TL;DR 

La norme ISO 27001 est la norme mondiale pour la gestion des risques informatiques. Elle définit la manière d'élaborer et de maintenir un SMSI sécurisé - y compris la délimitation du champ d'application, l'évaluation des risques, les contrôles de l'annexe A, les audits.

Plus axé sur les processus que SOC 2, mais avec un champ d'application plus large. Indispensable si vous opérez à l'échelle internationale ou si vous souhaitez disposer d'un cadre de sécurité évolutif et fondé sur les risques.

Résumé du tableau de bord ISO 27001 :

• Effort du développeur : Modéré à élevé (nécessite l'adhésion aux politiques de sécurisation du SDLC, la participation aux évaluations des risques, la fourniture de preuves pour les contrôles tels que A.12/A.14).
• Coût de l'outillage : Modéré à élevé (les frais d'audit sont importants, logiciel ISMS potentiel, outils de sécurité).
• Impact sur le marché : Très élevé (norme mondialement reconnue, essentielle pour les entreprises internationales, les industries réglementées, les grandes entreprises).
• Flexibilité : élevée (approche par cadre, sélection des contrôles en fonction des risques par le biais de l'approche stratégique).
• Intensité des audits : Élevée (étapes 1 et 2 pour la certification initiale, audits de surveillance annuels, axés sur les processus et la documentation).

Qu'est-ce que la norme ISO 27001 ?

ISO/IEC 27001 est la norme internationale la plus importante en matière de sécurité de l'information. Élaborée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), elle spécifie les exigences relatives à l'établissement, à la mise en œuvre, au maintien et à l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI) dans le contexte de l'organisation.

Un SMSI n'est pas seulement un ensemble d'outils techniques ; c'est une approche systématique de la gestion des informations sensibles de l'entreprise afin qu'elles restent sécurisées. Il englobe les personnes, les processus et la technologie. L'idée centrale est la gestion des risques : identifier les menaces et les vulnérabilités, évaluer les risques et mettre en œuvre des contrôles pour les atténuer à un niveau acceptable.

Principaux éléments de la norme ISO 27001:

• Clauses 4 à 10 : elles définissent les exigences obligatoires pour le SMSI lui-même - compréhension du contexte de l'organisation, engagement de la direction, planification (évaluation et traitement des risques), soutien (ressources, sensibilisation, documentation), fonctionnement, évaluation des performances (suivi, audit interne, revue de direction) et amélioration.
• Annexe A : elle fournit un ensemble de référence de 114 contrôles de sécurité de l'information regroupés en 14 domaines (bien que la version 2022 soit passée à 93 contrôles répartis en 4 thèmes). Les organisations sélectionnent les contrôles pertinents de l'annexe A en fonction des résultats de leur évaluation des risques au moyen d'une déclaration d'applicabilité (SoA). Tous les contrôles ne sont pas obligatoires ; seuls ceux qui sont nécessaires pour traiter les risques identifiés le sont.

Contrairement à la norme SOC 2, qui donne lieu à un rapport d'attestation, la norme ISO 27001 débouche sur une certification formelle après avoir passé avec succès des audits externes (Étape 1 et Étape 2). Cette certification est généralement valable trois ans, et des audits de surveillance annuels sont nécessaires pour la conserver.

Pourquoi est-ce important ?

La certification ISO 27001 a un poids considérable, en particulier pour les entreprises technologiques opérant à l'échelle mondiale ou traitant des données sensibles :

• Reconnaissance internationale : Il s'agit de la norme mondiale la plus largement reconnue en matière de gestion de la sécurité de l'information, ce qui renforce la crédibilité dans le monde entier.
• Gestion complète de la sécurité : Elle impose une approche structurée et fondée sur les risques, améliorant la posture de sécurité globale au-delà des seuls contrôles techniques.
• Confiance des clients et des partenaires : Comme SOC 2, c'est un signal fort pour les clients et les partenaires que vous prenez la sécurité au sérieux, ce qui est souvent exigé dans les contrats et les appels d'offres.
• Conformité légale et réglementaire : La mise en œuvre d'un SMSI ISO 27001 aide à répondre aux exigences de diverses lois et réglementations (comme le GDPR) en démontrant une gestion systématique des risques.
• Réduction du risque de violation : Un SMSI bien mis en œuvre réduit manifestement la probabilité et l'impact des incidents de sécurité. Toyota, par exemple, a dû interrompre sa production à la suite d'une cyberattaque ; un SMSI solide permet d'éviter de telles perturbations.
• Amélioration de l'organisation et des processus : Elle structure les efforts en matière de sécurité, clarifie les responsabilités et favorise une culture de la sécurité.

