Objectifs de la leçon
- Connaître les nouveautés ISO 27001:2022 vs version 2013
- Maîtriser les 4 catégories du nouveau ISO 27002:2022 (Org, People, Physical, Tech)
- Comprendre les 93 contrôles (réduit de 114 en 2013)
- Identifier les 11 nouveaux contrôles 2022
- Distinguer SMSI, RSSI, DPO et NIS2
1. ISO 27001:2022 — Histoire et écosystème
La norme ISO/IEC 27001 (co-éditée par ISO et IEC) est le standard mondial du Système de Management de la Sécurité de l\'Information (SMSI). Première version : 2005 (issue de BS 7799 britannique de 1995). Versions :
| Version | Année | Apport principal |
|---|
| BS 7799-1 | 1995 | Code de pratique britannique (ancêtre) |
| BS 7799-2:2002 | 2002 | Référentiel certifiable UK |
| ISO 27001:2005 | 2005 | Première version ISO mondiale (133 contrôles) |
| ISO 27001:2013 | 2013 | Structure HLS Annex SL, 114 contrôles (Annexe A) |
| ISO 27001:2022 | oct. 2022 | Annexe A refondue : 93 contrôles en 4 catégories |
Selon l\'ISO/IEC 27001:2022 §1 : « Le présent document spécifie les exigences relatives à l\'établissement, la mise en œuvre, la tenue à jour et l\'amélioration continue d\'un système de management de la sécurité de l\'information dans le contexte d\'un organisme. »
Source : iso.org/iso-iec-27001
Plus de 71 000 certificats ISO 27001 dans le monde (ISO Survey 2023). Croissance forte (+10%/an) tirée par RGPD, NIS2, cyber-assurance. Top pays : Chine, Japon, Royaume-Uni, Italie, Inde.
2. La triade CIA et nouveaux objectifs
La sécurité de l\'information vise traditionnellement 3 propriétés :
| Propriété (CIA) | Définition | Mesures types |
|---|
| Confidentialité | Information accessible uniquement aux autorisés | Chiffrement, IAM, classification |
| Intégrité | Exactitude et complétude de l\'information | Hash, signatures, contrôle d\'accès écriture |
| Disponibilité | Accessibilité dans des délais convenus | Redondance, sauvegardes, BCP/DRP |
L\'ISO 27001:2022 ajoute aussi les concepts modernes : Authenticité, Imputabilité (non-répudiation), Fiabilité, Vie privée (privacy).
3. Structure ISO 27001:2022 — Chapitres HLS
| Chap. | Titre | Spécificité SMSI |
|---|
| 4 | Contexte de l\'organisme | Cartographie SI, périmètre SMSI |
| 5 | Leadership | Politique sécurité (PSI), rôles RSSI |
| 6 | Planification | Analyse risques + SOA (Statement of Applicability) |
| 7 | Support | Compétences, sensibilisation, doc |
| 8 | Réalisation | Maîtrise opérationnelle, traitement risques |
| 9 | Évaluation | Audit interne, indicateurs sécurité, revue direction |
| 10 | Amélioration | Incidents, NC, actions correctives |
| Annexe A | Liste des contrôles ISO 27002:2022 | 93 contrôles dans 4 catégories |
4. ISO 27002:2022 — 4 catégories de contrôles
Avant 2022 : 14 sections, 114 contrôles. Depuis 2022 : 4 catégories, 93 contrôles (24 fusionnés, 11 nouveaux, simplification structure).
| Catégorie | Nb contrôles | Exemples |
|---|
| Organisationnels | 37 | PSI, classification information, gestion comptes, charte utilisateur, plan continuité, gestion fournisseurs |
| Personnel | 8 | Filtrage embauche, accord confidentialité, charte sécurité, formation, gestion sanctions, sortie poste |
| Physiques | 14 | Périmètre physique, contrôle accès local, protection contre menaces environnementales, postes vides |
| Technologiques | 34 | Cryptographie, gestion vulnérabilités, antivirus EDR, sauvegardes, journalisation, sécurité réseau, dev sécurisé |
5. Les 11 nouveaux contrôles 2022
| # | Code | Contrôle |
|---|
| 1 | 5.7 | Threat intelligence (renseignement sur les menaces) |
| 2 | 5.23 | Sécurité de l\'utilisation des services cloud |
| 3 | 5.30 | Préparation TIC pour la continuité d\'activité |
| 4 | 7.4 | Surveillance de la sécurité physique |
| 5 | 8.9 | Gestion de la configuration |
| 6 | 8.10 | Suppression des informations |
| 7 | 8.11 | Masquage des données (data masking) |
| 8 | 8.12 | Prévention des fuites de données (DLP) |
| 9 | 8.16 | Surveillance des activités (monitoring SIEM) |
| 10 | 8.23 | Filtrage Web |
| 11 | 8.28 | Codage sécurisé (secure coding) |
Astuce Lead Implementer : ces 11 nouveaux contrôles reflètent l\'évolution du paysage : cloud, monitoring 24/7, DLP, threat intelligence. À auditer en priorité dans une PME post-2022.
