Qu'est-ce que l'ISO/IEC 27001 ?
L'ISO/IEC 27001 est la principale norme internationale pour les systèmes de management de la sécurité de l'information (SMSI), publiée par l'Organisation internationale de normalisation (ISO). La révision 2022 (ISO 27001:2022) a introduit un ensemble de mesures de l'Annexe A révisé, aligné sur l'ISO 27002:2022, passant de 114 à 93 mesures réparties en 4 thèmes.
La certification démontre qu'une organisation a évalué ses risques en matière de sécurité de l'information et mis en œuvre des mesures appropriées dans un cadre de management systématique — sous réserve d'un audit indépendant par un tiers.
Qui a besoin de l'ISO 27001 ?
- Entreprises technologiques et SaaS avec des clients B2B
- Organisations de services financiers, banques et traitement des paiements
- Entreprises de santé et MedTech traitant des données patients
- Contractants du secteur public et gouvernemental
- Centres de données, fournisseurs cloud et prestataires de services managés
- Toute organisation répondant à des questionnaires de sécurité clients ou d'approvisionnement
ISO 27001:2022 — Changements clés par rapport à 2013
Les organisations certifiées selon l'ISO 27001:2013 doivent effectuer la transition vers la version 2022. Les changements clés comprennent :
- L'Annexe A restructurée en 4 thèmes : Organisationnel, Personnes, Physique, Technologique
- 11 nouvelles mesures ajoutées, incluant le renseignement sur les menaces, la sécurité cloud et le masquage des données
- Réduction du nombre total de mesures de 114 à 93 (certaines fusionnées)
- Alignement accru avec les autres normes de systèmes de management ISO (Structure de haut niveau)
Périmètre d'une certification ISO 27001
La définition du périmètre est une étape cruciale du processus de certification. Le périmètre détermine quels actifs informationnels, processus, sites et unités organisationnelles relèvent du SMSI. La phase d'analyse d'écarts de BALTUM comprend un accompagnement détaillé pour la définition du périmètre afin de s'assurer qu'il soit à la fois significatif pour les parties prenantes et réalisable dans le délai prévu.
L'accompagnement BALTUM : Étape par étape
- Étape 1 — Analyse d'écarts et définition du périmètre : Évaluation de l'état actuel par rapport aux exigences de l'ISO 27001:2022. Registre des écarts. Document de périmètre. Feuille de route du projet.
- Étape 2 — Documentation du SMSI : Politique de sécurité de l'information, méthodologie d'évaluation et de traitement des risques, Déclaration d'applicabilité, procédures et documentation des mesures.
- Étape 3 — Accompagnement à la mise en œuvre : Conseils pour la mise en œuvre des mesures, audit interne et facilitation de la revue de direction.
- Étape 4 — Audit de certification : Revue documentaire de l'étape 1 et audit sur site/à distance de l'étape 2 par un organisme de certification accrédité.
- Étape 5 — Surveillance : Audits de surveillance annuels et planification de la recertification triennale.
Délai type
Pour une organisation de taille moyenne (50 à 500 employés) visant une première certification : 3 à 6 mois du lancement à la délivrance du certificat. Les délais dépendent de la taille de l'organisation, de la maturité actuelle et de la disponibilité des ressources internes. BALTUM fournit un plan de projet basé sur des jalons dès le début de chaque mission.
Intégration avec d'autres normes
L'ISO 27001 est fréquemment mise en œuvre aux côtés de normes complémentaires. BALTUM propose des programmes intégrés partageant la documentation, les mesures et les activités d'audit :
- ISO 27001 + ISO 27701 (Management des informations relatives à la vie privée)
- ISO 27001 + ISO 22301 (Continuité d'activité)
- ISO 27001 + ISO 42001 (Système de management de l'IA)
- ISO 27001 + SOC 2 (cadre de preuves unifié)
- ISO 27001 + PCI DSS (secteur financier)