Synthèse pratique sur la norme 27001:2022 (Systèmes de management de la sécurité de l’information ‘SMSI’)

, Synthèse pratique sur la norme 27001:2022 (Systèmes de management de la sécurité de l’information ‘SMSI’)

Synthèse pratique sur la norme 27001:2022 (Systèmes de management de la sécurité de l’information ‘SMSI’)

  • Auteur/autrice de la publication :
  • Post category:Normes

Présentation générale de l’ISO 27001

  • Définition : Norme internationale pour les systèmes de management de la sécurité de l’information (SMSI)
  • Version actuelle : ISO/IEC 27001 : 2022 (mise à jour de la version 2013)
  • Objectif : Établir, mettre en œuvre, maintenir et améliorer continuellement un SMSI
  • Approche : Basée sur la gestion des risques et l’amélioration continue (cycle PDCA – Plan-Do-Check-Act) (Planifier – Réaliser – Vérifier – Assurer/Améliorer)
  • Certification : Délivrée par des organismes accrédités pour une durée de 3 ans, avec audits de surveillance annuels

 

Structure de la norme et exigences principales

  • Exigences générales sur le système de management
  • Contexte de l’organisation
  • Leadership et engagement de la direction
  • Planification du SMSI (système de mangement de la sécurité de l’information)
  • Support (ressources, compétences, sensibilisation)
  • Fonctionnement opérationnel
  • Évaluation des performances
  • Amélioration continue
  • 93 mesures de sécurité réparties en 4 catégories (version 2022)
  • Contrôles organisationnels
  • Contrôles liés aux personnes
  • Contrôles physiques
  • Contrôles technologiques

 

Liste complète des 93 mesures ISO 27002 :2022

CONTRÔLES ORGANISATIONNELS (37 mesures : A.5.1 à A.5.37)

  • 5.1 – Politiques de sécurité de l’information
  • 5.2 – Rôles et responsabilités en matière de sécurité de l’information
  • 5.3 – Séparation des tâches
  • 5.4 – Responsabilités de la direction
  • 5.5 – Contact avec les autorités
  • 5.6 – Contact avec les groupes d’intérêt spéciaux
  • 5.7 – Veille sur les menaces (NOUVELLE)
  • 5.8 – Sécurité de l’information dans la gestion de projet
  • 5.9 – Inventaire des informations et autres actifs associés
  • 5.10 – Utilisation acceptable des informations et autres actifs associés
  • 5.11 – Restitution des actifs
  • 5.12 – Classification des informations
  • 5.13 – Étiquetage des informations
  • 5.14 – Transfert d’informations
  • 5.15 – Contrôle d’accès
  • 5.16 – Gestion des identités
  • 5.17 – Informations d’authentification
  • 5.18 – Droits d’accès
  • 5.19 – Sécurité de l’information dans les relations avec les fournisseurs
  • 5.20 – Traitement de la sécurité de l’information dans les accords avec les fournisseurs
  • 5.21 – Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC
  • 5.22 – Surveillance, révision et gestion des changements des services fournisseurs
  • 5.23 – Sécurité de l’information pour l’utilisation des services cloud (NOUVELLE)
  • 5.24 – Planification et préparation de la gestion des incidents de sécurité de l’information
  • 5.25 – Évaluation et décision sur les événements de sécurité de l’information
  • 5.26 – Réponse aux incidents de sécurité de l’information
  • 5.27 – Apprentissage à partir des incidents de sécurité de l’information
  • 5.28 – Collecte de preuves
  • 5.29 – Sécurité de l’information pendant les perturbations
  • 5.30 – Préparation des TIC pour la continuité d’activité (NOUVELLE)
  • 5.31 – Identification des exigences légales, statutaires, réglementaires et contractuelles
  • 5.32 – Droits de propriété intellectuelle
  • 5.33 – Protection des enregistrements
  • 5.34 – Confidentialité et protection des informations personnelles identifiables
  • 5.35 – Révision indépendante de la sécurité de l’information
  • 5.36 – Conformité aux politiques et normes de sécurité de l’information
  • 5.37 – Procédures opérationnelles documentées

 

CONTRÔLES LIÉS AUX PERSONNES (8 mesures : A.6.1 à A.6.8)

  • 6.1 – Sélection du personnel
  • 6.2 – Conditions d’emploi
  • 6.3 – Sensibilisation, éducation et formation à la sécurité de l’information
  • 6.4 – Processus disciplinaire
  • 6.5 – Responsabilités après la cessation ou le changement d’emploi
  • 6.6 – Accords de confidentialité ou de non-divulgation
  • 6.7 – Travail à distance (NOUVELLE)
  • 6.8 – Signalement des événements de sécurité de l’information

 

CONTRÔLES PHYSIQUES (14 mesures : A.7.1 à A.7.14)

