Introduction à la norme ISO 27001:2022 Annexe A

ISO 27001: 2022 est une norme internationale de sécurité de l'information mise en œuvre via un système de gestion de la sécurité de l'information (ISMS). L'annexe A de la norme contient 93 contrôles de sécurité qui peuvent être appliqués en fonction des besoins et des objectifs de votre organisation.  

La mise en œuvre de ces contrôles permet à votre organisation de faire face aux risques potentiels et de se conformer à la norme ISO 27001. C'est une approche éprouvée pour montrer à vos clients et prospects que la protection de leurs données est une priorité pour votre entreprise.  

Dans cet article, nous examinerons l'Annexe A, présenterons les contrôles critiques et expliquerons pourquoi la compréhension et la mise en œuvre des contrôles pertinents de l'Annexe A sont essentielles au succès de votre organisation selon la norme ISO 27001. 

Catégories de l'Annexe A ISO 27001:2022

 Les 93 ISO 27001:2022 Annexe A les contrôles sont classés en quatre catégories : 

  •        Contrôles organisationnels
  •        Contrôles des personnes
  •        Contrôles physiques 
  •        Contrôles technologiques.

Contrôles organisationnels

La norme ISO 27001 contient 37 contrôles organisationnels. Ces contrôles concernent les politiques, procédures, structures de votre organisation, etc., vous permettant de mettre en œuvre une sécurité efficace des informations au niveau organisationnel.  

Les contrôles organisationnels incluent vos politiques de sécurité des informations, vos responsabilités en matière de sécurité des informations, le contrôle d'accès, la gestion des actifs et bien plus encore. 

Contrôles des personnes

La norme ISO 27001 contient huit contrôles de personnes, axés sur les mesures critiques que les organisations doivent prendre pour garantir que les employés reçoivent une formation suffisante en matière de sécurité de l'information et connaissent leurs responsabilités. 

Les contrôles des personnes comprennent l'éducation, la sensibilisation et la formation à la sécurité de l'information, les mesures de travail à distance, le reporting des événements de sécurité de l'information, etc. 

Contrôles physiques 

Les 14 contrôles physiques de la norme ISO 27001 portent sur la sécurité de l'environnement physique de votre organisation. 

Les contrôles physiques incluent des mesures de sécurité pour travailler dans des zones sécurisées, la gestion des supports de stockage, des politiques de bureau et d'écran clairs, et bien plus encore. 

Contrôles technologiques

Il existe 34 contrôles technologiques décrits dans la norme ISO 27001:2022 relatifs à divers éléments technologiques au sein de votre organisation. 

Les contrôles technologiques comprennent l'authentification sécurisée, la gestion des vulnérabilités techniques, les activités de surveillance et l'utilisation de la cryptographie. 

Contrôles critiques ISO 27001:2022 Annexe A

Votre organisation n'a pas nécessairement besoin de mettre en œuvre l'ensemble des 93 contrôles, mais vous devez sélectionner des contrôles pertinents par rapport aux objectifs de sécurité des informations de votre organisation et aux risques que vous avez identifiés. Plusieurs contrôles essentiels sont nécessaires pour que la plupart, sinon la totalité, des organisations soient conformes à la norme ISO 27001. 

Notez que la liste ci-dessous n’est pas exhaustive. Votre organisation doit considérer chaque contrôle en fonction de vos objectifs primordiaux en matière de sécurité des informations. 

A.5.1 Politiques de sécurité des informations

Contrôle A.5.1, Politiques de sécurité des informations, garantit l'adéquation, l'adéquation et l'efficacité continues du soutien et de l'orientation de la direction pour la sécurité et la confidentialité des informations de votre organisation. 

Mis en œuvre avec succès, ce contrôle garantit que votre organisation dispose d'un ensemble de politiques de sécurité et de confidentialité des informations conçues pour informer et guider le comportement des individus en fonction des risques de sécurité des informations.  

Par exemple, votre politique de sécurité de l'information, ce qui est une exigence de ISO 27001:2022 Article 5.2, doit être approuvé par la direction et indiquer l'approche de votre organisation en matière de gestion de la sécurité de l'information. Il doit tenir compte de votre stratégie commerciale, de vos exigences, de la législation, des réglementations et des contrats pertinents.  

