Passer au contenu principal

La norme ISO/IEC 27001

Présentation académique de la norme ISO/IEC 27001 : historique, clauses normatives, Annexe A, processus de certification, famille 27000 et comparaison avec RGPD, SOC 2, HDS et NIS2.


ISO/IEC 27001 est la norme internationale de référence pour la gestion de la sécurité de l'information. Publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), elle définit les exigences qu'un organisme doit respecter pour établir, mettre en oeuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI).

Cet article en présente la définition, l'historique, la structure, le processus de certification, l'écosystème des normes associées, ainsi que ses bénéfices, ses limites et ses points de comparaison avec d'autres référentiels (RGPD, SOC 2, HDS, NIS2).

1. Qu'est-ce que la norme ISO/IEC 27001 ?

ISO/IEC 27001 est une norme internationale, c'est-à-dire un document de référence publié par un organisme de normalisation reconnu au niveau mondial. Elle spécifie les exigences auxquelles un organisme doit se conformer pour gérer les risques liés à la sécurité de l'information de façon systématique et documentée.

Son objet central est le SMSI (Système de Management de la Sécurité de l'Information), appelé ISMS en anglais (Information Security Management System). Un SMSI n'est pas un logiciel ni un outil : c'est un ensemble de politiques, processus, procédures, responsabilités et mesures techniques qui, pris ensemble, permettent à un organisme de gérer ses risques informationnels de façon cohérente et continue.

Norme vs certification : deux concepts distincts

La norme est le texte de référence publié par ISO. La certification est le processus par lequel un organisme certificateur accrédité vérifie qu'un SMSI est conforme à cette norme et délivre un certificat. ISO ne certifie pas les organisations ; elle publie la norme. Ce sont des organismes tiers accrédités (UKAS, COFRAC, BELAC, DAkkS, etc.) qui délivrent les certifications.


La norme s'applique à tout type d'organisation, quelle que soit sa taille, son secteur ou sa nature juridique (entreprise privée, administration publique, association). Elle ne prescrit pas de technologie particulière ni de catalogue de solutions : elle impose une démarche, pas des outils.

2. Histoire et versions successives

Les racines d'ISO/IEC 27001 sont britanniques. En 1995, le BSI (British Standards Institution) publie la norme BS 7799, premier référentiel de sécurité de l'information destiné aux entreprises. Cette norme est développée à l'initiative du Department of Trade and Industry (DTI) britannique, qui identifie dans les années 1980 le besoin d'un cadre commun pour la gestion de la sécurité informatique.

En 1998, le BSI publie BS 7799-2, la partie du référentiel relative aux systèmes de management, qui deviendra la base directe d'ISO/IEC 27001.

Chronologie des versions officielles

1995 : BS 7799 publiée par le BSI (British Standards Institution), Royaume-Uni.

1998 : BS 7799-2, partie relative aux systèmes de management.

2005 : ISO/IEC 27001:2005, première version internationale, adoptée après soumission de BS 7799-2 à l'ISO.

2013 : ISO/IEC 27001:2013, refonte majeure alignée sur la structure haute harmonisée (HLS, anciennement "Annex SL") commune à toutes les normes ISO de systèmes de management.

25 octobre 2022 : ISO/IEC 27001:2022, version actuellement en vigueur. Refonte de l'Annexe A : passage de 114 à 93 contrôles, regroupés en 4 thèmes.

Période de transition : échéance au 31 octobre 2025

Conformément au mandat de l'IAF (International Accreditation Forum, document IAF MD 26:2023), toutes les certifications encore délivrées sous la version 2013 doivent avoir migré vers la version 2022 avant le 31 octobre 2025. Passé cette date, les certificats ISO/IEC 27001:2013 ne sont plus reconnus par les organismes certificateurs accrédités membres de l'IAF.

La structure haute harmonisée (HLS), introduite en 2013 sous l'appellation "Annex SL" et formalisée sous le nom HLS depuis 2021, est un cadre commun à toutes les normes ISO de systèmes de management (ISO 9001 qualité, ISO 14001 environnement, ISO 45001 santé-sécurité, etc.). Ce cadre partagé facilite l'intégration de plusieurs systèmes de management au sein d'un même organisme.