6. Attributs par contrôle (méta-tagging)
L\'ISO 27002:2022 introduit pour chaque contrôle des attributs :
| Attribut | Valeurs |
|---|
| Control type | Preventive, Detective, Corrective |
| Information security properties | C, I, A (Confidentialité, Intégrité, Disponibilité) |
| Cybersecurity concepts (NIST CSF) | Identify, Protect, Detect, Respond, Recover |
| Operational capabilities | Governance, Asset_management, Information_protection, etc. |
| Security domains | Governance_and_Ecosystem, Protection, Defence, Resilience |
7. Acteurs clés du SMSI
| Rôle | Mission |
|---|
| RSSI (Responsable Sécurité SI) | Pilotage opérationnel, mise en œuvre PSI |
| DPO (Délégué Protection Données) | Conformité RGPD, registre traitements (rôle distinct mais souvent collaboratif RSSI) |
| RPC (Responsable Plans Continuité) | BCP/DRP, ISO 22301 |
| Comité Sécurité | Cadre dirigeant, sponsor SMSI, validation décisions stratégiques |
| Lead Implementer | Pilote la mise en œuvre, prépare l\'audit certif |
| Lead Auditor SMSI | Auditeur certifié (3ᵉ partie) côté OC |
8. Lien avec NIS2, DORA, RGPD
| Réglementation | Période | Lien ISO 27001 |
|---|
| RGPD (UE 2016/679) | Mai 2018 | 27001 démontre les mesures techniques et organisationnelles (article 32 RGPD) |
| NIS2 (directive 2022/2555/UE) | Oct. 2024 transposition | Obligations OSE/FSN — 27001 utile pour conformité technique |
| DORA (règlement UE 2022/2554) | Janv. 2025 | Résilience opérationnelle numérique secteur financier |
| HDS (Hébergeur Données Santé France) | 2018 | ISO 27001 + 27018 + exigences ASIP Santé/ANS |
| PCI-DSS | v4.0 2024 | Cartes bancaires, complémentaire à 27001 |
9. Synthèse
- ISO 27001:2022 = SMSI mondial, structure HLS
- ISO 27002:2022 = 93 contrôles en 4 catégories (Org, People, Physical, Tech)
- 11 nouveaux contrôles 2022 : threat intel, cloud, DLP, secure coding, monitoring
- Triade CIA + Authenticité, Non-répudiation, Privacy
- SMSI articulé avec RGPD, NIS2, DORA, sectoriels PCI-DSS/HDS
Pour aller plus loin
10. Étude de cas — Déploiement SMSI dans une fintech française 180 personnes
Fintech française (Paris, 180 collaborateurs, agrément ACPR Établissement de Paiement) déploie ISO 27001:2022 pour gagner des contrats banques + compliance DORA 2025.
Calendrier de déploiement 12 mois
| Mois | Phase | Livrables |
|---|
| M1 | Cadrage + budget | Note CODIR, budget 220 k€ alloué, équipe projet 4 personnes |
| M2-M3 | Inventaire actifs + cartographie | Inventaire ~2 000 actifs (HW, SW, données, contrats fournisseurs), classification |
| M4-M5 | Analyse risques EBIOS RM | Atelier 1-2-3-4-5, ~80 scénarios, 30 risques majeurs identifiés |
| M6 | SOA (93 contrôles) + PSI | SOA Excel + politique signée DG + 12 politiques thématiques |
| M7-M9 | Mise en œuvre contrôles | MFA tous comptes, EDR CrowdStrike, SIEM Sentinel, formation phishing, PCA test |
| M10 | Audit interne SMSI | 4 jours audit interne, 6 NC mineures identifiées |
| M11 | Plan d'action NC + revue direction | NC clôturées, revue direction signée CODIR |
| M12 | Audit certification LSTI | Étape 1 (2j doc) + Étape 2 (4j terrain), 3 NC mineures, certif accordée M+1 |
Budget détaillé (220 k€)
| Poste | Coût (€ HT) |
|---|
| Consultant Lead Implementer externe (60 jours) | 72 000 |
| Formation PECB Lead Implementer + 3 Foundation interne | 14 500 |
| EDR CrowdStrike Falcon Enterprise (180 endpoints, 1 an) | 32 400 |
| SIEM Microsoft Sentinel (1 an, ~50 GB/jour) | 28 000 |
| MFA déploiement (Okta Workforce Identity) | 12 000 |
| Pentest externe (Synacktiv ou Wavestone) | 18 000 |
| Coffre-fort mots de passe (Bitwarden Enterprise) | 4 500 |
| Sauvegardes externalisées (Veeam + S3) | 11 200 |
| Audit étape 1 + étape 2 LSTI (6 jours) | 15 000 |
| Sensibilisation phishing simulé (KnowBe4) | 4 800 |
| Temps interne RSSI + DSI (~30% sur 12 mois) | 7 600 |
| Total | 220 000 |
Bénéfices business 12 mois après certification
- 3 nouveaux contrats banques (Société Générale, BPCE, CIC) débloqués : +8 M€ ARR
- Cyber-assurance : prime annuelle réduite de 35% (économie 18 k€/an)
- 0 incident critique (vs 2 en 2023 avant SMSI)
- Temps de réponse incident divisé par 3 (MTTR 18h → 6h)
- Préparation DORA finalisée pour échéance janvier 2025
ROI : 8 M€ ARR / 220 k€ investissement = ROI > 35× la première année (sans compter risque évité ransomware).
