ISO 27001 est une norme internationale publiée par l’ISO et la CEI. Elle définit les exigences relatives à la mise en place, à la maintenance et à l’amélioration d’un SMSI (Système de Management de la Sécurité de l'Information, ou ISMS en anglais). Elle s’adresse à tout organisme, notamment les administrations publiques, entreprises privées ou organismes à but non lucratif souhaitant structurer leur démarche de sécurité de l’information.

La norme ISO/IEC 27001 a été publiée initialement en 2005 sous le titre complet « ISO/IEC 27001:2005 » et remplace l’ancienne norme britannique BS 7799-2. Elle a évolué avec une révision majeure en 2013 (ISO/IEC 27001:2013) et plus récemment avec l’édition ISO/IEC 27001:2022.

Cette norme fait partie de la famille ISO 27000, qui regroupe un ensemble de standards sur la sécurité des systèmes d’information, dont la célèbre ISO 27002 qui propose un code de bonnes pratiques de la sécurité de l’information.

L’objectif fondamental de ISO 27001 est d’assurer la confidentialité, l’intégrité et la disponibilité des informations, grâce à une approche fondée sur la gestion des risques. Elle impose un cadre permettant :

• D’identifier les risques de sécurité de l’information
• De définir, mettre en œuvre et surveiller des mesures de sécurité
• D’améliorer continuellement le SMSI

ISO 27001 s’appuie sur le modèle « Plan-Do-Check-Act » (Planifier, Déployer, Contrôler, Agir), également préconisé dans d’autres normes ISO de systèmes de management comme ISO 9001 (qualité) ou ISO 14001 (environnement).

La structure d’ISO/IEC 27001 est basée sur l’Annexe SL de l’ISO, qui harmonise les structures des principales normes de système de management. Les sections principales comprennent :

• Contexte de l’organisation
• Leadership
• Planification
• Support
• Fonctionnement
• Évaluation des performances
• Amélioration continue

Un élément central est l’Annexe A, qui dresse la liste des contrôles de sécurité de l’information à mettre en place selon les besoins de l’organisation. Les mesures de l’Annexe A sont décrites plus en détail dans la norme ISO/IEC 27002 correspondante.

La démarche de conformité à ISO 27001 se déroule en plusieurs étapes. Voici un schéma simplifié du processus typique dans le secteur public ou privé :

1. Définition du périmètre du SMSI
2. Évaluation et appréciation des risques de sécurité de l’information
3. Élaboration d’une Déclaration d’applicabilité (Statement of Applicability)
4. Mise en place des politiques et contrôles appropriés (selon ISO 27002)
5. Réalisation d’audits internes et de revues de direction
6. Mise en œuvre d’un plan d’amélioration continue

Les autorités administratives indépendantes telles que l’ANSSI en France ou la CNIL incitent fortement à la mise en œuvre de la norme, notamment dans la fonction publique et pour les opérateurs de services essentiels.

L’Annexe A référence un ensemble de contrôles. Depuis l’édition ISO/IEC 27001:2022, ces contrôles sont organisés en 4 grands thèmes, englobant 93 mesures :

Thème	Exemple de mesures
Organisationnel	Attribution des responsabilités, gestion des utilisateurs, politiques de sécurité
Humain	Sensibilisation à la sécurité, clauses contractuelles, sécurité lors du recrutement
Physique	Protection contre l’accès non autorisé, sécurité du site, destruction des supports
Technologique	Gestion des accès, chiffrement, sécurité des logiciels, surveillance des systèmes

À noter : la nature et l'ampleur de ces contrôles varient selon le contexte de l’organisme concerné, par exemple un ministère n’ayant pas les mêmes exigences qu’une entreprise privée.

La conformité à ISO 27001 peut donner lieu à une certification. Celle-ci est menée par un organisme certificateur accrédité, tel que AFNOR ou Bureau Veritas. Elle donne droit à une reconnaissance internationale du SMSI de l’organisation.

Le processus de certification implique :

• Un audit initial (phase 1 : documentation ; phase 2 : pratiques réelles)
• Un audit de surveillance annuel
• Un audit de renouvellement tous les trois ans

Dans la fonction publique, la certification ISO/IEC 27001 peut servir à renforcer la confiance auprès des usagers et à assurer la conformité avec les exigences réglementaires, comme le RGPD.

L’adoption de ISO 27001 par les administrations publiques et les collectivités territoriales présente de nombreux bénéfices :

• Protection des informations sensibles et des données à caractère personnel
• Renforcement de la confiance des usagers du service public
• Amélioration de la gouvernance et du pilotage des risques numériques
• Alignement avec les exigences de l'ANSSI, et conformité avec les obligations réglementaires telles que le CSI ou la directive NIS 2
• Facilitation de la gestion des incidents de sécurité et régulation des accès aux systèmes d’information de l’État

ISO 27001 s’inscrit dans la famille ISO 27000. Les principales normes associées sont :

• ISO/IEC 27000 : vocabulaire et définitions
• ISO/IEC 27002 : bonnes pratiques et mesures de sécurité
• ISO/IEC 27005 : gestion des risques liés à la sécurité de l’information
• ISO/IEC 27017 : sécurité dans le cloud computing
• ISO/IEC 27701 : extension pour la gestion de la vie privée (privacy)

En France, l’ANSSI publie des guides pratiques sur la mise en œuvre de ISO 27001 dans la fonction publique. Des référentiels spécifiques existent, tels que le Référentiel général de sécurité (RGS) ou les lignes directrices pour les OIV (opérateurs d’importance vitale).

Par ailleurs, la CNIL recommande l’usage de normes telles que ISO/IEC 27001 pour la conformité au RGPD.

• ISO
• ANSSI
• CNIL
• Ministère de la Transformation et de la Fonction publiques
• DINUM

• Sécurité de l'information
• Gestion des risques
• SMSI
• ISO/IEC 27002
• Protection des données personnelles

• ISO/IEC 27001:2022 - Technology — Security techniques — Information security management systems — Requirements
• ANSSI : Guide d’application de l’ISO 27001 dans le secteur public
• CNIL : La sécurité des systèmes d'information et la norme ISO 27001
• Ministère de la Transformation et de la Fonction publiques – Transformation numérique et cybersécurité

Catégorie: