ISO/IEC 27001:2022

Sécurité de l'information, cybersécurité et protection de la vie

privée
Systèmes de management de la sécurité de l'information
Exigences

Quels sont les trois principes de la sécurité de l’information d’ISO/IEC 27001, également

appelés triade CID ?

1. Confidentialité
→ Signification : Seules les bonnes personnes ont accès aux
informations détenues par l’organisation.
⚠ Exemple de risque : Des criminels s’emparent des identifiants de
connexion de vos clients et les revendent sur le Darknet.
2. Intégrité de l’information
→ Signification : Les données utilisées par l’organisation dans le cadre
de ses activités ou celles dont elle assure la sécurité pour d’autres sont
stockées de manière fiable et ne sont ni effacées, ni endommagées.
⚠ Exemple de risque : Un employé supprime accidentellement une
ligne lors du traitement d’un fichier.
3. Disponibilité des données
→ Signification : L’organisation et ses client ont accès aux informations
à tout moment afin de répondre aux objectifs opérationnels et aux
attentes des clients.
⚠ Exemple de risque : La base de données de votre entreprise est
indisponible en ligne en raison de problèmes liés aux serveurs et de
lacunes en termes de sauvegarde.

Un système de management de la sécurité de l’information conforme aux

exigences d’ISO/IEC 27001 garantit la confidentialité, l’intégrité et la
disponibilité de l’information au travers d’un processus de management du
risque et donne aux parties intéressées l’assurance que les risques sont
gérés de manière adéquate.
ISO 27001 et ISO/IEC 27001 : une seule et même norme ?
Bien que l’on fasse parfois référence à ISO 27001, ISO/IEC 27001 est en
réalité l’abréviation officielle de la Norme internationale définissant les
exigences relatives aux systèmes de management de la sécurité de
l’information. En effet, cette norme a été publiée conjointement par l’ISO et
la Commission électrotechnique internationale (IEC). Le numéro indique
que cette norme est sous la responsabilité du sous-comité SC 27 (sécurité de
l’information, cybersécurité et protection de la vie privée) du comité technique
mixte ISO/IEC sur les technologies de l’information (ISO/IEC JTC 1).

Qu’est-ce qu’ISO/IEC 27001 ?

ISO/IEC 27001 est la norme la plus connue au monde en matière
de systèmes de management de la sécurité de l’information (SMSI). Elle
définit les exigences auxquelles un SMSI doit répondre.

La norme ISO/IEC 27001 fournit aux entreprises de toutes tailles, quel que
soit leur secteur d’activité, des lignes directrices pour l’établissement, la mise
en œuvre, la tenue à jour et l’amélioration continue d’un système de
management de la sécurité de l’information.

La conformité à ISO/IEC 27001 signifie qu’une organisation ou une entreprise

a mis en place un système pour gérer les risques liés à la sécurité de ses
données ou des données qu’elle est amenée à traiter, et que ce système est
conforme aux bonnes pratiques et principes énoncés dans cette Norme
internationale.

Pourquoi ISO/IEC 27001 est-elle essentielle ?

Face à l’essor de la cybercriminalité et à l’émergence constante de
nouvelles menaces, il peut paraître difficile, voire impossible, de gérer les
cyber-risques. ISO/IEC 27001 aide les organisations à prendre conscience
des risques et à identifier et traiter de manière proactive les lacunes.

ISO/IEC 27001 préconise une approche holistique de la sécurité de

l’information, fondée sur des procédures de contrôle applicables aux
personnes, aux politiques et aux technologies. Un système de management
de la sécurité de l’information mis en œuvre conformément à cette norme est
un outil à l’appui de la gestion des risques, de la cyber-résilience et de
l’excellence opérationnelle.
Certification ISO 27001 : une norme
internationale dédiée à la Sécurité des Systèmes
d’Information (SMSI) des entreprises et
organisations
La norme ISO 27001 est la norme de référence internationale en termes de système de management de
la sécurité de l'information (SMSI). Elle permet d’aborder la sécurité des systèmes d’information par
les risques et permet de répondre aux menaces grandissantes telles que :

- La diffusion non autorisée et non maîtrisée d’informations confidentielles. Une telle fuite de
données pouvant être d’ordre intentionnelle (malveillance interne, attaque extérieure) ou non
intentionnelle (défaut de protection, erreur humaine),

- L’interruption d’activité liée à une attaque extérieure (virus, malware), une défaillance matérielle
ou encore un défaut de disponibilité des applicatifs utilisés par l’entreprise ou l’organisation
concernée,

- La perte partielle ou totales de données critiques ou non critiques, conséquence des points
évoquées ci-dessus.

