LogoLogoHubert SevrinCybersecurity Apprentice

ISO/IEC 27001

Système de management de la sécurité (ISMS) : périmètre, risques, contrôles, amélioration continue.

  • ISMS : Politique, risques, contrôles, amélioration continue
  • Annexe A : thèmes de contrôles (organisationnels, humains, physiques, techniques)
  • Approche PDCA : planifier → déployer → vérifier → améliorer
Version
ISO/IEC 27001:2022
Portée
Définie par l’organisme (scope ISMS)
Cycle
PDCA (Plan-Do-Check-Act)
Audit
Étape 1 + Étape 2, puis surveillance annuelle

Exigences ISO 27001 (clauses 4–10)

Structure de l’ISMS, du contexte jusqu’à l’amélioration.

Thème
Contenu
Réf.
Contexte
Parties intéressées, périmètre ISMS
§4
Leadership
Politique, rôles, engagement direction
§5
Planification
Évaluation des risques & objectifs sécu
§6
Support
Ressources, compétences, communication
§7
Opérations
Traitement des risques, changements
§8
Évaluation
Surveillance, audits internes, revues
§9
Amélioration
Non-conformités, actions correctives
§10

Annexe A — thèmes de contrôles

Sélectionner des contrôles proportionnés au risque (SoA).

A.5-A.6
Organisationnel
Politiques, rôles, gouvernance, tiers
A.6
Humain
RH, sensibilisation, discipline, départs
A.7
Physique
Périmètres, accès, équipements
A.8
Technologique
Contrôles techniques (accès, crypto…)

Gestion des risques

Méthode documentée, critères de risque, réévaluations.

Étape
Détails
Identifier
Actifs, menaces, vulnérabilités, impacts
Évaluer
Probabilité × impact → niveau de risque
Traiter
Réduire, accepter, éviter, transférer
SoA
Déclarer les contrôles retenus & justifier
Suivre
Mesures, indicateurs, revues régulières

Déclaration d’applicabilité (SoA)

Trace la sélection des contrôles et leur mise en œuvre.

  • Liste des contrôles choisis (Annexe A + autres)
  • Justification du choix/rejet
  • Statut de mise en œuvre
  • Références aux risques traités

Documentation & enregistrements

Preuves de mise en œuvre et pilotage de l’ISMS.

  • Politique de sécurité de l’information
  • Méthode et registre d’appréciation des risques
  • Déclaration d’applicabilité (SoA)
  • Objectifs de sécurité & indicateurs
  • Procédures clés (contrôle d’accès, sauvegardes, incidents…)
  • Résultats d’audits internes & revues de direction
  • Plan d’actions / non-conformités

Audit & certification

Cycle typique : Étape 1 → Étape 2 → surveillances.

Phase
Objectif
Étape 1
Revue documentaire & préparation
Étape 2
Échantillonnage, entretiens, preuves sur site
Surveillance
Audit annuel, cycle de 3 ans

Quick wins sécurité

Contrôles concrets à forte valeur (démos associées).

  • MFA + gestion des comptes & des privilèges
  • Sauvegardes testées, restauration, PRA
  • Chiffrement en transit/au repos, gestion des clés
  • Gestion des vulnérabilités (SCA/patch), secrets
  • Journalisation, détection (Fail2Ban/SIEM), réponse incident
  • CSP/HSTS/COOP/COEP et durcissement services

Feuille de route (PME / start-up)

Itinéraire pragmatique vers la certification.

Scope
01 — Cadrage
Contextes, parties intéressées, scope ISMS
Risk
02 — Risques
Méthode, analyse initiale, plan de traitement
Controls
03 — Contrôles
SoA + quick wins (accès, sauvegardes…)
Run
04 — Opération
Procédures, journaux, KPI, formation
Improve
05 — Audits
Audit interne, revue direction, certif

Note : contenu informatif — pas un conseil de certification. Adapter à votre contexte et aux exigences d’audit.