3. Structure de la norme

ISO/IEC 27001:2022 est organisée en clauses numérotées. Les clauses 1 à 3 sont introductives (domaine d'application, références normatives, termes et définitions). Les clauses 4 à 10 sont normatives : elles contiennent les exigences auxquelles une organisation doit se conformer pour être certifiée. Ce sont les clauses qui utilisent le verbe "shall" (doit, en anglais).

Les clauses normatives 4 à 10

Clause 4 : Contexte de l'organisation. Compréhension des enjeux internes et externes, identification des parties intéressées et de leurs exigences, définition du périmètre du SMSI.

Clause 5 : Leadership. Engagement de la direction, attribution des responsabilités, définition d'une politique de sécurité de l'information.

Clause 6 : Planification. Appréciation et traitement des risques (obligatoire), définition des objectifs de sécurité, planification des changements.

Clause 7 : Support. Ressources, compétences, sensibilisation, communication, documentation et maîtrise des informations documentées.

Clause 8 : Fonctionnement. Mise en oeuvre opérationnelle des plans définis en clause 6, maîtrise des processus externalisés.

Clause 9 : Évaluation des performances. Surveillance, mesure, analyse, audit interne, revue de direction.

Clause 10 : Amélioration. Traitement des non-conformités, actions correctives, amélioration continue.

La norme inclut une Annexe A, qui liste un catalogue de contrôles de sécurité. Dans la version 2022, ce catalogue comprend 93 contrôles, répartis en 4 thèmes :

Les 4 thèmes de l'Annexe A (version 2022)

A.5 : Contrôles organisationnels (37 contrôles). Politiques, rôles, responsabilités, relations avec les fournisseurs, gestion des incidents, continuité.

A.6 : Contrôles liés au personnel (8 contrôles). Vérification des antécédents, conditions d'emploi, sensibilisation, formation, processus disciplinaire, départ des collaborateurs.

A.7 : Contrôles physiques (14 contrôles). Périmètres de sécurité physique, accès aux locaux, protection du matériel, sécurisation des bureaux et des zones de travail.

A.8 : Contrôles technologiques (34 contrôles). Gestion des identités, contrôle d'accès logique, cryptographie, sécurité des réseaux, journalisation, protection contre les logiciels malveillants, sécurité du développement logiciel.

Lien avec ISO/IEC 27002:2022

L'Annexe A de la norme 27001 liste les contrôles sans en détailler la mise en oeuvre. C'est la norme ISO/IEC 27002:2022 qui remplit ce rôle : elle fournit pour chaque contrôle des lignes directrices d'implémentation, des attributs et des explications pratiques. ISO 27002 n'est pas une norme certifiable ; elle sert de guide d'implémentation complémentaire.

Les 11 nouveaux contrôles introduits en 2022 reflètent l'évolution du paysage technologique : surveillance de la sécurité physique, prévention des fuites de données, sécurisation des services cloud, gestion des menaces sur le Web, masquage des données et sécurisation du code.

4. Le SMSI : concept central de la norme

Le SMSI (Système de Management de la Sécurité de l'Information) est le coeur d'ISO/IEC 27001. Un SMSI n'est pas un logiciel, ni une liste de cases à cocher. C'est une démarche structurée et documentée par laquelle un organisme identifie ses actifs informationnels, évalue les risques qui pèsent sur eux, décide de mesures de traitement, met ces mesures en oeuvre, vérifie leur efficacité et s'améliore en continu.

L'approche est dite "risk-based" (fondée sur les risques) : il n'existe pas de catalogue universel de contrôles à appliquer indistinctement. L'organisation détermine quels contrôles sont pertinents au regard de ses risques spécifiques. C'est la raison pour laquelle deux organisations certifiées ISO 27001 peuvent avoir des SMSI de périmètre et de composition très différents.