La mise en place d’un Système de Management de la Sécurité des Systèmes d’Information permet à
l’entreprise de s’assurer de la bonne appréciation des risques de sécurité de l’information dans son
environnement propre et en fonction de la criticité des données qu’elle traite de ses parties prenantes
(clients, fournisseurs, employés, partenaires…).

Le SMSI ou Le Système de Management de la Sécurité de l’Information regroupe alors les systèmes

d’informations, les processus et les personnes qui sont concernées par les mesures de protection.

Quels sont les objectifs de la norme ISO 27001 ?

L’ISO 27001 a pour objectifs d’assurer l’entreprise et ses parties prenantes de sa capacité à identifier
et à se protéger de de toute perte, vol ou altération de données. Elle permet donc à l’entreprise de se
doter de dispositifs permettant de prévenir et de faire face aux menaces potentielles en assurant un
système de gestion structuré et efficace.

La norme ISO 27001 à également pour objectifs de répondre aux besoins des clients, fournisseurs,
prestataires en assurant une protection de leurs données. A ce titre la norme ISO 27001 est alors
complétée par le respect des exigences des réglementations en matière de protection des données tels
que le RGPD en Europe ou par la norme ISO 27701, norme internationale dédiée à la protection
des données.
Quelles sont les exigences clefs de la norme ISO
27001 ?
- S’assurer de la compréhension de son organisation et de son contexte ainsi que celles de ses
parties intéressées concernées par le système de management de la sécurité de l’information. Pour
cela les exigences et besoins de chaque partie intéressée doit être clairement établie,

- Etablir et mettre en œuvre un Système de Management de la Sécurité de l’Information, le tenir

à jour et l’améliorer en continue en se basant sur les retours d’expérience et l’état de l’art très
fortement évolutif en matière de sécurité informatique.

A ce titre la norme ISO 27001 est basée sur l’architecture HLS (High Level Structure) promu
par l’ISO (International Standard Organisation) afin de favoriser l’intégration de plusieurs
normes systèmes telles que l’ISO 9001 ou l’ISO 14001.

- Garantir l’implication de la direction (Leadership SMSI) est alors fondamentale pour assurer que
le Système de Management de la Sécurité du Système d’Information corresponde bien à un axe
stratégique fort et bien entendu afin que les ressources nécessaires soient allouées de manière
dimensionnées aux objectifs et aux risques identifiés.

- Identifier et traiter de manière proportionnée les risques et opportunités afin de s’assurer que le
système de management de la sécurité de l’information dispose des moyens de maîtrise suffisants ou
qu’il permette d’établir les plans d’actions sécurité (PSSI : Plans de Sécurité des Systèmes
d’Information),

- Définir ses objectifs de sécurité de l’information en veillant à la cohérence avec sa politique de

sécurité et les risques effectivement identifiés. Ces objectifs devront être mesurables et permettre
d’identifier et de prioriser les efforts de l’entreprise en matière de sécurité de l’information,

- Planifier ses plans d’action en matière de sécurité informatique et de sécurité de l’ensemble de

ses systèmes d’information, à ce titre les contrôles opérationnels doivent être définis et suivis. Ainsi
les risques et menaces sont identifiés et traités avec des actions proportionnées aux menaces,

- Evaluer l’efficacité de son SMSI au travers d’audits ou de tests de son niveau de sécurité du
Système d’Information.

