Actu/Blog
ConformitéComprendre

La norme ISO 27001

Schéma SMSI — système de management de la sécurité de l'information autour des piliers confidentialité, intégrité et disponibilité
Norme de référence : ISO/IEC 27001:2022

ISO 27001 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de management de la sécurité de l'information (SMSI).

Le SMSI aide à gérer les risques IT et à protéger la confidentialité, l'intégrité et la disponibilité de l'information (CID).

À qui s'adresse cette norme ?

Toute organisation qui souhaite structurer sa sécurité, quelle que soit sa taille ou son secteur. Un SMSI conforme organise aussi les processus — au-delà de la seule technique.

Objectifs d'ISO 27001

Protéger les systèmes d'information contre les menaces, minimiser les failles et renforcer la confiance des clients et partenaires par un engagement visible sur la sécurité de l'information.

Qu'est-ce qu'un SMSI ?

SMSI = Système de Management de la Sécurité de l'Information (ISMS en anglais). C'est un ensemble de politiques, procédures, instructions et enregistrements qui décrivent comment la sécurité de l'information est gérée.

Système de management

Selon ISO 9000, un système doit permettre d'établir une politique et des objectifs, puis d'atteindre ces objectifs. Le SMSI formalise donc comment l'organisation pilote sa sécurité — pas seulement quoi protéger.

Contrairement à une approche « cybersécurité seule », ISO 27001 couvre l'information sous toutes ses formes : numérique, papier, transmission orale, affichage sur tableau blanc, etc.

On y trouve par exemple une politique de classification : niveaux de confidentialité (Public, Confidentiel, Restreint…), habilitations, règles de stockage et de transmission. Cette politique est revue selon une procédure (périodicité, responsables), détaillée par des instructions opérationnelles. Des indicateurs et enregistrements permettent de vérifier que le dispositif fonctionne.

Sécurité de l'information

La sécurité, c'est assurer la confidentialité, l'intégrité et la disponibilité de l'information — quelle que soit sa forme.

PDCA Plan Do Check Act dans un SMSI ISO 27001
Le cycle PDCA au cœur de l'amélioration continue du SMSI.

L'amélioration continue

Plan, Do, Check, Act — la roue de Deming. Les actions sont planifiées, mises en œuvre, vérifiées puis améliorées en boucle.

Les risques

L'analyse des risques guide le choix des mesures. Pour chaque actif informationnel, on évalue l'impact sur la CID et la probabilité d'occurrence, puis on traite le risque (éviter, partager, réduire ou accepter). L'annexe A et le guide ISO 27002 proposent un référentiel de mesures.

Le plan de traitement des risques suit l'avancement des actions. Lors de la revue de direction, les risques résiduels sont présentés pour approbation.

La famille ISO 27000

Famille ISO 27000 — 27001, 27002, 27005
27001 (certification) et 27006 (organismes certificateurs) ; 27002 et 27005 comme guides.

En projet de certification, la norme ISO 27002 complète l'annexe A de la 27001 avec un guide de bonnes pratiques. ISO 27005 détaille la gestion des risques. Les normes sont disponibles à l'achat sur le site de l' AFNOR.

Pour un accompagnement SOOIZ sur ce périmètre, voir Conformité ISO 27001 — cet article pose les bases ; la landing métier détaille la mise en œuvre.

Le contenu de la norme ISO 27001

La norme ISO 27001:2022 compte environ 30 pages, dont 19 pour les exigences applicables. Elle se décompose en deux blocs complémentaires : les clauses 4 à 10 (exigences du SMSI) et l'annexe A (référentiel de mesures de sécurité).

Structure de la norme ISO 27001 — clauses 4 à 10 et annexe A
Vue d'ensemble : exigences de management (clauses 4–10) et catalogue de mesures (annexe A).

Clauses 4 à 10 — Exigences SMSI

Le cœur certifiable de la norme :

  • 4 — Contexte : périmètre, parties intéressées, enjeux
  • 5 — Leadership : politique, rôles, responsabilités
  • 6 — Planification : risques, objectifs, plan de traitement
  • 7 — Supports : ressources, compétences, sensibilisation, documentation
  • 8 — Fonctionnement : mise en œuvre des mesures, gestion des changements
  • 9 — Évaluation : surveillance, audit interne, revue de direction
  • 10 — Amélioration : non-conformités, actions correctives, amélioration continue

Annexe A — 93 mesures de sécurité

Réparties en quatre thèmes (édition 2022) :

  • 37 mesures organisationnelles
  • 8 mesures concernant les personnes
  • 14 mesures physiques
  • 34 mesures technologiques

L'organisme déclare dans sa déclaration d'applicabilité (SoA) quelles mesures sont retenues, avec justification — souvent en s'appuyant sur ISO 27002 pour le détail opérationnel.

La norme s'articule autour de composants clés :

  • Évaluation du risque — identification et évaluation des risques pour la sécurité des informations
  • Mesures de sécurité — contrôles adaptés pour atténuer ou éliminer les risques identifiés
  • Politique de sécurité — attentes et exigences formalisées
  • Engagement de la direction — pilotage actif du SMSI
  • Amélioration continue — cycle PDCA pour revoir et renforcer le système

En savoir plus

Pour approfondir, procurez-vous la norme via l' AFNOR, ou le livre Mon SMSI Facile d' Alexandre Lienard qui vulgarise le parcours de certification.

SOOIZ accompagne la mise en place de votre SMSI — voir l'offre ISO 27001 ou échanger sur votre contexte.

Parler de votre contexte cybersécurité

Un premier échange de 30 minutes suffit pour voir si nos approches correspondent à vos enjeux.

Prendre rendez-vous