La politique devrait : 

  • Inclure une définition de la sécurité de l’information 
  • Fournir un cadre pour établir des objectifs de sécurité de l’information 
  • Déclarez un engagement continu à améliorer le SMSI de votre organisation 
  • Attribuez les responsabilités de gestion de la sécurité de l’information à des rôles définis. 

La haute direction doit approuver la politique de sécurité de l'information et toutes les modifications apportées pour garantir une mise en œuvre efficace. Vous devez ensuite communiquer la politique (et toutes les sous-politiques associées, telles que les politiques de contrôle d'accès et de gestion des actifs) au personnel concerné. 

 A.5.1. Résultats: Politique de sécurité de l'information ; sous-politiques spécifiques à un sujet pertinent, par exemple A.5.10 Utilisation acceptable des informations et autres actifs associés, A.8.32 Gestion du changement, A.8.13 Sauvegarde des informations, etc. 

A.5.15 Contrôle d'accès

Contrôle A.5.15, Contrôle d'accès exige que votre organisation établisse et mette en œuvre des règles pour contrôler l’accès physique et logique aux informations et autres actifs associés, en fonction des exigences commerciales et de sécurité des informations. Cela garantit que seuls les profils autorisés peuvent accéder aux informations et autres actifs et empêche tout accès non autorisé. 

Vous devez aborder ce contrôle avec une politique de contrôle d'accès, qui constitue une politique spécifique à un sujet dans votre politique de sécurité des informations. Votre politique de contrôle d’accès doit prendre en compte :  

  • Déterminer quelles entités ont besoin de quel type d'accès aux informations et autres actifs 
  • Sécurité des applications 
  • Accès physique, soutenu par des contrôles d'entrée physiques 
  • Diffusion et autorisation des informations, niveaux de sécurité des informations et classification des informations 
  • Restrictions à l'accès privilégié 
  • Séparation des tâches 
  • Législations, réglementations et obligations contractuelles pertinentes concernant la limitation de l'accès aux données ou aux services 
  • Ségrégation des fonctions de contrôle d'accès (telles que la demande d'accès, l'autorisation d'accès et l'administration des accès) 
  • Autorisation formelle des demandes d'accès 
  • Gestion des droits d'accès 
  • Enregistrement. 

Les principes du besoin de savoir et du besoin d’utiliser sont couramment utilisés dans le contrôle d’accès : 

  • Dois savoir implique qu’une entité (telle qu’un individu ou une organisation) ait uniquement accès aux informations dont elle a besoin pour accomplir ses tâches.  
  • Besoin d'utiliser implique qu’une entité n’ait accès à l’infrastructure informatique qu’en cas de besoin clair.  

Ces principes peuvent guider la manière dont votre organisation accorde l’accès aux ressources informationnelles. Vous devez également prendre en compte les exigences métier et les facteurs de risque lors de la définition des règles de contrôle d'accès à appliquer et du niveau de granularité nécessaire. 

A.5.15 Résultats: Politique de contrôle d'accès spécifique au sujet ; mise en œuvre du contrôle d'accès (par exemple contrôle d'accès obligatoire, contrôle d'accès discrétionnaire, contrôle d'accès basé sur les rôles ou contrôle d'accès basé sur les attributs). 

A.6.3 Sensibilisation, éducation et formation à la sécurité de l'information

Contrôle A.6.3, Sensibilisation, éducation et formation à la sécurité de l'information, constitue le fondement de la posture de sécurité de votre organisation. Il garantit que vos employés et les parties intéressées peuvent prévenir, identifier et signaler les incidents potentiels de sécurité des informations.  

Le contrôle exige que le personnel et les parties concernées reçoivent une sensibilisation, une éducation, une formation et des mises à jour régulières sur la sécurité de l'information de votre organisation ainsi que sur les politiques et procédures spécifiques à un sujet applicable à leurs fonctions. 

Vous devez établir un programme de sensibilisation, d'éducation et de formation à la sécurité de l'information conforme à vos objectifs en matière de sécurité de l'information, et la formation doit avoir lieu périodiquement. Le programme doit sensibiliser le personnel à ses responsabilités en matière de sécurité de l'information et inclure un plan d'éducation et de formation approprié pour aider le personnel à comprendre l'objectif de la sécurité de l'information et l'impact potentiel de son comportement, en matière de sécurité de l'information, sur votre entreprise. 