Quel doit être le périmètre du Système de Management

du Système d’Information selon l’ISO 27001 ?
Le Système de Management de Sécurité de l’Information doit couvrir à la fois les risques liés à la
gestion des infrastructures que ceux liés à la gestion des applicatifs. Il doit également s’attacher
réduire l’impact des menaces extérieures et celles des malveillances ou inattentions internes. Ainsi le
SMSI doit couvrir sans s’y limiter les aspects suivants :

- L’organisation interne : fonctions et responsabilités liées à la sécurité de l’information, séparation

des tâches, relations avec les autorités, la sécurité de l’information dans la gestion des projets lancés
dans l’entreprise,

- Appareils mobiles et télétravail : Politique en matière d’appareils mobiles, télétravail : accès et

partage des informations hors de l’entreprise,

- Sécurité des ressources humaines avant l’embauche (sélection des candidats, termes et
conditions d’embauche), pendant la durée du contrat (responsabilité de la direction, Sensibilisation,
apprentissage et formation à la sécurité de l’information, Processus disciplinaire), Rupture, terme ou
modification du contrat de travail (Achèvement ou modification des responsabilités associées au

contrat de travail),

- Gestion et responsabilité des actifs : inventaire, propriété, utilisation correcte, restitution des
actifs,

- Classification et marquage de l’information

- Manipulation des supports : gestion des supports amovibles, mise au rebut des supports, transfert
physique des supports,

- Contrôle des accès : politique de contrôle d’accès, accès au réseau et aux services réseau,

- Gestion des accès utilisateurs : enregistrement et désinscription des utilisateurs, distribution des
accès aux utilisateurs, gestion des droits d’accès à privilèges, gestion des informations secrètes
d’authentification des utilisateurs, revue des droits d’accès utilisateurs, suppression ou adaptation des
droits d’accès,

- Responsabilité et contrôle d’accès des utilisateurs : Utilisation d’informations secrètes

d’authentification, Restriction d’accès à l’information, Sécuriser les procédures de connexion, Système
de gestion des mots de passe, Utilisation de programmes utilitaires à privilèges, Contrôle d’accès au
code source des programmes,

- Mesures cryptographiques : Politique d’utilisation des mesures cryptographiques, gestion des

clefs,
- Sécurité physique et environnementale : Périmètre de sécurité physique, Contrôle d’accès
physique, Sécurisation des bureaux, des salles et des équipements, Protection contre les menaces
extérieures et

Environnementales, Travail dans les zones sécurisées, Zones de livraison et de chargement, sécurité
des matériels,

- Sécurité liée à l’exploitation : protection contre les logiciels malveillant, sauvegarde, journalisation
et surveillance, maîtrise des logiciels en exploitation, gestion des vulnérabilité techniques, audit du
système d’information,

- Sécurité des communications : gestion de la sécurité des réseaux, transfert de l’information,

acquisition, développement et maintenance des systèmes d’information, Sécurité des processus de
développement et d’assistance technique,

- Sécurité dans les relations avec les fournisseurs : gestion de la prestation de service, chaîne
d’approvisionnement des produits et des services informatiques,

- Gestion des incidents liés à la sécurité de l’information et améliorations : responsabilités

et procédures, signalement des événements liés à la sécurité de l’information, signalement des failles

liées à la sécurité de l’information, réponse aux incidents liés à la sécurité de l’information, collecte
de preuves,

- Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité : continuité

de la sécurité de l’information, redondances,

L'importance d'un bon management pour assurer la cybersécurité

Le management joue un rôle crucial dans l'assurance de la cybersécurité au sein des organisations.
En effet, la mise en place d'une culture de sécurité solide et d'une gouvernance efficace est un
élément clé pour prévenir les cyberattaques. Tout d'abord, une bonne stratégie de management
permet de définir et de mettre en oeuvre des politiques et des procédures de sécurité claires.
Cela inclut l'élaboration de directives sur l'utilisation sécurisée des systèmes informatiques et la
gestion des accès et des privilèges. Elle permet également d'identifier les responsabilités en
matière de cybersécurité au sein de l'organisation.
De plus, asseoir un bon management au sein d'une entreprise peut aider à veiller à ce que les
ressources adéquates soient allouées à la cybersécurité. Cela peut permettre d'investir notamment
en technologies de pointe, de recruter des professionnels qualifiés et d'offrir une formation
continue en matière de sécurité informatique à tous les niveaux de l'entreprise.

