Aller au contenu
ISO 27001

La structure de la norme ISO 27001

·
7 minutes de lecture
Les RH d’un côté, l’IT de l’autre ?
Gérez les appareils, les licences et la sécurité depuis un seul endroit. Synchronisé avec les arrivées et départs de votre équipe. Découvrez Factorial IT
Article rédigé par

Quand on ouvre l’ISO 27001 pour la première fois, on tombe de haut. Le document ne commence pas par une liste de mesures de sécurité. Il commence par une introduction, enchaîne sur un chapitre de définitions et ce n’est qu’ensuite qu’apparaissent les exigences. Pour couronner le tout, ces exigences sont numérotées de 4 à 10, comme si quelqu’un avait arraché les premières pages.

Il ne manque rien. La norme est construite ainsi volontairement, et comprendre son architecture reste le moyen le plus rapide de cesser d’y voir un pavé indigeste pour commencer à s’en servir comme d’une carte.

Nous parcourons ici la norme du début à la fin. Ce que contient chaque partie, lesquelles sont obligatoires, lesquelles sont indicatives et pourquoi la numérotation démarre là où elle démarre.

Qu’est-ce que l’ISO 27001 et pourquoi sa structure compte-t-elle ?

L’ISO 27001 est la norme internationale qui décrit comment mettre en place et faire vivre un système de management de la sécurité de l’information, ou SMSI. Si vous cherchez le détail de son utilité, des entreprises concernées et des bénéfices qu’elle apporte, tout se trouve dans notre guide complet sur l’ISO 27001.

Nous nous concentrons ici sur son architecture, et cette architecture repose sur deux blocs au fonctionnement très différent :

  • Le premier, ce sont les chapitres. Ce sont les exigences. Ils énoncent ce que l’organisation doit faire, sans discussion possible, pour obtenir la certification. Un auditeur arrive, les lit et vérifie un par un que vous les respectez.
  • Le second, c’est l’Annexe A. Il s’agit d’un catalogue de mesures de sécurité. Vous n’êtes pas tenu de toutes les appliquer. Vous êtes tenu de toutes les examiner, de décider lesquelles vous sont nécessaires au regard de vos risques et de justifier par écrit celles que vous écartez.

Cette séparation entre l’obligatoire et le sélectionnable est la clé de toute la norme. Qui confond les deux blocs finit par croire que se certifier revient à déployer 93 mesures de sécurité, alors qu’il n’en est rien.

Pourquoi l’ISO 27001 commence-t-elle au chapitre 4 ?

Parce que les premiers chapitres existent, mais ne sont pas auditables.

Derrière tout cela se cache une décision de l’ISO. Pour que ses normes de systèmes de management cessent d’être rédigées chacune dans son coin, l’organisation a créé un gabarit interne appelé Annexe SL. Ce n’est pas une norme que l’on achète ni que l’on certifie. C’est le moule que suivent les comités techniques lorsqu’ils rédigent n’importe quelle norme de management, et c’est de là que sortent le sommaire commun en dix chapitres, les exigences partagées et un vocabulaire unique pour des mots comme risque ou non-conformité.

Chaque comité ajoute ensuite ce qui lui est propre par-dessus cette base. Dans l’ISO 27001, la partie spécifique couvre tout ce qui touche à la sécurité de l’information, à l’appréciation des risques et à l’Annexe A. C’est pourquoi, si votre entreprise est déjà certifiée ISO 9001, les chapitres consacrés au leadership, au support et à l’évaluation des performances vous parleront tout de suite. Ils sont rédigés presque à l’identique.

Une précision de vocabulaire. Cette structure commune s’est longtemps appelée High Level Structure, ou HLS. Depuis la révision de 2021, son nom officiel est structure harmonisée, et vous verrez les deux termes employés comme synonymes. La version 2022 de l’ISO 27001 l’intègre déjà.

