ISO 27001 Contrôles Expliqués : Un Guide de l'Annexe A

Si vous faites partie des entreprises cherchant à obtenir la certification ISO 27001 — ou la recertification — il est essentiel que vos contrôles soient efficaces afin que votre système de gestion de la sécurité de l'information (SGSI) réponde aux exigences de l'ISO 27001.

Pour vous aider à établir ou améliorer votre SGSI et préparer un audit, nous examinerons de plus près les contrôles ISO 27001:2022 ci-dessous.

Quels sont les contrôles de l'Annexe A de l'ISO 27001 ?

Les contrôles de sécurité de l'information sont des processus et des politiques que vous mettez en place pour atténuer les risques. ISO/IEC 27001 exige que les organisations mettent en œuvre des contrôles qui répondent à ses normes pour un système de gestion de la sécurité de l'information. 

Le document international de norme ISO 27001:2022 comprend l'Annexe A, qui décrit les 93 contrôles ISO 27001 et les regroupe en 4 thèmes. L'Annexe A décrit chaque objectif et contrôle pour aider les organisations à décider lesquels elles doivent utiliser. 

La norme ISO 27002 sert de ressource complémentaire. Elle entre dans plus de détails en fournissant une page entière d'informations sur le but de chaque contrôle, son fonctionnement et la manière de le mettre en œuvre. 

Combien de contrôles y a-t-il dans l'ISO 27001?

L'Annexe A de l'ISO 27001:2022 comprend 93 contrôles, divisés en quatre catégories. 

• Clause 5 : Contrôles Organisationnels (37 contrôles)
• Clause 6 : Contrôles des Personnes (8 contrôles)
• Clause 7 : Contrôles Physiques (14 contrôles)
• Clause 8 : Contrôles Technologiques (34 contrôles)

Lorsque l'Organisation Internationale de Normalisation a mis à jour la norme ISO 27001:2013 en 2022, elle a ajouté 11 nouveaux contrôles. Ils sont : 

• A.5.7 : Renseignement sur les menaces
• A.5.23 : Sécurité de l'information pour l'utilisation des services cloud
• A.5.30 : Préparation des TIC pour la continuité des activités
• A.7.4 : Surveillance de la sécurité physique
• A.8.9 : Gestion de la configuration
• A.8.10 : Suppression de l'information
• A.8.11 : Masquage des données
• A.8.12 : Prévention des fuites de données
• A.8.16 : Activités de surveillance
• A.8.23 : Filtrage Web
• A.8.28 : Codage sécurisé

En plus de répondre aux exigences de contrôle de l'Annexe A, les organisations doivent se conformer aux exigences des clauses 4 à 10 de la norme pour obtenir la certification ISO 27001 :

• Clause 4 : Contexte de l'organisation
• Clause 5 : Leadership
• Clause 6 : Planification
• Clause 7 : Soutien
• Clause 8 : Opération
• Clause 9 : Évaluation des performances
• Clause 10 : Amélioration

La manière dont vous satisfaites aux clauses ISO 27001 et aux contrôles de l'Annexe A dépendra de la singularité de votre organisation. La norme ISO 27001 est rédigée de manière à ce que différents types d'organisations puissent répondre aux exigences légales, réglementaires et contractuelles à leur manière.

En utilisant votre évaluation des risques ISO 27001 interne comme guide, sélectionnez les contrôles qui s'appliquent à votre organisation. Si vous choisissez de ne pas inclure un contrôle de l'Annexe A, expliquez pourquoi dans votre Déclaration d'applicabilité. Par exemple, si vous avez choisi d'exclure A.6.7 parce qu'aucun de vos employés ne travaille à distance, votre auditeur de certification voudra le savoir.

Quels sont les 4 thèmes de l'ISO 27001 ?

Quels sont les thèmes ISO 27001 ? Vous pouvez les considérer comme les sujets généraux couverts par l'ISO 27001. 

Des sujets tels que : comment traitez-vous la sécurité de l'entreprise ? Comment gérez-vous la gestion des actifs ? Comment abordez-vous la sécurité physique et la cybersécurité ?

Chaque thème se concentre sur les meilleures pratiques générales pour ce domaine de la sécurité de l'information et ses objectifs de contrôle. 

