Introduction à ISO 27001:2022
ISO/IEC 27001:2022 est la norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI). Elle fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer continuellement la sécurité de l'information.
Structure de la Norme
- Chapitres 4-10 : Exigences du SMSI (certifiables)
- Annexe A : 93 contrôles de sécurité organisés en 4 catégories
Nouveautés de la version 2022
- Passage de 114 à 93 contrôles (consolidation et modernisation)
- 11 nouveaux contrôles (threat intelligence, cloud, DLP, etc.)
- Réorganisation en 4 thèmes au lieu de 14 domaines
- Alignement avec ISO 27002:2022
5. Contrôles Organisationnels (37 contrôles)
Les contrôles organisationnels établissent le cadre de gouvernance et les processus de gestion de la sécurité de l'information.
6. Contrôles liés aux Personnes (8 contrôles)
Ces contrôles couvrent la sécurité du personnel, de l'embauche au départ, incluant la sensibilisation et la formation.
7. Contrôles Physiques (14 contrôles)
Les contrôles physiques protègent les installations, équipements et environnements de traitement de l'information.
8. Contrôles Technologiques (34 contrôles)
Les contrôles technologiques couvrent la sécurité des systèmes, réseaux, applications et données.
Mapping ISO 27001 ↔ NIS2
Ce tableau montre comment les contrôles ISO 27001 couvrent les 10 mesures clés de la directive NIS2 :
| Mesure NIS2 | Contrôles ISO 27001 Principaux | Couverture |
|---|---|---|
| 1. Analyse des risques | 5.7 (Threat intelligence), 5.1 (Politiques), 8.8 (Vulnérabilités) | 95% |
| 2. Gestion des incidents | 5.24, 5.25, 5.26, 5.27, 5.28 (Incidents complets) | 100% |
| 3. Continuité d'activité | 5.29, 5.30 (Continuité TIC), 8.13 (Sauvegardes), 8.14 (Redondance) | 90% |
| 4. Sécurité chaîne approvisionnement | 5.19, 5.20, 5.21, 5.22, 5.23 (Fournisseurs complets) | 100% |
| 5. Sécurité des systèmes | 8.9 (Config), 8.8 (Vulnérabilités), 8.19 (Installation), 8.32 (Changements) | 95% |
| 6. Contrôle d'accès | 5.15, 5.16, 5.17, 5.18 (IAM complet), 8.2 (Privilèges), 8.5 (MFA) | 100% |
| 7. Cryptographie | 8.24 (Politique crypto), 5.14 (Transfert), 8.11 (Masquage) | 80% |
| 8. Ressources humaines | 6.3 (Formation), 6.1 (Sélection), 6.2 (Contrats), 6.7 (Télétravail) | 100% |
| 9. Tests de sécurité | 5.35 (Revue indépendante), 8.29 (Tests dev), 8.34 (Tests audit) | 75% |
| 10. Communication | 5.5 (Autorités), 5.6 (Groupes), 5.26 (Réponse incidents) | 70% |
Taux de Couverture Global : 85%
ISO 27001 couvre la majorité des exigences NIS2. Les gaps principaux concernent :
- Les délais de notification spécifiques (24h/72h) - à documenter dans les procédures
- Certains aspects spécifiques à des secteurs (à compléter avec normes sectorielles)
- La responsabilité formelle de la direction (à intégrer dans la gouvernance)