
  • Confirmer la distinction entre 27001 (exigences) et 27002 (mesures).
  • Mettre à jour la cartographie des risques et mesures selon la nouvelle structure.
  • S’assurer que les preuves d’audit sont alignées sur 27001, avec 27002 en support.
  • Préparer un tableau de correspondance entre NIS2 et ISO 27001/27002.

Vue Graphique