A 5.1-5.37 : Contrôles organisationnels

Le premier thème dans les contrôles de l'Annexe A de l'ISO 27001 concerne la manière dont votre organisation aborde la sécurité des données, des politiques et des processus que vous mettez en place à la structure de votre entreprise. 

Votre organisation dispose-t-elle d'un ensemble clair de politiques pour maintenir la sécurité de son SGSI ? Les rôles et responsabilités en matière de sécurité de l'information sont-ils clairement définis et efficacement communiqués ? Des contrôles d'accès appropriés sont-ils en place ?

Ce sont les problèmes que les contrôles organisationnels sont conçus pour traiter. Les contrôles englobent :

Politiques de sécurité de l'information

La force de vos politiques de sécurité de l'information influence directement toutes les autres catégories.

Les auditeurs rechercheront :

• Une documentation de haut niveau des politiques de sécurité de l'information
• Un processus régulier de révision et de mise à jour de ces politiques
• Une explication claire de la manière dont ces politiques fonctionnent avec les autres besoins de l'entreprise

Organisation de la sécurité de l'information

Il est bien beau pour le RSSI de mettre en place des politiques de sécurité, mais ce n'est pas suffisant pour l'ISO 27001. Des rôles de sécurité spécifiquement définis à chaque niveau de l'organisation sont indispensables.

Dans chaque département, il ne doit y avoir aucune ambiguïté quant aux responsabilités en matière de sécurité de l'information. Il doit également y avoir des plans sur la manière dont les travailleurs à distance ou les fournisseurs s'intègrent dans l'environnement.

Il est beaucoup plus facile pour un seul professionnel de la sécurité de l'information de mettre en œuvre des politiques dans un petit bureau. Cependant, vous devez toujours avoir un plan pour organiser la sécurité des données au fur et à mesure de la croissance de votre entreprise.

Relations avec les fournisseurs

La plupart des entreprises dépendent à un certain degré de partenariats externes. Lorsqu'elles recherchent la certification ISO 27001, les entreprises se concentrent souvent sur les opérations internes et les systèmes opérationnels et peuvent facilement négliger la chaîne d'approvisionnement et la gestion des risques liés aux tiers.

Il est plus difficile de mettre en œuvre des contrôles ici car vous ne pouvez pas contrôler la manière dont quelqu'un d'autre opère. Présentez à l'auditeur la preuve que vous maintenez tous les fournisseurs tiers à un niveau rigoureux et que vous avez complété un plan de traitement des risques approfondi pour les risques liés aux tiers. Vous devriez également refuser de travailler avec quiconque ne respectant pas ces normes.

Contrôles d'accès

En termes simples, les employés de votre organisation ne doivent pas être en mesure de consulter des informations qui ne sont pas pertinentes pour leur travail.

Le contrôle d'accès englobe qui reçoit les informations d'authentification — comme les informations de connexion — et quels privilèges ces informations apportent. Plus il y a de personnes ayant accès aux informations de l'entreprise, plus le risque est grand.

Ces contrôles portent sur la manière de sécuriser les ID utilisateur et les mots de passe des employés et de limiter l'accès non essentiel aux applications par le biais d'un processus formel de gestion des accès. Ils doivent être soutenus par des procédures documentées et des responsabilités des utilisateurs.

Gestion des actifs

Tout actif d'information est un risque potentiel de sécurité — si c'est précieux pour vous, c'est probablement précieux pour quelqu'un d'autre.

La certification ISO 27001 exige que votre entreprise identifie ses actifs d'information, les classe et applique des processus de gestion basés sur ces classifications.

Pour les contrôles dans ce domaine, vous devez savoir:

• Quelle est l'utilisation acceptable d'un actif d'information?
• Qui est autorisé à recevoir et à partager chaque actif?
• Comment suivre l'emplacement d'un actif?
• Comment éliminer l'actif, si nécessaire

Les contrôles couvrent également la manière de stocker en toute sécurité les actifs sur des supports amovibles, comme les clés USB.

Sécurité des communications

Ces contrôles couvrent le transfert d'informations, y compris la manière dont vous échangez des informations, comment vous les protégez lorsque vous utilisez des messages électroniques comme des e-mails et comment vous utilisez des accords de non-divulgation.