  • 7.1 – Périmètre de sécurité physique
  • 7.2 – Contrôles d’accès physique
  • 7.3 – Sécurisation des bureaux, salles et installations
  • 7.4 – Surveillance de la sécurité physique (NOUVELLE)
  • 7.5 – Protection contre les menaces physiques et environnementales
  • 7.6 – Travail dans des zones sécurisées
  • 7.7 – Bureau propre et écran propre
  • 7.8 – Positionnement et protection des équipements
  • 7.9 – Sécurité des actifs hors site
  • 7.10 – Supports de stockage
  • 7.11 – Services de soutien
  • 7.12 – Sécurité du câblage
  • 7.13 – Maintenance des équipements
  • 7.14 – Élimination ou réutilisation sécurisée des équipements

 

CONTRÔLES TECHNOLOGIQUES (34 mesures : A.8.1 à A.8.34)

  • 8.1 – Dispositifs de point de terminaison des utilisateurs
  • 8.2 – Droits d’accès privilégiés
  • 8.3 – Restriction d’accès aux informations
  • 8.4 – Accès au code source
  • 8.5 – Authentification sécurisée
  • 8.6 – Gestion de la capacité
  • 8.7 – Protection contre les logiciels malveillants
  • 8.8 – Gestion des vulnérabilités techniques
  • 8.9 – Gestion de configuration (NOUVELLE)
  • 8.10 – Suppression d’informations (NOUVELLE)
  • 8.11 – Masquage des données (NOUVELLE)
  • 8.12 – Prévention des fuites de données (NOUVELLE)
  • 8.13 – Sauvegarde d’informations
  • 8.14 – Redondance des installations de traitement de l’information
  • 8.15 – Journalisation
  • 8.16 – Activités de surveillance (NOUVELLE)
  • 8.17 – Synchronisation des horloges
  • 8.18 – Utilisation de programmes utilitaires privilégiés
  • 8.19 – Installation de logiciels sur les systèmes opérationnels
  • 8.20 – Sécurité des réseaux
  • 8.21 – Sécurité des services réseau
  • 8.22 – Ségrégation des réseaux
  • 8.23 – Filtrage web (NOUVELLE)
  • 8.24 – Utilisation de la cryptographie
  • 8.25 – Cycle de vie de développement sécurisé
  • 8.26 – Exigences de sécurité des applications
  • 8.27 – Principes d’architecture et d’ingénierie de systèmes sécurisés
  • 8.28 – Programmation sécurisée (NOUVELLE)
  • 8.29 – Tests de sécurité en développement et acceptation
  • 8.30 – Développement externalisé
  • 8.31 – Séparation des environnements de développement, de test et de production
  • 8.32 – Gestion des changements
  • 8.33 – Informations de test
  • 8.34 – Protection des systèmes d’information lors d’audits et de tests (NOUVELLE)

 

Mise en œuvre pratique du SMSI

  • Définition du périmètre : Délimitation claire des activités, systèmes et locaux concernés
  • Politique de sécurité : Document formel approuvé par la direction
  • Analyse de risques : Méthodologie structurée d’identification, évaluation et traitement des risques
  • Déclaration d’applicabilité (SoA) : Document central listant les 93 mesures de l’Annexe A avec justification de leur application ou exclusion
  • Plan de traitement des risques : Actions planifiées pour réduire les risques identifiés
  • Documentation obligatoire : Politiques, procédures, enregistrements et preuves d’exécution
  • Indicateurs de performance : Tableaux de bord et métriques de suivi de l’efficacité du SMSI

 

Aspects techniques et opérationnels clés

  • Inventaire des actifs : Identification et classification des actifs informationnels selon leur criticité
  • Gestion des accès : Procédures formalisées de création, modification, révocation des droits
  • Sécurité des réseaux : Architecture réseau documentée, cloisonnement, protection périmétrique
  • Gestion des changements : Processus d’évaluation et approbation des modifications des systèmes
  • Gestion des vulnérabilités : Veille, évaluation et application des correctifs de sécurité
  • Sauvegarde et restauration : Tests réguliers de restauration des données critiques
  • Gestion des incidents : Détection, qualification, traitement et retour d’expérience
  • Continuité d’activité : Plans testés régulièrement avec scénarios réalistes

 

Cycle de vie de la certification

  • Revue initiale (gap analysis) : Évaluation de l’écart entre l’existant et les exigences
  • Mise en conformité : Déploiement des mesures techniques et organisationnelles
  • Audit interne : Vérification complète avant certification
  • Audit de certification : En deux phases (revue documentaire puis vérification sur site)
  • Surveillance annuelle : Audits partiels de maintien
  • Renouvellement : Audit complet tous les 3 ans

 

Bonnes pratiques pour réussir la démarche

  • Implication de la direction : Sponsor au plus haut niveau et ressources adéquates
  • Approche pragmatique : Adaptation au contexte de l’organisation plutôt que conformité pure
  • Documentation proportionnée : Équilibre entre formalisme nécessaire et surcharge bureaucratique
  • Sensibilisation continue : Formation de tous les collaborateurs aux enjeux de sécurité
  • Automatisation : Outils de gestion documentaire et de suivi des plans d’action
  • Intégration aux processus existants : Alignement avec les autres systèmes de management (qualité, etc.)
  • Préparation aux audits : Collecte continue des preuves de conformité