Par ailleurs, une politique interne qui favorise une communication claire et régulière sur les
enjeux de cybersécurité est également essentielle. Elle permettra de sensibiliser les employés et
favoriser une prise de conscience collective des risques. Enfin, un bon système de management
peut faciliter la mise en place de mécanismes de détection et de réponse rapides en cas d'attaque.

Établissez des politiques et des procédures de sécurité adaptées à

l'entreprise
L'établissement de politiques et de procédures de sécurité spécifiques est une étape importante
pour garantir la protection des systèmes informatiques d'une organisation. Chaque entreprise est
unique, avec ses propres besoins, risques et exigences en matière de cybersécurité. Par
conséquent, il est essentiel que le management définisse des politiques spécifiques à
l'entreprise, en fonction de sa taille, de son secteur d'activité et de sa structure organisationnelle.

Les politiques de sécurité doivent couvrir tous les aspects pertinents, tels que :

 l'utilisation des systèmes informatiques,

 la gestion des mots de passe,
 l'accès aux données sensibles,
 la gestion des appareils mobiles.

Ces politiques doivent être claires, précises et facilement accessibles à tous les membres de
l'organisation.

Les procédures de sécurité quant à elles décrivent les étapes spécifiques à suivre pour mettre en
oeuvre les politiques et atteindre les objectifs de sécurité. Cela peut inclure la manière de
signaler les incidents de sécurité, de gérer les demandes d'accès aux données sensibles. Les
procédures peuvent également définir les étapes indispensables pour effectuer des mises à jour de
logiciel ou réaliser des audits de sécurité dans le but d'évaluer les vulnérabilités.
Par ailleurs, il est important d'impliquer les différents acteurs de l'entreprise dans l'élaboration de
ces politiques et procédures de sécurité. Cela favorisera une plus grande sensibilisation et
compréhension des enjeux de cybersécurité, ainsi qu'une adhésion plus forte à ces politiques.
De plus, il est essentiel de mettre à jour régulièrement ces dispositifs de sécurité tout en tenant
compte des évolutions technologiques, des nouvelles menaces et des changements
organisationnels.
Comment mener une évaluation des risques ?
Pour mener une évaluation des risques en cybersécurité et mettre en place une stratégie de réponse
aux incidents, une série d'étapes doit être envisagée. Tout d'abord, vous devez faire le point des
actifs numériques de l'entreprise. En effet, il s'agira d'identifier les données, les systèmes
informatiques, et les infrastructures réseau de l'entreprise pour comprendre ce qui doit être
protégé.
Ensuite, vous devez nécessairement analyser les menaces potentielles, qu'elles soient externes
(cyberattaques, logiciels malveillants) ou internes (erreurs humaines, négligences). Parallèlement,
il est indispensable d'identifier les vulnérabilités existantes dans les systèmes et processus de
l'entreprise. Cela vous permettra de déterminer les points faibles qui pourraient être exploités par
les malfrats.
Une fois que ces éléments sont évalués, il est possible d'établir une stratégie de réponse aux
incidents, en définissant des protocoles d'action en cas d'attaque ou de violation de sécurité.
Cette stratégie doit inclure des mesures de prévention, de détection, d'intervention et de
rétablissement pour réduire les conséquences d'un incident potentiel.

L'importance d'utiliser des outils de contrôle adéquats en

cybersécurité
Avec la complexité croissante des menaces et des attaques informatiques, les entreprises doivent
s'appuyer sur des outils technologiques spécifiques pour renforcer leur posture de sécurité. Ces
outils permettent une surveillance proactive des réseaux, des systèmes et des applications. Ils
permettent ainsi de détecter les activités suspectes et les comportements malveillants en temps
réel.
Ils offrent également des capacités avancées d'analyse, en identifiant les schémas, les tendances et
les anomalies qui pourraient indiquer une tentative d'intrusion ou une violation de
sécurité. L'utilisation d'outils de gestion des vulnérabilités permet également d'identifier et de
corriger rapidement les faiblesses potentielles dans les infrastructures et les logiciels.
Cela peut ainsi aider à réduire les risques d'exploitation par des cybercriminels. Enfin, ces outils
facilitent la mise en place de politiques de sécurité cohérentes et l'application des meilleures
pratiques. Tout ceci peut garantir une conformité réglementaire et une protection adéquate des
données
 Le SMSI : comment gérer la sécurité de l’information dans
l’entreprise ?
À l’heure de la transformation numérique, la donnée est devenue un
incontournable des entreprises : sur les activités, les fournisseurs ou
même les informations commerciales sensibles, ce sont là autant de
données à sécuriser. C’est ce que désignent la sécurité de l’information et
sa traduction dans l’entreprise : le SMSI, pour Système de Management
de la Sécurité de l’Information. Découvrez en quoi il consiste, comment il
est mis en place et quel est son champ d’application.