Gestion des incidents de sécurité de l'information

Vous ne pourrez pas échapper à toutes les menaces de sécurité, peu importe à quel point vous êtes préparé. Ce domaine couvre la manière dont votre entreprise répondra aux événements et incidents de sécurité.

En cas de violation de données, qui est informé en premier? Qui a le pouvoir de prendre des décisions? Que ferez-vous pour minimiser l'impact?

Cet ensemble de contrôles prend également en compte ce que vous faites après la crise. Comment allez-vous tirer des leçons de l'incident?

Aspects de la sécurité de l'information dans la gestion de la continuité des activités

Lorsque les activités sont fortement perturbées, la sécurité de l'information peut passer au second plan.

Votre entreprise a-t-elle un plan pour protéger les données sensibles en cas de bouleversement opérationnel majeur?

La perturbation peut être n'importe quoi, d'une catastrophe naturelle à une attaque de ransomware ou à un bouleversement politique dans le pays d'origine de l'entreprise. Il peut également être interne, comme une acquisition ou un changement de direction de l'entreprise.

Les mesures de redondance — y compris le maintien d'un inventaire de pièces de rechange et de matériel et logiciel en double — peuvent aider à maintenir la continuité des activités et le bon fonctionnement pendant les périodes de perturbation.

Conformité

La section finale détaille comment votre organisation se conforme aux lois sur la sécurité de l'information.

En vertu de lois telles que le Règlement général sur la protection des données (RGPD) de l'UE, les entreprises peuvent faire face à des amendes lourdes pour des échecs en matière de sécurité de l'information. Les auditeurs ISO 27001 veulent voir que vous avez un plan pour atténuer le risque de non-conformité.

A 6.1-6.8 : Contrôles des personnes

Les contrôles des personnes définissent comment votre personnel interagit avec les données et les systèmes d'information. Ils comprennent des pratiques telles que les vérifications des antécédents des employés et la formation à la sensibilisation à la sécurité.

Sécurité des ressources humaines

Les contrôles de cette section exigent que chaque employé soit clairement conscient de ses responsabilités en matière de sécurité de l'information.

Cela couvre l'ensemble de la relation avec le personnel :

1. Comment les employés sont-ils vérifiés avant d'être embauchés ? Cela inclut le dépistage et les vérifications des antécédents, ainsi que des conditions d'emploi claires.
2. Comment les attentes en matière de sécurité de l'information seront-elles communiquées aux employés ? Cela inclut des aspects tels que la sensibilisation à la sécurité de l'information, la formation, le processus disciplinaire, la déclaration des incidents de sécurité et les accords de non-divulgation.
3. Comment vous assurez-vous que les employés ne compromettent pas la sécurité de vos informations après avoir quitté l'entreprise ?

A 7.1-7.13 : Contrôles physiques

Comment allez-vous protéger les actifs d'information physiques ? Ces contrôles incluent des politiques de bureau propre, des protocoles de stockage et d'élimination, des systèmes d'entrée et d'accès, etc.

Sécurité physique et environnementale

Votre organisation doit protéger tout emplacement physique où elle stocke des données sensibles. Cela signifie des bureaux, des centres de données, des locaux accueillant les clients, et tout autre endroit qui pourrait compromettre votre sécurité de l'information en cas de violation.

La sécurité ne se résume pas aux serrures et aux gardes. Elle exige que vous réfléchissiez aux droits d'accès, en vous posant des questions comme : « Comment déterminez-vous qui peut entrer dans une zone sécurisée comme une salle de serveurs ? ».

Ce thème inclut également des contrôles pour s'assurer que les employés mettent en œuvre des mesures de protection physique. Laisser son ordinateur portable ou son appareil mobile dans un café peut être encore pire que d'être piraté. Les travailleurs à distance et au bureau doivent adopter une politique de bureau et d'écran propre pour que les informations ne puissent pas être accédées, vues ou prises par une personne non autorisée.

