ISO 27001 : norme internationale de management de la sécurité de l'information

L'ISO/IEC 27001 définit les exigences pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l'information (SMSI). Cette norme internationale fournit aux entreprises de toute taille et de tous secteurs d'activité un cadre pour gérer les risques liés à la sécurité des données.

Origines et contenu de la norme

L'ISO 27001 a été publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) en 2005, avec des révisions en 2013 et 2022. Selon l'ISO Survey 2022, plus de 70 000 certificats ISO 27001 ont été délivrés dans 150 pays.

La dernière révision ISO/IEC 27001:2022 présente en Annexe A un ensemble complet de mesures de sécurité catégorisées en 4 domaines : organisationnel, humain, physique et technologique. Le nombre de contrôles est passé de 114 à 93, grâce à la fusion de contrôles existants et l'ajout de 11 nouveaux contrôles pour répondre aux défis actuels comme la sécurité cloud, la gestion des tiers, la prévention des fuites de données ou le développement sécurisé.

La conformité à l'ISO 27001 signifie qu'une organisation a mis en place un système pour gérer les risques liés à la sécurité des données via une approche holistique couvrant les personnes, les politiques et la technologie — un outil pour la gestion des risques, la cyber-résilience et l'excellence opérationnelle.

Lien avec NIS2

NIS2 et l'ISO/IEC 27001 partagent l'objectif d'établir un cadre de gestion qui renforce le niveau de cybersécurité des entités. Le préambule 79 de la directive NIS2 mentionne explicitement la mise en œuvre de mesures de gestion des risques cyber selon les standards internationaux, dont la série ISO 27000.

Toutefois, l'obtention d'une certification ISO 27001 ne permet pas, en elle-même, une conformité à NIS2, mais cette norme constitue un outil et une méthodologie pour accompagner le déploiement du référentiel de sécurité. Les organisations disposant déjà d'un SMSI aligné sur l'ISO/IEC 27001 bénéficient d'une base solide pour implémenter NIS2. Les entités certifiées ISO 27001 auront plus de facilité pour respecter la directive NIS2, notamment via l'alignement des processus de gestion des risques (Article 21 §2).

Pour progresser dans la mise en conformité NIS2, il est recommandé de consulter la fiche mesures de sécurité technique et le guide ANSSI sur le référentiel NIS2.

Pour aller plus loin

• ISO/IEC 27001:2022 – Texte officiel
• MonEspaceNIS2 – FAQ ISO 27001 et NIS2
• AFNOR Certification ISO 27001