La triade CIA : objectif fondamental du SMSI

L'objectif historique de la sécurité de l'information dans ISO/IEC 27001 est de préserver trois propriétés essentielles, traditionnellement regroupées sous l'acronyme CIA (Confidentiality, Integrity, Availability) :

Confidentialité : l'information n'est accessible qu'aux personnes ou systèmes autorisés.

Intégrité : l'information n'est ni altérée ni détruite de manière non autorisée, qu'elle soit stockée, traitée ou transmise.

Disponibilité : l'information et les systèmes qui la traitent sont accessibles et utilisables sur demande par une entité autorisée.

Certains référentiels modernes étendent cette triade à l'authenticité, la non-répudiation et la traçabilité. La norme ISO/IEC 27000:2018 (vocabulaire de la famille) mentionne explicitement ces propriétés complémentaires.

Les actifs informationnels : notion centrale du SMSI

Le SMSI s'organise autour de la notion d'actifs informationnels (information assets) : tout ce qui a de la valeur pour l'organisation et qui doit être protégé. L'inventaire, la classification et l'évaluation de la criticité de ces actifs constituent une étape fondatrice du SMSI, examinée lors de l'audit de certification.

Les principales catégories d'actifs couvertes par un SMSI :

  • Données et bases d'information

  • Logiciels et applications

  • Infrastructures et matériel

  • Personnels et compétences

  • Fournisseurs et prestataires

  • Documentation et procédures

  • Services cloud

  • Équipements physiques (postes, mobiles, périphériques)

La classification des actifs (ex. : public / interne / confidentiel / strictement confidentiel) est un exercice systématiquement contrôlé lors des audits.

Le cycle PDCA (Plan-Do-Check-Act)

Le SMSI repose sur le cycle d'amélioration continue formalisé par W. Edwards Deming, connu sous l'acronyme PDCA :

Plan : Définir le périmètre, apprécier les risques, choisir les contrôles (clause 6).

Do : Mettre en oeuvre les contrôles retenus (clause 8).

Check : Mesurer l'efficacité, auditer, produire des métriques (clause 9).

Act : Traiter les non-conformités, améliorer le système (clause 10).

Un document obligatoire dans tout SMSI certifié est la Déclaration d'Applicabilité (Statement of Applicability, SoA). Ce document liste l'ensemble des 93 contrôles de l'Annexe A, indique pour chaque contrôle s'il est retenu ou exclu, justifie les exclusions, et précise le statut d'implémentation des contrôles retenus. La SoA est un document central de la certification : les auditeurs s'y réfèrent systématiquement pour vérifier la cohérence entre l'appréciation des risques et les mesures choisies.

Les deux livrables documentés du traitement des risques

ISO/IEC 27001 exige deux documents formalisés pour le traitement des risques:

Le registre des risques (risk register) : liste des risques identifiés, leur évaluation (probabilité × impact), le propriétaire du risque et le niveau résiduel après traitement.

Le plan de traitement des risques (risk treatment plan) : actions retenues pour chaque risque (réduire, transférer, éviter, accepter), responsables, échéances, ressources allouées et indicateurs de suivi.

Ces deux documents, avec la SoA, forment la trilogie documentaire que tout auditeur examine en priorité lors du Stage 1.

5. Le processus de certification

La certification ISO/IEC 27001 est délivrée par un organisme certificateur accrédité, c'est-à-dire un organisme dont la compétence a été évaluée et reconnue par un organisme national d'accréditation membre de l'IAF (International Accreditation Forum). Parmi les organismes nationaux d'accréditation les plus connus : UKAS (Royaume-Uni), COFRAC (France), BELAC (Belgique), DAkkS (Allemagne), SCC (Canada), ANAB (États-Unis).

L'audit de certification se déroule en deux étapes :

Stage 1 : Revue documentaire

L'auditeur examine la documentation du SMSI : périmètre, politique de sécurité, appréciation des risques, Déclaration d'Applicabilité (SoA), procédures. L'objectif est de vérifier que le SMSI est conçu de façon conforme aux exigences de la norme avant de passer à l'audit terrain. Le Stage 1 identifie les lacunes à corriger avant le Stage 2.