11. Comparaison version 27001:2013 vs 27001:2022 — Tableau exhaustif
| Élément | ISO 27001:2013 | ISO 27001:2022 |
|---|
| Structure chapitres | HLS 10 chapitres | HLS 10 chapitres (identique) |
| Nb contrôles Annexe A | 114 contrôles | 93 contrôles (24 fusionnés) |
| Sections Annexe A | 14 sections (A.5 à A.18) | 4 catégories (Org/Personnel/Phys/Tech) |
| Nouveaux contrôles | — | 11 nouveaux (threat intel, cloud, DLP, etc.) |
| Attributs contrôles | Absents | Présents (Preventive/Detective, CIA, NIST CSF...) |
| Périmètre application | Vague "à l'organisme" | Précisé "produits et services SI" |
| Date transition limite | — | 31 octobre 2025 (depuis 25/10/2022) |
| Audit transition | — | Audit spécifique gap analysis ou audit de surveillance |
12. Les 11 nouveaux contrôles 2022 — Détail et exigences pratiques
| Code | Titre | Exigence concrète |
|---|
| 5.7 | Threat intelligence | Recevoir et analyser CERT-FR/ANSSI alertes + flux CISA/CERT-EU. Outils CTI : CrowdStrike, Recorded Future, ThreatQuotient |
| 5.23 | Sécurité utilisation services cloud | Politique cloud, due diligence fournisseurs (SOC 2, ISO 27017/27018), CASB (Microsoft Defender Cloud Apps, Netskope) |
| 5.30 | Préparation TIC continuité | RTO/RPO définis, PCA testé annuellement, BIA documentée, redondance |
| 7.4 | Surveillance sécurité physique | Caméras CCTV (durée conservation), badges, alarme intrusion, surveillance 24/7 |
| 8.9 | Gestion configuration | CMDB (ServiceNow, Ivanti), baselines durcies (CIS Benchmarks), audit configuration |
| 8.10 | Suppression informations | Procédure effacement sécurisé (DBAN, NIST 800-88), destruction physique disques, certificats broyage |
| 8.11 | Masquage des données | Anonymisation, pseudonymisation, masquage en bases de test (Delphix, Imperva) |
| 8.12 | Prévention fuites de données (DLP) | Microsoft Purview DLP, Forcepoint, Symantec DLP. Règles ciblées (cartes bancaires, NIR, données santé) |
| 8.16 | Surveillance activités (monitoring) | SIEM (Splunk, Sentinel, ELK Stack, QRadar), SOC 24/7, dashboards temps réel |
| 8.23 | Filtrage Web | Proxy URL filtering (Zscaler, Cisco Umbrella), catégories bloquées (gambling, malware, phishing) |
| 8.28 | Codage sécurisé | SAST/DAST (SonarQube, Checkmarx, Veracode), OWASP Top 10 review, formation devs sécurisée |
13. Synthèse étendue ISO 27001:2022
- 27001:2022 publiée 25/10/2022, transition obligatoire avant 31/10/2025
- 27002:2022 = 93 contrôles en 4 catégories (Org 37 / Pers 8 / Phys 14 / Tech 34)
- 11 nouveaux contrôles : threat intel, cloud, DLP, monitoring, secure coding
- Attributs ajoutés par contrôle (Preventive/Detective, CIA, NIST CSF, capacités, domaines)
- ~71 000 certificats ISO 27001 mondial 2023, croissance +10%/an
- Coût certif PME : 100-300 k€ tout compris cycle 3 ans, ROI souvent > 10× (contrats déverrouillés)
