ISO/IEC 27001
ISO/IEC 27001
ISO/IEC 27001 est une norme internationale publiée conjointement par l’ISO (International Organization for Standardization) et la IEC (International Electrotechnical Commission). Elle fait partie de la série de normes ISO/IEC 27000 consacrées à la gestion de la sécurité de l'information. Cette norme fournit les exigences pour la mise en place, le maintien et l'amélioration continue d’un SMSI (Système de management de la sécurité de l'information), et s’applique à tous types d’organisations, publiques ou privées, de toutes tailles et de tous secteurs.
Historique et évolution
La première version d’ISO/IEC 27001 a été publiée en 2005, succédant à la norme BS 7799-2 de la BSI. Elle a fait l’objet de révisions notables en 2013 (version la plus largement utilisée dans le monde) et en 2022, pour s’adapter à l’évolution des risques et des défis liés à la sécurité de l’information, notamment face à la cybersécurité et à la numérisation accrue des administrations et des services publics.
Objectifs de la norme
Les objectifs principaux d’ISO/IEC 27001 sont :
- Protéger la confidentialité, l’intégrité et la disponibilité de l’information.
- Identifier, évaluer et traiter les risques liés à la sécurité.
- Démontrer la conformité aux lois, règlements et attentes des parties prenantes.
- Améliorer continuellement les processus de gestion de la sécurité.
Structure et principes du SMSI
La norme repose sur le principe d’amélioration continue, selon le modèle (Plan-Do-Check-Act). Elle est structurée autour de plusieurs clauses majeures :
- Contexte de l'organisation
- Leadership
- Planification
- Support
- Fonctionnement
- Évaluation des performances
- Amélioration
La norme impose la réalisation d’une appréciation des risques et l’adoption de mesures de sécurité adaptées, stipulées dans l’Annexe A (ensemble de 93 contrôles dans la version 2022).
Table de correspondance des clauses principales (version 2022)
| Clause | Intitulé | Description |
|---|---|---|
| 4 | Contexte de l’organisation | Compréhension de l’organisation et de ses enjeux |
| 5 | Leadership | Engagement de la direction et responsabilités |
| 6 | Planification | Identification et gestion des risques et opportunités |
| 7 | Support | Ressources, formation et documentation |
| 8 | Fonctionnement | Mise en œuvre et fonctionnement du SMSI |
| 9 | Évaluation des performances | Surveillance, mesure, analyse et évaluation |
| 10 | Amélioration | Actions correctives et amélioration continue |
Annexe A et catalogue de mesures
L’Annexe A de la norme propose un ensemble de mesures de sécurité appelées contrôles, structurées autour de plusieurs domaines, notamment :
- Politique(s) de sécurité de l’information
- Organisation de la sécurité de l’information
- Sécurité des ressources humaines
- Gestion des actifs
- Contrôle d'accès
- Cryptographie
- Sécurité physique et environnementale
- Sécurité des opérations
- Sécurité des communications
- Acquisition, développement et maintenance des systèmes
- Gestion des incidents de sécurité de l’information
- Aspects liés à la continuité d’activité
- Conformité
Processus de certification
Des organismes accrédités tels que l’AFNOR Certification, Bureau Veritas, SGS, ou encore Lloyd's Register, réalisent des audits externes menant à la délivrance d’un certificat ISO/IEC 27001. La certification est généralement valable trois ans, avec des audits de surveillance annuels. L’obtention de la certification représente un gage de confiance vis-à-vis des parties prenantes, tout en facilitant la mise en conformité ou l’accès à des marchés réglementés, notamment pour les organismes du secteur public.
Principales étapes de la certification
- Diagnostic initial et engagement de la direction
- Définition de la politique de sécurité
- Appréciation des risques et sélection des contrôles
- Mise en œuvre du SMSI
- Audit interne et revue de direction
- Audit de certification par un organisme externe
Articulation avec la fonction publique
Dans le contexte de la fonction publique, l’application de la norme ISO/IEC 27001 favorise :
- La conformité aux exigences du RGPD
- La sécurisation des systèmes d’information de l’État et des collectivités territoriales
- La protection des données personnelles des citoyens
- La prévention des incidents de sécurité pesant sur les services publics numériques
- Le respect des directives de l’ANSSI
Relations avec d’autres normes et cadres
La série ISO/IEC 27000 comprend plusieurs normes connexes :
- ISO/IEC 27002 : code de bonnes pratiques pour la gestion des contrôles de sécurité de l’information (détaillant les contrôles de l’annexe A)
- ISO/IEC 27005 : lignes directrices pour la gestion des risques liés à la sécurité de l’information
- ISO/IEC 27701 : extension pour la gestion de la confidentialité (SMSI-P)
- ISO/IEC 27018 : protection de l'information personnelle dans le cloud
La norme est également complémentaire de cadres tels que :
Avantages et limites
Avantages
- Renforcement de la confiance des usagers et des partenaires
- Standardisation des pratiques de sécurité
- Conformité réglementaire renforcée
- Réduction des risques de cyberattaques
- Gains d’efficience organisationnelle
Limites
- Nécessité d’un investissement initial en temps et en ressources
- Complexité de la mise en œuvre dans de grandes structures publiques
- Maintenance continue et adaptation face à l’évolution des menaces
Ressources complémentaires
- ANSSI : instance de référence pour la sécurité des systèmes d’information de l’État en France
- CNIL : régulateur français de la protection des données
- DINUM : pilotage de la transformation numérique et de la sécurité de l’État