Qu’est-ce que le SMSI ?

Le SMSI désigne un ensemble de politiques et de processus visant à
gérer la sécurité et à atténuer les risques, particulièrement pour la
sécurité de l’information. Il s’agit d’un cadre global concernant, sinon
l’ensemble, du moins la majorité des services de l’entreprise : il n’est pas
qu’une question informatique, mais impacte également de nombreux autres
processus, comme le respect des normes comptables.

Un SMSI doit être en conformité avec des normes connues, comme

les common criteria ou la plus connue, la norme ISO 27 001 (officiellement
ISO/IEC 27 001), qui « spécifie les exigences relatives aux systèmes de
management de la sécurité des informations » (source). Elle n’impose pas
de mesures spécifiques, mais donne les lignes directrices à adopter pour le
développement d’un SMSI.

Dans son approche, le SMSI cherche à établir un compromis équilibré

entre, d’une part, le risque encouru et, d’autre part, l’atténuation de ce
même risque. Il s’agit d’apporter une réponse proportionnelle : la gestion
des actifs, par exemple, implique l’échange de données sensibles et doit
donc faire l’objet de processus renforcés.

D’ailleurs, certains secteurs lourdement réglementés requièrent un large

éventail de protocoles et de stratégies d’atténuation des risques ; c’est le
cas de la santé et de la finance, par exemple. On le comprend, le SMSI
répond aux menaces internes et externes, lesquelles sont en constante
évolution. Dans cette perspective, le système doit lui aussi être
constamment optimisé.
Le SMSI : une optimisation continue de la
sécurité de l’information
Avec plus de 450 000 nouveaux malwares créés chaque jour, les enjeux
de sécurité sont sans cesse renouvelés : le SMSI ne doit pas être une
création unique, mais au contraire se montrer dynamique. Il doit en ce sens
évoluer et améliorer ses processus pour faire face aux nouveaux risques
(comme les cybermenaces sans cesse renforcées face aux protocoles de
sécurité déployés), en prenant également en compte les changements
dans l’organisation (culture d’entreprise, ressources, etc.).

Puisqu’il constitue un cadre global de sécurité, le SMSI requiert souvent un

temps d’accompagnement auprès des collaborateurs : ils doivent être
initiés aux risques et déployer les protocoles prévus par le SMSI. Le défi est
d’autant plus coriace que l’entreprise et ses effectifs doivent constamment
s’adapter aux nouvelles évolutions du système.
Le Plan-Do-Check-Act pour optimiser le SMSI en continu

Ainsi, afin d’être mis en œuvre, le SMSI suit un modèle Plan-Do-Check-

Act (PDCA) :

 Planifier (Plan) : vous collectez toutes les

informations nécessaires à l’identification des failles et l’évaluation
des risques. Sur cette base, vous définissez un ensemble de
politiques et de processus, puis établissez des méthodes pour vous
assurer de l’optimisation continue du SMSI.
 Faire (Do) : vous appliquez les politiques déterminées en suivant
la norme ISO 27001 et les ressources qu’a votre entreprise.
 Vérifier (Check) : vous menez une veille de l’efficacité des
processus et évaluez les résultats.
 Agir (Act) : vous améliorez les processus existants, en éliminez
ou en construisez de nouveaux grâce à ces retours.

Le PCDA est un modèle global qui doit être décliné dans l’ensemble des
domaines couverts par le SMSI.

