On change de registre ! On ne parle plus d’outils techniques (logiciels), mais de normes internationales. C’est le “cadre de loi” de la cybersécurité.
L’ISO 27001 et l’ISO 27002 sont les deux piliers de la gestion de la sécurité de l’information (SMSI). Elles fonctionnent toujours en binôme : la première dit quoi faire, la seconde explique comment le faire.
Architecture et Fonctionnement : Le SMSI
Le but de ces normes est de mettre en place un SMSI (Système de Management de la Sécurité de l’Information). Ce n’est pas un projet ponctuel, mais un cycle continu appelé Roue de Deming (PDCA).
Le cycle de vie de la norme
- Plan (Planifier) : Identifier les risques (ex: “Et si mon serveur brûle ?”) et définir une politique de sécurité.
- Do (Déployer) : Mettre en place les mesures (ex: installer un firewall, former le personnel).
- Check (Contrôler) : Vérifier que ça fonctionne via des audits et des mesures (Zabbix ou Prometheus peuvent aider ici !).
- Act (Améliorer) : Corriger les failles trouvées lors du contrôle.
ISO 27001 vs ISO 27002 : Quelle différence ?
C’est la confusion la plus fréquente. Voici comment les distinguer :
1. ISO 27001 : La Norme de Certification (Le “Quoi”)
C’est le texte officiel qui contient les exigences.
- Elle est obligatoire si une entreprise veut être certifiée.
- Elle se concentre sur le management : engagement de la direction, analyse de risques, ressources humaines.
- Elle possède une annexe (l’Annexe A) qui liste 93 mesures de sécurité (contrôles).
2. ISO 27002 : Le Code de Bonnes Pratiques (Le “Comment”)
C’est le guide détaillé (le “catalogue”).
- Elle reprend les 93 points de l’Annexe A de la 27001 et donne des conseils de mise en œuvre.
- Exemple : Si la 27001 dit “Vous devez sécuriser les mots de passe”, la 27002 expliquera “Il est conseillé d’utiliser 12 caractères, des chiffres et de ne pas les stocker en clair”.
- On ne peut pas être “certifié ISO 27002”, on l’utilise simplement comme manuel d’aide.
Les 4 Thématiques (depuis la mise à jour 2022)
Depuis 2022, les contrôles de l’ISO 27002 sont classés en 4 grandes familles :
- Organisationnels (37 contrôles) : Politiques de sécurité, inventaire des actifs, utilisation des services cloud.
- Personnes (8 contrôles) : Télétravail, sensibilisation des employés, clauses de confidentialité.
- Physiques (14 contrôles) : Surveillance des locaux, protection contre les catastrophes naturelles, verrouillage des baies serveurs.
- Techniques (34 contrôles) : Chiffrement, gestion des vulnérabilités, sauvegardes, pare-feux.
Lexique technique ISO
| Terme | Définition |
| SMSI | Système de Management de la Sécurité de l’Information. L’ensemble des règles et processus de l’entreprise. |
| Actif (Asset) | Tout ce qui a de la valeur pour l’entreprise : données, serveurs, mais aussi le personnel ou la réputation. |
| Analyse de Risques | Évaluer la probabilité qu’une menace arrive et son impact (financier, juridique). |
| SoA (Statement of Applicability) | Document obligatoire listant les mesures de la norme que l’entreprise a choisi d’appliquer (ou non). |
| Conformité | Le fait de respecter scrupuleusement les règles imposées par la norme. |
Pourquoi s’infliger cela ?
Structure : Cela évite d’acheter des outils techniques (comme Burp Suite ou Zabbix) de manière désordonnée sans stratégie globale.
Confiance client : Un client sera rassuré de confier ses données à une entreprise certifiée ISO 27001.
Protection juridique : En cas de piratage, prouver qu’on respecte la norme montre que l’entreprise n’a pas été négligente.
« Revenir à l'index du glossaire