Guide ISO 27001

L’ISO 27001 est une norme internationale concernant la sécurité des systèmes d’information. Initialement publiée en 2005, elle a évolué afin de répondre aux nouvelles menaces. La version la plus récente est l’ISO/IEC 27001:2022.

Son rôle principal est de définir un cadre permettant de mettre en place un Système de Management de la Sécurité de l’Information (SMSI).

Ce guide va vous accompagner depuis vos premiers pas jusqu’à une éventuelle certification ISO 27001.

CHAPITRES DU GUIDE ►

1. Introduction ▼

2. SMSI

3. ISO 27002

SOUS-CHAPITRES ►

1.1 – L’ISO en 3 temps

1.2 – Créez votre équipe

1.3 – Accompagnement

1.4 – Services

L’ISO 27001 est une norme de management de la sécurité recommandée par l’ENISA et reconnue mondialement. C’est un outil nécessaire pour atteindre et démontrer un niveau de sécurité. Une certification ISO 27001 permet de bénéficier d’une présomption de conformité NIS 2 dans certains pays de l’Union Européenne. Elle s’accompagne de l’ISO 27002 qui liste des mesures de sécurité précises.

L’ISO 27001 permet de structurer votre sécurité autour de processus, responsabilités et politiques afin de maîtriser le risque dans la durée au travers d’un SMSI (Système de Management de la Sécurité de l’Information). Ce SMSI permet de définir, d’appliquer et de maintenir les solutions répondant à 93 points de sécurité listés dans la norme ISO 27002.

L’ISO 27001 en 3 temps

Délimitez le périmètre

L’ISO 27001 s’applique à un périmètre. Il est possible de certifier l’ensemble de votre entité, mais vous pouvez vous limiter à un seul service.

Prenons l’exemple de votre département IT. Véritable cœur de votre activité, il est logique de vouloir le certifier en premier afin de préserver votre capacité opérationnelle.

Organisez la défense

Définissez votre SMSI (Système de Management de la Sécurité de l’Information) et assurez un cycle d’amélioration continue (PDCA) :

  • Plan (Planifier)
  • Do (Mettre en œuvre)
  • Check (Vérifier)
  • Act (Améliorer) 

Déployez les armes

L’Annexe A de l’ISO 27001 renvoie à l’ISO 27002 qui liste 93 mesures de sécurité. Ces dernières sont organisées en quatre familles de mesures

  • Sécurité organisationnelle
  • Sécurité des personnes
  • Sécurité physiques
  • Sécurité technologiques

Bon à savoir : les entités soumises aux directives NIS 2 ou REC imposent à leurs fournisseurs et partenaires une certification ISO 27001 totale ou partielle. Il en va de même pour les assureurs qui cherchent à limiter leur risque.

Créer votre équipe ISO 27001

Viser une certification ISO 27001 impose de créer une équipe maîtrisant toutes les compétences nécessaires. On doit y retrouver chaque expertise métier utile, qu’elle soit spécifique ou transverse, en fonction de vos objectifs :

  • Gouvernance et conformité : direction, comité sécurité, service qualité, coordination réglementaire.
  • Cybersécurité opérationnelle : RSSI, architectes et ingénieurs sécurité, administrateurs systèmes et réseaux, analystes détection et réponse.
  • Infrastructure et sécurité physique : responsables de sites, facility managers, responsables d’exploitation, intégrateurs et mainteneurs.
  • Gestion du risque et audit : responsables risques, auditeurs internes, évaluateurs externes, pilotage des plans d’action.
  • Compétences transverses : juristes, DPO, responsables formation et sensibilisation, communication de crise.

Si vous disposez de l’ensemble de ces ressources, la mise en œuvre de l’ISO 27001 se fera de manière fluide et maîtrisée. Dans le cas contraire, un accompagnement est à notre sens incontournable. Gardez en tête les points suivants :

  • Tout défaut dans l’organisation de votre SMSI reportera votre certification, engendrant des coûts directs et indirects
  • Un mauvais choix de solution hardware ou software interdira votre certification: la sélection de vos prestataires est capitale (et nous vous invitons à les intégrer dans votre démarche)
  • La réglementation européenne est limpide : la responsabilité personnelle du dirigeant est engagée en cas de défaillance dans le cadre de certaines directives comme la NIS 2 et la REC.

En vous appuyant sur des spécialistes certifiés, vous allez rationaliser votre investissement tout en dégageant votre responsabilité.

Accompagnement ISO 27001

L’ISO 27001 concerne tous les aspects de la sécurité et nécesssite des expertises variées et parfois transverses. SPAC Alliance et ses membres peuvent vous accompagner dans votre conformité totale ou partielle ISO 27001 / ISO 27002 :

  • Gouvernance, Formation
  • Analyse de risques
  • Rédaction de cahier des charges
  • Audits, tests de sécurité, mapping
  • Accompagnement à la certification ISO 27 001
Visitez notre shop

Sélection de services ISO 27001

Rejoignez SPAC Alliance

Le Club SPAC Alliance est particulièrement adapté si vous êtes concerné par L’ISO 27001 et propose connaissances, outils, formations et soutien de tous les membres.

Adhérez au club

Vous pouvez soumettre votre candidature pour devenir Membre SPAC Alliance, construire avec nous la souveraineté européenne et défendre les intérêts de notre marché. 

Devenez Membre

LES NEWS