D'autres contrôles de cette série couvrent le risque de catastrophes naturelles. Si votre centre de données est endommagé par une inondation ou un tremblement de terre, comment garantirez-vous qu'il reste protégé contre les intrusions forcées ? Si vous ne pouvez pas garantir cela, que ferez-vous d'autre pour protéger vos données sensibles ?

A 8.1-8.34 : Contrôles technologiques

Les contrôles technologiques concernent le maintien d'une infrastructure informatique sécurisée et conforme. Ces contrôles couvrent diverses questions, allant de qui peut accéder au code source et comment maintenir la sécurité du réseau à la synchronisation des horloges.

Cryptographie

La cryptographie n'est qu'un outil dans votre arsenal de sécurité, mais l'ISO 27001 la considère suffisamment importante pour mériter son propre ensemble de contrôles.

Votre entreprise doit avoir une politique documentée pour la gestion du chiffrement, avec des preuves montrant que vous avez réfléchi au meilleur type de chiffrement pour les besoins de votre entreprise.

Assurez-vous de prêter une attention particulière à la manière dont vous gérez les clés cryptographiques tout au long de leur cycle de vie, y compris un plan pour savoir quoi faire si une clé est compromise.

Sécurité des opérations

L'ISO 27001 exige que votre entreprise sécurise les installations et les systèmes de traitement de l'information qui composent son SGSI.

Ces contrôles technologiques couvrent la documentation des procédures opérationnelles du SGSI, y compris les procédures de gestion et de révision des changements. D'autres sous-domaines couvrent la protection contre les logiciels malveillants, les sauvegardes de données, les tests de pénétration, la gestion des vulnérabilités techniques, et plus encore.

Si votre entreprise est fortement axée sur la technologie, vous devrez également prouver que vos environnements de développement et de test sont sécurisés.

Sécurité réseau

L'information est particulièrement vulnérable lorsqu'elle est en mouvement. L'ISO 27001 définit largement la communication comme tout transit d'information d'un nœud de votre réseau à un autre.

Ces contrôles empêchent les attaquants d'accéder à des informations sensibles en exploitant des failles et des vulnérabilités de la sécurité de votre réseau.

Acquisition, développement et maintenance du système

Cet ensemble de contrôles s'intéresse à l'évolution de votre SMSI au fil du temps.

Chaque fois que vous introduisez un nouveau système de sécurité de l'information ou apportez des modifications à un système que vous utilisez déjà, la sécurité de l'information doit être au premier plan de vos préoccupations.

Pour répondre à ces exigences de contrôle, vous devrez soumettre tout nouveau système à des exigences de sécurité spécifiques, en rejetant toute modification qui ne répond pas à vos spécifications.

Qui est responsable de la mise en œuvre des contrôles ISO 27001 ?

Il y a une idée fausse répandue selon laquelle l'informatique devrait être uniquement responsable de la mise en œuvre des contrôles ISO 27001 applicables à une organisation. Cependant, seuls certains de ces contrôles sont technologiques. Les autres sont liés à des questions organisationnelles, à la sécurité physique, aux ressources humaines et à la protection juridique.

Ainsi, la mise en œuvre des contrôles de l'annexe A doit être la responsabilité de plusieurs parties prenantes et départements au sein d'une organisation. Qui sont ces individus exactement dépendra de la taille, de la complexité et de la posture de sécurité de cette organisation.

Comprendre les contrôles ISO 27001

Comme tout le reste concernant ISO 27001, les contrôles de l'annexe A semblent compliqués au premier abord. Mais une fois que vous examinez un peu plus en détail, le cadre de contrôle ISO 27001 est assez simple.

Plus vous comprenez votre paysage de risques en matière de sécurité de l'information, plus il sera facile de déterminer quels contrôles s'appliquent à vous.

Cela dit, nous ne vous en voulons pas si le processus de certification ISO 27001 vous semble toujours intimidant.

C'est pourquoi nous avons créé Secureframe.

Notre plate-forme d'automatisation de la conformité facilite et accélère la certification ISO 27001. Avec des fonctionnalités d'automatisation puissantes et une équipe d'experts ISO 27001, nous vous aiderons à construire un SMSI conforme, à surveiller les contrôles, à gérer les risques des fournisseurs, à réaliser une analyse des écarts et à vous préparer à 100 % pour un audit.