P.I.L.O.T.E

2 min de lecture

Annexe A – Présentation générale des mesures de sécurité

Introduction

L’Annexe A de la norme ISO/IEC 27001:2022 constitue le catalogue de référence des mesures de sécurité. Elle regroupe les 93 contrôles à mettre en œuvre, adaptés au contexte de chaque organisation.

La révision 2022 a apporté une simplification importante :

  • 114 mesures (2013) → 93 mesures (2022).
  • Regroupement en 4 grands blocs cohérents.
  • Ajout de contrôles modernes (Cloud, télétravail, gestion de la chaîne d’approvisionnement).

Contrairement à une idée reçue, l’Annexe A n’impose pas d’appliquer toutes les mesures. Chaque organisation doit démontrer que les contrôles retenus sont justifiés en fonction des risques identifiés (voir Clause 6).

Structure de l’Annexe A

Les 93 mesures sont regroupées en 4 catégories :

  1. Bloc organisationnel (A.5) – Gouvernance, politique, gestion des risques, contrôle des accès, relations avec les fournisseurs.
  2. Bloc humain (A.6) – Compétences, sensibilisation, responsabilités RH, gestion des droits après départ.
  3. Bloc physique (A.7) – Sécurité des locaux, gestion des visiteurs, vidéosurveillance, protections environnementales.
  4. Bloc technologique (A.8) – Sécurité des réseaux, chiffrement, sauvegardes, patching, gestion des vulnérabilités.

Chacun de ces blocs est détaillé dans les sections suivantes (10.1 → 10.4).

Cas concret historique

Exemple : attaque WannaCry (2017).
L’attaque mondiale WannaCry a exploité une faille Windows pour se propager rapidement. De nombreuses organisations ne disposaient pas d’un processus de patching (A.8.21) ni de tests de restauration fiables (A.8.15).
Résultat : des centaines d’hôpitaux britanniques ont vu leurs systèmes paralysés, démontrant que l’Annexe A n’est pas un simple exercice théorique, mais une exigence vitale pour la continuité d’activité.

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Comprendre le rôle de l’Annexe A dans l’ISO/IEC 27001.
  • Expliquer le regroupement des mesures en 4 blocs (révision 2022).
  • Situer chaque bloc dans la gouvernance globale du SMSI.
  • Illustrer, à travers des cas concrets, pourquoi l’Annexe A est essentielle.

Checklist RSSI

  • Vérifier que la version 2022 (93 mesures) est bien utilisée.
  • Préparer une matrice de correspondance risques ↔ mesures Annexe A.
  • Identifier les blocs prioritaires selon le secteur (santé, finance, énergie…).
  • Documenter les exclusions éventuelles et les justifications.
  • S’assurer que les preuves d’audit sont disponibles pour chaque mesure retenue.

Vue Graphique