Qu'est-ce que l'ISO 27001 ? Guide complet

Introduction

L'ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). Elle fournit un cadre systématique pour gérer les informations sensibles de l'entreprise.

La norme a été publiée pour la première fois en 2005 et révisée en 2022 (ISO/IEC 27001:2022). Elle est reconnue mondialement et est souvent une exigence contractuelle ou réglementaire.

Que couvre l'ISO 27001 ?

L'ISO 27001 exige qu'une organisation identifie les risques et mette en œuvre des contrôles appropriés. La norme comprend les exigences du SMSI (Clauses 4–10) et les contrôles de l'Annexe A — 93 contrôles organisés en quatre thèmes.

Les organisations doivent créer une Déclaration d'Applicabilité (DdA) documentant les contrôles applicables.

Qui a besoin de l'ISO 27001 ?

La certification est particulièrement pertinente pour les entreprises technologiques et SaaS, les organisations financières et de santé, et les entreprises travaillant avec des clients européens ou gouvernementaux.

Comment fonctionne la certification ?

La certification implique un audit par un organisme accrédité : Étape 1 (revue documentaire) et Étape 2 (évaluation sur site). Un certificat de trois ans est délivré, avec des audits de surveillance annuels.

ISO 27001:2022 — Quoi de neuf ?

La révision 2022 a introduit 93 contrôles organisés en quatre catégories. Nouveaux contrôles : renseignement sur les menaces, sécurité cloud et préparation TIC pour la continuité d'activité.

Points clés

L'ISO 27001 est le cadre de gestion de la sécurité le plus reconnu au monde. La certification est un signal de confiance qui raccourcit les cycles de vente et réduit la friction réglementaire.