Stage 2 : Audit de conformité terrain

L'auditeur vérifie que les contrôles documentés sont effectivement mis en oeuvre et efficaces. Il conduit des entretiens avec les collaborateurs, observe les pratiques, examine les preuves (journaux, configurations, enregistrements de formation, comptes-rendus de revue de direction). C'est à l'issue du Stage 2 que le certificat est délivré, sous réserve qu'aucune non-conformité majeure n'ait été identifiée.

Une fois le certificat délivré, l'organisation entre dans un cycle de 3 ans :

Cycle de certification sur 3 ans

Année 0 : Certification initiale (Stage 1 + Stage 2). Délivrance du certificat.

Année 1 : Premier audit de surveillance annuel. L'auditeur vérifie que le SMSI fonctionne toujours et que les non-conformités ont été traitées.

Année 2 : Deuxième audit de surveillance annuel.

Année 3 : Audit de renouvellement (recertification). Si concluant, un nouveau cycle de 3 ans commence.

Non-conformités : majeures vs mineures

Une non-conformité majeure est une défaillance systémique ou critique qui met en cause la conformité globale du SMSI (ex. : absence complète d'un processus exigé par la norme, ou risque non traité sur un actif critique). Elle bloque la certification tant qu'elle n'est pas résolue et vérifiée.

Une non-conformité mineure est un écart ponctuel ou limité qui ne remet pas en cause l'ensemble du système (ex. : procédure non mise à jour, formation non documentée pour un collaborateur). Elle doit être corrigée avant l'audit suivant.

L'audit interne du SMSI : une exigence obligatoire (clause 9.2)

L'audit interne est une exigence obligatoire d'ISO/IEC 27001 (clause 9.2). L'organisation doit conduire ses propres audits internes à intervalles planifiés pour vérifier que le SMSI est conforme aux exigences de la norme et qu'il est effectivement mis en oeuvre et maintenu.

Quatre exigences clés s'appliquent :

Programme d'audit documenté : périmètre, fréquence, méthodes et responsabilités formalisés par écrit.

Fréquence planifiée : généralement annuelle, ajustable selon les risques et la maturité du SMSI.

Indépendance de l'auditeur : l'auditeur interne ne peut pas auditer son propre travail. Dans les PME, cela conduit souvent à recourir à un auditeur externe mandaté.

Compétence : formation et qualification de l'auditeur, idéalement selon ISO/IEC 19011 (lignes directrices pour l'audit des systèmes de management).

Distinction ISO, organisme certificateur et organisme d'accréditation

ISO publie la norme. ISO ne certifie pas les organisations, ne délivre pas de certificats et n'accrédite pas les organismes certificateurs.

L'organisme certificateur (ex. BSI, Bureau Veritas, SGS, LRQA, Afnor Certification) réalise l'audit et délivre le certificat. Il doit lui-même être accrédité.

L'organisme national d'accréditation (COFRAC, UKAS, BELAC, DAkkS) évalue et reconnaît la compétence des organismes certificateurs. Ces organismes nationaux sont membres de l'IAF (International Accreditation Forum), qui gère les arrangements multilatéraux de reconnaissance mutuelle (MLA) garantissant la valeur internationale des certifications.

6. L'écosystème de la famille ISO/IEC 27000

ISO/IEC 27001 n'est pas une norme isolée. Elle appartient à une famille de normes (la série ISO/IEC 27000) couvrant différents aspects de la sécurité de l'information. Voici les normes les plus pertinentes de cet écosystème :

Les principales normes de la famille ISO/IEC 27000

ISO/IEC 27000 : Vocabulaire et vue d'ensemble de la famille. Disponible gratuitement sur iso.org.

ISO/IEC 27001 : Exigences pour un SMSI. La principale norme certifiable de la famille. ISO/IEC 27701 peut également faire l'objet d'une certification, mais uniquement en extension d'une certification ISO/IEC 27001 préexistante.

ISO/IEC 27002:2022 : Guide d'implémentation des 93 contrôles de l'Annexe A. Complète 27001 sans la remplacer.