Pensez à couvrir des aspects tels que :  

  • L'engagement de la direction envers la sécurité des informations dans l'ensemble de votre organisation 
  • Besoins de familiarité et de conformité concernant les règles et obligations applicables en matière de sécurité de l’information 
  • Responsabilité personnelle de ses actions et inactions, et responsabilités générales en matière de sécurisation ou de protection des informations appartenant à l'organisation 
  • Procédures de sécurité des informations de base telles que le rapport d'événements et la sécurité des mots de passe 
  • Points de contact et ressources pour des informations et des conseils supplémentaires. 

A.6.3 Résultats : Formations de sensibilisation périodiques ; programme périodique d'éducation et de formation; diffusion régulière des politiques pertinentes en matière de sécurité de l’information, y compris des mises à jour. 

 A.8.24 Utilisation de la cryptographie

Contrôle A.8.24, utilisation de la cryptographie exige que votre organisation définisse et mette en œuvre des règles pour une utilisation efficace de la cryptographie. La cryptographie peut être utilisée pour atteindre différents objectifs de sécurité des informations, tels que : 

  • Confidentialité, en utilisant le cryptage pour protéger les informations sensibles ou critiques 
  • Intégrité ou authenticité, en utilisant des signatures numériques ou des codes d'authentification de message pour vérifier l'authenticité ou l'intégrité d'informations sensibles ou critiques 
  • Non-répudiation, en utilisant des techniques cryptographiques pour fournir la preuve de la survenance ou de la non-survenance d'un événement ou d'une action 
  • Authentification, by utiliser des techniques cryptographiques pour authentifier les utilisateurs et autres entités demandant l'accès à votre système, vos entités ou vos ressources. 

Votre organisation doit mettre en œuvre une politique de cryptographie spécifique à un sujet, comprenant des principes généraux de protection des informations. Vous devez également tenir compte des exigences légales, statutaires, réglementaires et contractuelles pertinentes liées à la cryptographie. Les considérations critiques pour votre politique de cryptographie incluent : 

  • Identifier le niveau requis de protection et de classification des informations et, par conséquent, établir le type, la force et la qualité des algorithmes cryptographiques requis 
  • L'approche de la gestion et de la génération des clés, y compris les processus sécurisés pour générer, stocker, archiver, récupérer, distribuer, retirer et détruire les clés cryptographiques. 
  • Rôles et responsabilités dans la mise en œuvre des règles d'utilisation efficace de la cryptographie ainsi que de la gestion et de la génération des clés. 

Conformément à ce contrôle, votre organisation doit définir et utiliser un système de gestion des clés. 

A.8.24 Résultats : Politique de cryptographie spécifique à un sujet ; mise en œuvre de méthodes cryptographiques appropriées ; mise en place d'un système de gestion des clés.

Évaluation et traitement des risques dans la norme ISO 27001:2022 

Votre organisation devra définir et appliquer un processus d'évaluation des risques en matière de sécurité de l'information pour se conformer à la norme ISO 27001:2022. Clause 6.1.2, évaluation des risques liés à la sécurité des informations.  

Le processus d’évaluation des risques liés à la sécurité de l’information doit : 

  • Établir et maintenir des critères de risque en matière de sécurité de l'information, y compris des critères d'acceptation des risques et des critères pour effectuer des évaluations des risques en matière de sécurité de l'information. 
  • Veiller à ce que les évaluations répétées de la sécurité des informations produisent des résultats cohérents, valides et comparables. 
  • Identifiez les risques liés à la sécurité des informations. 
  • Analyser les risques liés à la sécurité de l'information, y compris la probabilité d'occurrence du risque, les conséquences potentielles de l'occurrence du risque et les niveaux de risque 
  • Évaluez les risques liés à la sécurité des informations en comparant les résultats de l’analyse des risques avec vos critères de risque établis et en priorisant les risques analysés pour le traitement. 

Ce processus vous permet de créer un cadre systématique pour l’évaluation des risques. Une fois cela établi, vous devez définir et appliquer un processus de traitement des risques liés à la sécurité de l'information conformément à la clause 6.1.3.  

