00_Accueil

Présentation générale

La norme ISO/IEC 27001 constitue le standard international de référence en matière de Système de Management de la Sécurité de l’Information (SMSI). Publiée initialement en 2005, révisée en 2013 puis de nouveau en 2022, elle fournit un cadre méthodologique pour mettre en place, maintenir et améliorer en continu la sécurité des systèmes d’information. Elle est indissociable de sa norme sœur, ISO/IEC 27002, qui constitue le catalogue de mesures de sécurité détaillées.

Info

La norme ISO/IEC 27001 définit les exigences d’un SMSI. Elle est certifiable, reconnue internationalement, et constitue souvent un prérequis incontournable dans les appels d’offre publics et privés.
Elle fournit au RSSI et à la direction un langage commun pour justifier des investissements en sécurité, piloter les risques et démontrer la conformité.

---

Contexte historique et évolution

L’émergence d’ISO/IEC 27001 répond à une nécessité internationale de disposer d’un référentiel commun. La montée en puissance des cyberattaques au début des années 2000 a conduit les organisations à chercher une certification reconnue, capable de structurer leur gouvernance de la sécurité.

• 2013 : Adoption mondiale, alignement avec le cycle PDCA (Plan-Do-Check-Act), forte diffusion dans les secteurs banque/assurance et administrations.
• 2014 : Cas emblématique de Sony Pictures, où l’absence d’un SMSI robuste a révélé les conséquences d’un pilotage de la sécurité trop fragmenté.
• 2017 : L’attaque WannaCry sur le NHS britannique démontre l’importance d’une gestion systémique des risques, en soulignant les lacunes de gouvernance.
• 2022 : Révision majeure : simplification des mesures de sécurité (93 au lieu de 114), regroupées en 4 grands thèmes (organisationnels, humains, physiques et technologiques). Cette évolution rapproche ISO 27001 d’autres cadres modernes comme NIS2 et facilite le mapping avec ISO 27005 (analyse de risques) et ISO 27701 (protection des données personnelles).
• 2023 : Plus de 70 000 organisations dans le monde étaient certifiées ISO/IEC 27001, dont environ 5 000 en France. Ces chiffres traduisent une adoption croissante, renforcée par les obligations réglementaires (RGPD, NIS2) et les pressions contractuelles dans les chaînes d’approvisionnement.

---

Importance opérationnelle

La norme ne se limite pas à la description d’un état idéal : elle fournit une structure opérationnelle pour construire un SMSI. Contrairement à d’autres référentiels purement prescriptifs, ISO/IEC 27001 s’adapte au contexte organisationnel de chaque entreprise (taille, secteur, exposition aux risques).

Pour un RSSI, cette norme permet :

• D’obtenir un soutien de la direction grâce à la valeur de certification.
• De définir un cadre de gouvernance clair.
• De démontrer la conformité lors des audits clients, réglementaires ou contractuels.
• D’intégrer la sécurité dans la stratégie globale (alignement avec NIS2 et DORA dans l’UE).

---

Preuves d’audit typiques

Lors d’un audit ISO/IEC 27001, l’auditeur recherche des preuves tangibles démontrant l’efficacité du SMSI, par exemple :

• Politique de sécurité approuvée par la direction.
• Registre des actifs et cartographie des risques.
• Procédures documentées pour la gestion des incidents.
• Relevés de formation et sensibilisation des collaborateurs.
• Comptes-rendus de revues de direction et d’audits internes.

Ces éléments ne sont pas de simples documents, mais des indicateurs vivants du pilotage de la sécurité.

---

Comparaisons avec d’autres référentiels

• ISO/IEC 27002 : non certifiable, il complète 27001 en détaillant les bonnes pratiques et mesures techniques.
• ISO/IEC 27005 : fournit la méthode d’analyse et de traitement des risques, utilisée en support du SMSI.
• ISO/IEC 27701 : extension de 27001 pour la gestion de la vie privée et des données personnelles (RGPD).
• PCI DSS : spécifique au secteur des paiements, mais partage avec 27001 la logique de contrôles documentés et d’audit.
• NIS2 : directive européenne 2022, impose des obligations proches d’ISO 27001, notamment sur la gestion des risques et la gouvernance.

---

Sommaire du cours

• 00_Accueil
• 01_Introduction à la norme ISO-IEC 27001
• 02_Contexte et enjeux de la sécurité de l’information
• 03_Structure de la norme et principes du SMSI
• 04_Gouvernance et leadership
• 05_Planification et analyse de risques
• 06_Support et sensibilisation
• 07_Fonctionnement et contrôle opérationnel
• 08_Évaluation de la performance
• 09_Amélioration continue
• 10_Annexe A Mesures de sécurité (thématiques et regroupements 2022)
• 11_Mise en conformité et audit de certification
• 12_Exigences de synthèse

---

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

• Comprendre l’importance et l’évolution historique d’ISO/IEC 27001.
• Identifier les liens entre 27001 et ses normes associées (27002, 27005, 27701).
• Situer la norme dans l’écosystème réglementaire (RGPD, NIS2, DORA).
• Expliquer à une direction générale pourquoi la certification est un levier stratégique.

---

Checklist RSSI

• Vérifier si l’entreprise a un SMSI formalisé.
• Identifier la version de la norme utilisée (2013 ou 2022).
• Évaluer la maturité documentaire (politiques, registres, preuves).
• Cartographier les liens avec ISO 27002, 27005 et NIS2.
• Vérifier l’appétence de la direction pour une certification externe.