ISO/IEC 27005 : Management du risque d'information. Fournit des lignes directrices pour l'appréciation et le traitement des risques dans le cadre d'un SMSI.

ISO/IEC 27017:2015 : Contrôles de sécurité spécifiques aux services cloud. Complément de 27002 pour les fournisseurs et clients de services cloud.

ISO/IEC 27018:2019 : Protection des données personnelles (PII) dans le cloud. S'adresse aux processeurs de données personnelles opérant des services cloud publics.

ISO/IEC 27701:2019 : Extension de 27001 et 27002 pour la gestion de la vie privée (Privacy Information Management System, PIMS). Couvre les responsables de traitement et les sous-traitants. Comprend une annexe de correspondance avec les articles du RGPD.

ISO 27799:2016 : Sécurité de l'information en santé. Guide d'application de 27002 dans le secteur de la santé, prenant en compte les spécificités des données de santé et des systèmes cliniques.

Parmi ces normes, ISO/IEC 27001 est la principale norme certifiable : elle constitue le socle de certification d’un SMSI par un organisme tiers. Les autres normes de la famille sont principalement des guides, référentiels d’implémentation ou extensions. Certaines, comme ISO/IEC 27701, peuvent faire l’objet d’une certification complémentaire lorsqu’elles s’appuient sur un SMSI ISO/IEC 27001, mais elles ne remplacent pas la certification ISO/IEC 27001.

7. Bénéfices et limites

La certification ISO/IEC 27001 est reconnue dans plus de 91 pays. Selon les estimations publiées par le BSI, plus de 500 000 certificats auraient été délivrés à des organisations de toutes tailles dans plus de 91 pays depuis 1999. Cette reconnaissance internationale explique qu'elle soit fréquemment exigée dans les appels d'offres des grandes entreprises, des administrations publiques ou des donneurs d'ordre du secteur de la santé.

Bénéfices principaux

Démarche structurée : la norme impose un cadre complet de gouvernance de la sécurité, de l'identification des risques jusqu'à l'amélioration continue.

Reconnaissance internationale : le certificat est valide dans tous les pays membres de l'IAF, grâce aux accords multilatéraux de reconnaissance mutuelle (MLA).

Signal de confiance : la certification atteste qu'un organisme tiers indépendant a vérifié le SMSI. Elle est souvent exigée par les clients, partenaires ou donneurs d'ordre dans les secteurs réglementés.

Alignement partiel avec le RGPD : la démarche SMSI couvre un sous-ensemble des exigences de sécurité du RGPD (article 32). ISO 27701 étend cet alignement à la gestion des données personnelles.

Culture de sécurité documentée : le processus de certification oblige l'organisation à formaliser, former et auditer ses pratiques de sécurité de façon récurrente.

Limites à connaître

Pas une garantie d'invulnérabilité : la certification atteste la qualité du processus de management des risques, pas l'absence de vulnérabilités techniques. Une organisation certifiée peut être victime d'une attaque.

Couverture partielle du RGPD : ISO 27001 couvre la sécurité de l'information ; le RGPD porte sur la protection des données personnelles et les droits des personnes. Le recouvrement est réel mais pas l'équivalence : une certification ISO 27001 ne suffit pas à démontrer la conformité RGPD.

Coût et charge documentaire : les coûts d'une démarche ISO/IEC 27001 varient selon le périmètre du SMSI, la taille de l'organisation, sa maturité initiale en sécurité, le recours à du conseil externe, le modèle d'infrastructure (cloud, on-premise, hybride) et les exigences spécifiques des clients. Pour une PME de moins de 50 salariés, l'enveloppe globale (conseil, charge interne, audit de certification) se situe généralement entre 50 000 et 150 000 EUR sur la première année, mais ce chiffre n'a valeur que d'ordre de grandeur indicatif.

Risque de conformité cosmétique : la norme impose une démarche, pas un niveau de sécurité minimal absolu. Une organisation peut produire la documentation requise sans que les pratiques réelles soient robustes. Les auditeurs expérimentés cherchent des preuves d'effectivité, pas seulement de documentation.