Chapitres 0 à 3 de l’ISO 27001 : la partie introductive

Ces quatre chapitres tiennent en quelques pages et aucun auditeur ne vous demandera de preuves à leur sujet. Les sauter serait pourtant une erreur, car ils posent les règles du jeu :

  • Chapitre 0, introduction : il explique à quoi sert la norme et ce que l’on attend d’une organisation qui l’adopte. C’est là qu’apparaît l’idée selon laquelle le SMSI doit être intégré aux processus de l’entreprise et non former une annexe qui dort dans un dossier partagé. Une déclaration d’intention, pas une exigence.
  • Chapitre 1, domaine d’application de la norme : à ne pas confondre avec le périmètre de votre SMSI, qui est autre chose et apparaît au chapitre 4. Ce chapitre précise à quel type d’organisations s’applique l’ISO 27001, et la réponse est à toutes. Toutes tailles, tous secteurs. Il indique également que les chapitres 4 à 10 ne sont pas négociables si vous visez la certification.
  • Chapitre 2, références normatives : il renvoie à l’ISO 27000, un document gratuit qui rassemble le vocabulaire commun à toute la famille 27000. Le moindre doute sur le sens exact d’un terme se règle là.
  • Chapitre 3, termes et définitions : il fixe le sens des mots employés par la norme. Cela ressemble à une formalité, mais n’en est pas une. Des mots comme risque, mesure de sécurité, informations documentées ou partie intéressée ont un sens précis à l’intérieur de la norme, qui ne recoupe pas toujours l’usage courant. Bien des débats stériles en projet de mise en conformité se règlent en ouvrant ce chapitre.

Chapitres 4 à 10 de l’ISO 27001 : les exigences certifiables

Nous voici dans la vraie norme. Ces sept chapitres sont ce que vérifie un auditeur, et l’ordre dans lequel ils apparaissent n’a rien d’un hasard. Ils racontent une histoire qui va de la compréhension de votre organisation à son amélioration continue.

  • Chapitre 4, contexte de l’organisation : le point de départ. Vous devez identifier les facteurs internes et externes qui pèsent sur votre sécurité de l’information, déterminer qui sont vos parties intéressées et ce qu’elles attendent de vous. Clients, salariés, régulateurs, fournisseurs. Vous en déduisez le périmètre de votre SMSI, autrement dit quels processus, quels sites et quels systèmes se trouvent dedans.
  • Chapitre 5, leadership : la direction doit s’impliquer pour de bon. Signer un document ne suffit pas. La norme exige ici que la direction approuve une politique de sécurité de l’information, attribue des responsabilités claires et débloque les moyens nécessaires.
  • Chapitre 6, planification : le cœur de la norme. Vous y définissez comment vous identifiez et évaluez vos risques de sécurité, lesquels vous acceptez, lesquels vous traitez et quelles mesures vous appliquez. Il en sort deux documents, le plan de traitement des risques et la Déclaration d’applicabilité, où vous justifiez mesure par mesure pourquoi vous l’appliquez ou non.
  • Chapitre 7, support : tout ce qu’il faut pour que le système tourne. Des personnes compétentes, de la formation, une sensibilisation du personnel, des canaux de communication internes et externes, et la maîtrise de la documentation.
  • Chapitre 8, opération : mettre en œuvre ce qui a été planifié. Vous exécutez les processus, appliquez le plan de traitement des risques et réévaluez les risques à intervalles réguliers ou dès que les circonstances changent. Le chapitre vous impose aussi de maîtriser les processus que vous sous-traitez, car externaliser un service n’externalise pas votre responsabilité.
  • Chapitre 9, évaluation des performances : vérifier que le système fonctionne. Il repose sur trois piliers, la surveillance et la mesure des indicateurs que vous avez définis, l’audit interne mené par une personne objective, et la revue de direction, une réunion formelle et documentée au cours de laquelle la direction analyse les résultats et arbitre.
  • Chapitre 10, amélioration : boucler la boucle. Quand quelque chose déraille, et quelque chose finira par dérailler, il faut enregistrer la non-conformité, la corriger, comprendre pourquoi elle est survenue et agir sur la cause pour qu’elle ne se reproduise pas.

L’Annexe A et les 93 mesures de sécurité

L’Annexe A, c’est la liste de courses. Quatre-vingt-treize mesures de sécurité que la norme met sur la table pour que vous choisissiez celles dont vous avez besoin.