Quels sont les domaines du contrôle de

sécurité du SMSI ?
Les champs d’application du SMSI sont définis, là aussi, par la norme ISO
27001 ; nous les détaillons ci-dessous.
Politiques et organisation de la sécurité de l’information

C’est le volet le plus important de la norme : on définit une orientation de

politique générale, sur la base de l’entreprise, de ses activités, de son
évolution et de ses besoins de sécurité. L’organisation peut ainsi diminuer
les risques liés au réseau de l’entreprise, à savoir les cybermenaces
internes comme externes ainsi que les potentiels dysfonctionnements du
système.
Les processus de l’entreprise

Ce sont les volets les plus nombreux du contrôle de sécurité du SMSI :

 Gestion des communications et des opérations. L’ensemble des

systèmes et processus doivent être en accord avec le SMSI ; il en va
de même pour toutes les opérations courantes, comme la fourniture
de services.
 Gestion des actifs. Cela couvre les actifs organisationnels et donc
l’échange d’informations commerciales sensibles.
 Sécurité physique et environnementale. Le matériel informatique
doit être protégé contre les dommages et pertes et cela s’étend
d’ailleurs aux réseaux cloud sécurisés situés en-dehors du site de
l’organisation.
 Continuité de l’activité. L’entreprise doit faire preuve de résilience et
l’activité, si elle est interrompue, doit reprendre au plus vite. C’est par
exemple ce que l’on retrouve pour les « opérateurs de services
essentiels » dans le cadre de la directive NIS.
 Délimitation des droits d’accès. Il s’agit de définir les rôles et
responsabilités des collaborateurs et des informations auxquelles ils
peuvent accéder, tant sur les supports physiques qu’informatiques.
Le SMSI surveille le réseau et détecte les actions irrégulières.
 Cryptographie. Pour la protection des données sensibles, la
cryptographie est souvent utilisée, mais elle n’est pas invulnérable.
Le SMSI formalise donc les processus cryptographiques et indique
comment ils doivent être gérés.

Sécurité des collaborateurs et des tiers

Il s’agit, enfin, de se concentrer sur les personnes :

 Sécurité des ressources humaines. On se concentre ici sur les

effectifs et leurs activités. L’objectif est d’abord d’identifier les erreurs
humaines et d’adopter des mesures de formation pour diminuer les
 manquements involontaires à la sécurité. Enfin, il s’agit également de
réduire le risque de menace interne.
 Relations avec les fournisseurs. Ceux-ci peuvent requérir des
accès au réseau et à des données sensibles, et s’il n’est certes pas
possible d’appliquer les mêmes protocoles de sécurité à tous, il faut
mener des contrôles adéquats pour atténuer les risques. Cela peut
passer, par exemple, par des mesures de sécurité informatique et
des obligations contractuelles avec les tiers.

Les domaines peuvent bien sûr connaître des variations selon

l’organisation, mais l’exhaustivité du SMSI donne une approche globale de
la sécurité de l’information. Le SMSI présente donc des atouts face aux
cybermenaces et dysfonctionnements du réseau, mais n’adresse toutefois
pas d’autres risques prégnants eux aussi, comme celui de
la fraude (arnaque au FOVI, fraude au faux fournisseur, etc.). En plus du
SMSI, il est donc intéressant pour votre entreprise de s’équiper
d’une solution anti-fraude, comme Trustpair. La plateforme contrôle vos
données tiers en continu et vous alerte en cas d’anomalie, vous protégeant
de la fraude. Contactez un expert pour en savoir plus !
Pour conclure…

 Un SMSI est un système de management permettant de définir des

actions (techniques, organisationnelles) pour atteindre un objectif
fixé.

 Ce modèle contribue à la gestion de la sécurité au sein de

l’organisation, tout en atténuant les risques, en particulier sur la
thématique de la sécurité de l’information.
 Le SMSI suit un modèle Plan-Do-Check-Act. Soit, un processus en
quatre temps: Collecte des informations, Application des politiques
déterminées, Veille, Amélioration.
 Il permet une accentuation sur la sécurité des ressources humaines
et des relations avec ses fournisseurs.
 Une solution de gestion unique comme Trustpair vous permet de
gérer les risques de manière proactive.