À proposNormesBlog ✦ IADevis →

Certification ISO 27001:2022 — Guide Complet pour les Organisations

La version 2022 d’ISO 27001 apporte des changements significatifs à l’Annexe A et à la structure des contrôles. Ce guide détaille les évolutions, le calendrier de transition et le processus de certification pour les organisations qui souhaitent obtenir ou maintenir leur certification.

ISO 27001 8 min de lecture

Qu’est-ce qu’ISO 27001:2022 ?

ISO/IEC 27001:2022 est la dernière version de la norme internationale de référence pour les systèmes de management de la sécurité de l’information (SMSI). Publiée le 25 octobre 2022, elle remplace la version 2013 et intègre les évolutions du paysage des menaces, notamment la sécurité cloud, la protection des données et la résilience opérationnelle.

La norme suit la structure harmonisée (Harmonized Structure — HS) commune à toutes les normes de systèmes de management ISO, ce qui facilite l’intégration avec d’autres certifications comme ISO 9001, ISO 22301 ou ISO 42001.

Principaux changements de la version 2022

Bien que le corps principal de la norme (clauses 4 à 10) reste largement similaire, plusieurs modifications importantes ont été apportées :

  • Clause 4.2 : Nouvelle exigence d’identifier les parties intéressées et leurs exigences spécifiques qui seront traitées par le SMSI
  • Clause 6.3 : Nouvelle clause sur la planification des modifications du SMSI, exigeant que tout changement soit réalisé de manière planifiée
  • Clause 8.1 : Exigences renforcées pour l’établissement de critères de processus et la mise en œuvre du contrôle des processus
  • Annexe A : Restructuration complète des contrôles, passant de 114 contrôles répartis en 14 domaines à 93 contrôles organisés en 4 thèmes

La nouvelle Annexe A : 93 contrôles en 4 thèmes

La restructuration de l’Annexe A constitue le changement le plus visible. Les contrôles sont désormais organisés en quatre thèmes :

  • Contrôles organisationnels (A.5) : 37 contrôles couvrant les politiques, les rôles, la gestion des actifs, le contrôle d’accès et les relations fournisseurs
  • Contrôles liés aux personnes (A.6) : 8 contrôles portant sur la sélection, la formation, la sensibilisation et les responsabilités du personnel
  • Contrôles physiques (A.7) : 14 contrôles relatifs à la sécurité des locaux, des équipements et des zones sécurisées
  • Contrôles technologiques (A.8) : 34 contrôles concernant la sécurité des systèmes, des réseaux, des applications et des données

Onze nouveaux contrôles ont été introduits, dont :

  • A.5.7 — Renseignement sur les menaces (Threat intelligence)
  • A.5.23 — Sécurité de l’information pour l’utilisation de services cloud
  • A.5.30 — Préparation TIC pour la continuité d’activité
  • A.7.4 — Surveillance de la sécurité physique
  • A.8.9 — Gestion de la configuration
  • A.8.10 — Suppression des informations
  • A.8.11 — Masquage des données
  • A.8.12 — Prévention des fuites de données
  • A.8.16 — Activités de surveillance
  • A.8.23 — Filtrage web
  • A.8.28 — Codage sécurisé

Calendrier de transition

L’International Accreditation Forum (IAF) a défini un calendrier de transition précis :

  • 31 octobre 2025 : Date limite pour la transition de toutes les certifications existantes vers ISO 27001:2022
  • Les audits de certification initiale peuvent être réalisés selon la version 2022 depuis le 25 octobre 2022
  • Les organismes de certification accrédités ne délivrent plus de certifications selon la version 2013 depuis avril 2024

Les organisations certifiées selon ISO 27001:2013 qui n’ont pas effectué leur transition verront leur certification expirer automatiquement après la date limite. Il est donc impératif de planifier l’audit de transition suffisamment à l’avance.

Le processus de certification

Le processus de certification ISO 27001 se déroule en plusieurs étapes clés :

  • Analyse d’écart (gap analysis) : Évaluation de l’état actuel par rapport aux exigences de la norme pour identifier les domaines à améliorer
  • Mise en œuvre du SMSI : Développement et déploiement des politiques, processus et contrôles nécessaires
  • Audit interne : Vérification interne de la conformité du SMSI aux exigences de la norme
  • Revue de direction : Examen formel par la direction de l’efficacité et de l’adéquation du SMSI
  • Audit de certification — Étape 1 : Revue documentaire par l’organisme de certification accrédité
  • Audit de certification — Étape 2 : Audit sur site (ou à distance) évaluant l’efficacité de la mise en œuvre
  • Surveillance annuelle : Audits de surveillance annuels pour maintenir la certification
  • Recertification : Audit complet tous les trois ans pour renouveler la certification

Préparer la transition : étapes pratiques

Pour les organisations qui doivent encore effectuer la transition, voici les actions prioritaires :

  • Mettre à jour la Déclaration d’Applicabilité (DdA) : Mapper les contrôles existants vers la nouvelle structure de l’Annexe A et traiter les 11 nouveaux contrôles
  • Revoir l’appréciation des risques : S’assurer que l’appréciation des risques est alignée avec les nouveaux contrôles et les attributs associés
  • Mettre à jour la documentation : Réviser les politiques, procédures et enregistrements pour refléter les nouvelles exigences
  • Former le personnel : Sensibiliser les équipes aux changements et à leurs responsabilités dans le cadre du SMSI mis à jour
  • Planifier l’audit de transition : Coordonner avec votre organisme de certification pour fixer la date de l’audit de transition

Comment BALTUM accompagne votre certification

BALTUM propose un accompagnement complet pour la certification ISO 27001:2022, de l’analyse d’écart initiale à la préparation de l’audit de certification. Nos équipes d’auditeurs qualifiés interviennent dans plus de 100 pays, en présentiel ou à distance.

Que vous visiez une première certification ou une transition depuis la version 2013, BALTUM met à votre disposition l’expertise nécessaire pour atteindre vos objectifs dans les délais impartis. Contactez-nous pour planifier votre évaluation initiale.