Votre processus de traitement des risques doit inclure : 

  • Sélection des options appropriées de traitement des risques. 
  • Compte tenu des résultats de l’évaluation des risques. 
  • Déterminer les contrôles nécessaires à la mise en œuvre des options de traitement des risques indiquées.  

Ici, l’Annexe A sert de ligne directrice pour un traitement complet et approprié des risques. À l’aide de votre cadre d’évaluation des risques, vous pouvez hiérarchiser et sélectionner les contrôles en fonction de votre profil de risque et des exigences organisationnelles. Ensuite, vous devez choisir les contrôles de l’Annexe A nécessaires à mettre en œuvre pour y répondre et vous assurer qu’aucun contrôle critique n’a été négligé.

Annexe A : ISO 27001 : 2013 par rapport à ISO 27001 : 2022 

La version actuelle de la norme ISO 27001, publiée en 2022, présente un ensemble restructuré de contrôles de l'Annexe A par rapport à l'itération de 2013. Auparavant, l'Annexe A comprenait 114 contrôles répartis en 14 catégories ; désormais, l'Annexe A contient 93 contrôles répartis en quatre catégories principales, comme indiqué : organisationnel, humain, physique et technologique.  

Cette évolution s'explique principalement par la consolidation des contrôles ; cependant, il y a 11 nouveaux contrôles de sécurité à prendre en compte : 

La mise à jour 2022 introduit également cinq nouveaux attributs de base pour une catégorisation plus facile : 

  • Type de contrôle (préventif, détective, correctif) 
  • Propriétés de sécurité de l'information (confidentialité, intégrité, disponibilité) 
  • Concepts de cybersécurité (identité, protection, détection, réponse, récupération) 
  • Capacités opérationnelles (gouvernance, gestion d’actifs, etc.) 
  • Domaines de sécurité (gouvernance et écosystème, protection, défense, résilience). 

Transition de la norme ISO 27001:2013 à la norme ISO 27001:2022 

Si votre organisation est déjà certifiée ISO 27001:2013, la date limite pour passer à la nouvelle révision est le 31 octobre 2025.  

Chez ISMS.online, nous aidons déjà les entreprises à passer à la norme ISO 27001:2022. Nos clients ont un taux de réussite de 100 % pour obtenir la certification en utilisant notre Méthode des résultats assurés (ARM).  

Pour commencer, nous décomposons le processus en sept étapes simples. Ces conseils étape par étape sont intégrés à notre plateforme. Nous vous guiderons donc à chaque étape, de la mise à jour de votre plan de traitement des risques à la démonstration de votre conformité aux exigences de la norme 2022. Nous vous aiderons également à maintenir la conformité avec 2013 tout en faisant passer votre certification à 2022, garantissant ainsi que votre entreprise est systématiquement conforme.   

Annexe A : Débloquer le succès de la norme ISO 27001 : 2022 

Pour les organisations cherchant à obtenir la certification ISO 27001, il est essentiel de comprendre les contrôles de l’annexe A et de les mettre en œuvre de manière efficace et claire. Ces contrôles vous permettent de prévenir l'apparition de risques potentiels pour la sécurité des informations et de définir les processus et procédures permettant de réagir efficacement en cas d'incident. Ils vous permettent également de créer un SMSI robuste qui évoluera et grandira avec les besoins de votre entreprise. 

Chaque organisation a des exigences différentes en matière de sécurité des informations. Vous devez donc évaluer les besoins et les objectifs spécifiques de votre entreprise lors de la sélection des contrôles de l'annexe A. Vous constaterez peut-être que certains contrôles portent sur des risques qui, selon vos évaluations des risques, ne sont pas applicables. La plateforme ISMS.online peut simplifier ce processus : identifiez et traitez rapidement vos contrôles pertinents de l'Annexe A avec des modèles pré-remplis et notre moteur de gestion dynamique des risques.  

Notre plateforme se connecte également à vos systèmes existants, vous trouverez donc tout ce dont vous avez besoin pour réussir en un seul endroit. Mieux encore, en utilisant notre Contenu d'avance, votre parcours de conformité est terminé à 81 % dès votre première connexion.  

Découvrez comment tirer parti de notre approche pratique et abordable pour obtenir la certification ISO 27001 dès la première fois dans notre livre blanc « La voie éprouvée vers le succès de la certification ISO 27001 ».