C’est ici que le plus grand nombre se trompe, alors autant être net. Vous n’avez pas à déployer les quatre-vingt-treize. Vous devez toutes les passer en revue, les confronter aux risques identifiés au chapitre 6, appliquer celles qui ont du sens et justifier par écrit celles que vous écartez. Cette justification, c’est la Déclaration d’applicabilité.

Un exemple. Si votre entreprise ne développe pas de logiciel, les mesures liées au développement sécurisé ne vous concernent pas et vous l’écrivez. Si vous n’avez pas de bureaux parce que toute l’équipe travaille à distance, certaines mesures physiques tombent d’elles-mêmes. L’auditeur n’attend pas que vous les ayez toutes. Il attend que vos décisions soient cohérentes avec vos risques.

Jusqu’à la version 2013, les mesures étaient au nombre de cent quatorze, réparties en quatorze rubriques. La révision de 2022 les a regroupées, a supprimé les doublons, a introduit onze mesures inédites autour du cloud, du renseignement sur les menaces et de la sécurité du développement, et les a ramenées à quatre-vingt-treize, organisées en quatre grandes familles.

  • Mesures organisationnelles : au nombre de trente-sept, c’est la famille la plus fournie. Politiques, rôles et responsabilités, gestion des fournisseurs, classification de l’information, réponse aux incidents et continuité d’activité. La part la plus managériale et la moins technique.
  • Mesures liées aux personnes : au nombre de huit. De la vérification des antécédents avant l’embauche aux accords de confidentialité, en passant par la formation à la sécurité, la procédure disciplinaire et ce qui se passe lorsqu’un salarié quitte l’entreprise. Le facteur humain regroupé en un seul bloc.
  • Mesures physiques : au nombre de quatorze. Périmètres de sécurité, contrôle des accès aux locaux, protection contre les menaces environnementales, sécurité du câblage, politique du bureau propre et de l’écran verrouillé, mise au rebut sécurisée des équipements et des supports.
  • Mesures technologiques : au nombre de trente-quatre. Ce que la plupart des gens imaginent en entendant sécurité de l’information. Gestion des identités, authentification, chiffrement, sauvegardes, journalisation et supervision, protection contre les logiciels malveillants, gestion des vulnérabilités et sécurité du développement logiciel.

La version 2022 a par ailleurs ajouté une couche bien utile. Chaque mesure se voit associer cinq attributs qui permettent de la filtrer et de la classer. Type de mesure, propriété de sécurité protégée, concept de cybersécurité, capacité opérationnelle et domaine de sécurité.

Relation entre l’Annexe A et l’ISO 27002

À la lecture de l’Annexe A, vous constaterez que chaque mesure est expédiée en deux ou trois lignes. Elle vous dit ce qu’il faut obtenir, pas comment y parvenir. C’est délibéré, car l’Annexe A est un index de référence, pas un manuel.

Le mode d’emploi se trouve dans l’ISO 27002, une norme distincte qui s’achète à part et ne se certifie pas. Elle reprend les mêmes quatre-vingt-treize mesures avec la même numérotation, mais consacre plusieurs pages à chacune en expliquant sa finalité et sa mise en œuvre. En résumé, l’ISO 27001 dit quoi faire et vous certifie, l’ISO 27002 explique comment et personne ne vous auditera contre elle. Si vous voulez le détail, nous comparons les deux normes dans cet article.

La marche à suivre est simple. Vous identifiez vos risques au chapitre 6, vous parcourez l’Annexe A pour sélectionner les mesures qui y répondent, vous consignez cette sélection dans la Déclaration d’applicabilité et vous ouvrez l’ISO 27002 au même numéro pour déployer chacune d’elles.

Vous avez désormais la carte complète. Quatre chapitres introductifs qui fixent le vocabulaire, sept chapitres certifiables qui déroulent le cycle de vie du système, un catalogue de quatre-vingt-treize mesures dans lequel vous piochez ce dont vous avez besoin et une norme jumelle qui vous explique comment les appliquer.