8. ISO 27001 et les autres référentiels : points de comparaison

ISO/IEC 27001 coexiste avec d'autres référentiels de sécurité et de conformité. Comprendre leurs différences permet d'éviter les raccourcis habituels (ex. : "certifié ISO 27001 = conforme RGPD").

RGPD (Règlement Général sur la Protection des Données)

Nature : règlement européen contraignant (2016/679), applicable depuis le 25 mai 2018.

Objet : protection des données à caractère personnel, droits des personnes concernées (accès, rectification, effacement, portabilité), obligations des responsables de traitement et sous-traitants.

Relation avec ISO 27001 : l'article 32 du RGPD exige des mesures techniques et organisationnelles appropriées pour sécuriser les données. ISO 27001 peut contribuer à démontrer cette conformité sur le volet sécurité, mais le RGPD va au-delà (droits des personnes, registres, DPO, notifications de violations). ISO 27701 est l'extension conçue pour couvrir le RGPD dans le cadre d'un SMSI.

SOC 2 (Service Organization Control 2)

Nature : référentiel américain défini par l'AICPA (American Institute of Certified Public Accountants). Pas une norme ISO.

Objet : attestation de conformité d'un prestataire de services aux 5 Trust Services Criteria (TSC) : sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée.

Relation avec ISO 27001 : SOC 2 est une attestation (rapport Type I ou Type II) délivrée par un cabinet CPA, pas un certificat. Type II couvre une période d'observation (typiquement 6 à 12 mois) et atteste l'effectivité des contrôles dans le temps. Les deux référentiels se recoupent largement sur les contrôles de sécurité, mais SOC 2 est davantage orienté marché américain et SaaS.

HDS (Certification Hébergeur de Données de Santé)

Nature : certification française, obligatoire pour tout hébergeur de données de santé à caractère personnel produites lors d'activités de prévention, de diagnostic, de soins ou de suivi médico-social (décret n° 2018-137 du 26 février 2018).

Relation avec ISO 27001 : la certification HDS est bâtie sur ISO 27001 et l'exige comme prérequis. Elle ajoute des exigences spécifiques au secteur de la santé : disponibilité en langue française du support de premier niveau, gestion des transferts de données hors UE, exigences contractuelles vis-à-vis des clients. La certification HDS est délivrée par un organisme accrédité par le COFRAC.

NIS2 (Directive européenne sur la sécurité des réseaux et des systèmes d'information)

Nature : directive européenne 2022/2555 (NIS2, Network and Information Security 2). Cette directive imposait aux États membres une date limite de transposition fixée au 17 octobre 2024. À cette date, plusieurs États membres accusaient un retard de transposition. Les obligations effectives pour les entités assujetties dépendent donc des lois nationales de transposition et de leur date d'entrée en vigueur dans chaque pays.

Objet : renforcement de la cybersécurité pour les entités essentielles et importantes dans des secteurs critiques (énergie, transports, santé, infrastructure numérique, etc.). Exigences en matière de gestion des risques, de notification des incidents et de gouvernance de la sécurité.

Relation avec ISO 27001 : ISO/IEC 27001:2022 et ISO/IEC 27002:2022 sont explicitement référencés dans les guides techniques de l'ENISA pour l'implémentation de NIS2. La norme n'est pas exigée par NIS2, mais elle est reconnue comme moyen pertinent pour démontrer la conformité aux exigences de gestion des risques.

Autres référentiels sectoriels

TISAX : référentiel de sécurité de l'information pour l'industrie automobile (Trusted Information Security Assessment Exchange), administré par l'ENX Association.

PCI-DSS : Payment Card Industry Data Security Standard, obligatoire pour les organisations qui traitent des données de cartes de paiement.

HITRUST CSF : référentiel américain très répandu dans le secteur de la santé aux États-Unis, qui consolide plusieurs exigences réglementaires dont HIPAA.

Sources

Une question ?

Contactez-nous à l'adresse [email protected].

Articles connexes
Moofl, vers la certification ISO 27001
La sécurité chez Moofl
Avez-vous trouvé la réponse à votre question ?