Alors que SOC 2 est souvent motivé par les demandes des clients SaaS américains, ISO 27001 fournit une assurance plus large et internationalement reconnue de l'ensemble de votre système de gestion de la sécurité.

Quoi et comment mettre en œuvre (technique et politique)

La mise en œuvre de la norme ISO 27001 est un processus structuré centré sur le SMSI et la gestion des risques :

1. Définir le champ d'application : Déterminez clairement les parties de votre organisation, les sites, les actifs et les technologies que le SMSI couvrira.
2. Engagement des dirigeants : Obtenir l'adhésion et les ressources de la direction générale.
3. Définir des politiques : Créer des politiques de sécurité de haut niveau (par exemple, politique de sécurité de l'information, politique d'utilisation acceptable).
4. Évaluation des risques : Identifier les actifs informationnels, les menaces, les vulnérabilités et les contrôles existants. Analyser la probabilité et l'impact des risques.
5. Traitement des risques : Sélectionner les contrôles (principalement à partir de l'annexe A) pour atténuer les risques inacceptables. Documenter ce choix dans la déclaration d'applicabilité (DDA), en justifiant les contrôles inclus/exclus.
6. Mettre en œuvre des contrôles : Déployer les contrôles techniques et procéduraux sélectionnés. Nombre d'entre eux se recoupent avec SOC 2, mais ISO 27001 L'annexe A fournit un catalogue spécifique :
   
   • A.5 Politiques de sécurité de l'information : Orientations de la direction.
   • A.6 Organisation de la sécurité de l'information : Organisation interne, appareils mobiles, télétravail.
   • A.7 Sécurité des ressources humaines : Responsabilités en matière de sécurité avant, pendant et après l'emploi.
   • A.8 Gestion des actifs : Inventaire, propriété, utilisation acceptable, classification, traitement des supports.
   • A.9 Contrôle d'accès : Exigences commerciales, gestion de l'accès des utilisateurs, responsabilités des utilisateurs, accès aux systèmes/applications. (y compris RBAC, MFA, etc.)
   • A.10 Cryptographie : Politique en matière de contrôles cryptographiques et de gestion des clés.
   • A.11 Sécurité physique et environnementale : Zones sécurisées, sécurité des équipements.
   • A.12 Sécurité opérationnelle : Procédures, gestion des changements, protection contre les logiciels malveillants, sauvegarde, journalisation, surveillance, gestion des vulnérabilités. (y compris SAST, SCA, Patching, etc.)
   • A.13 Sécurité des communications : Gestion de la sécurité des réseaux, transfert d'informations. (y compris les pare-feu, le cryptage en transit)
   • A.14 Acquisition, développement et maintenance des systèmes : Exigences de sécurité en matière de développement, politique de développement sécurisé, sécurité des données d'essai. (Pratiques sécurisées du SDLC)
   • A.15 Relations avec les fournisseurs : Sécurité des accords avec les fournisseurs, suivi des services des fournisseurs. (Gestion des fournisseurs)
   • A.16 Gestion des incidents de sécurité de l'information : Responsabilités, réponse, apprentissage à partir des incidents.
   • A.17 Aspects de la sécurité de l'information liés à la gestion de la continuité des activités : Planification, mise en œuvre, vérification. (Reprise après sinistre)
   • A.18 Conformité : Identification des exigences légales/contractuelles, des droits de propriété intellectuelle, de la protection de la vie privée (protection des informations personnelles), examen de la sécurité de l'information.
7. Formation et sensibilisation : Sensibiliser les employés aux politiques et à leurs responsabilités en matière de sécurité.
8. Contrôler et réviser : Surveiller en permanence l'efficacité des contrôles, réaliser des audits internes et organiser des revues de direction.
9. Amélioration continue : Mettre à jour le SMSI en fonction des contrôles, des audits et de l'évolution des risques.

L'accent est mis sur le système de gestion, c'est-à-dire les processus permettant d'identifier les risques et de garantir la mise en œuvre, le suivi et l'amélioration des contrôles.

Les erreurs courantes à éviter

La mise en œuvre efficace de la norme ISO 27001 permet d'éviter ces erreurs fréquentes :

1. Mauvaise définition du champ d'application : Le champ d'application du SMSI est trop large (ingérable) ou trop étroit (il ne couvre pas les actifs/processus critiques). Soyez réaliste et axé sur les risques.
2. Manque d'engagement de la part de la direction : Traiter l'ISO 27001 comme un simple projet informatique sans soutien visible de la direction, sans ressources et sans intégration dans les objectifs de l'entreprise.
3. Une mauvaise évaluation des risques : Effectuer une évaluation superficielle des risques qui n'identifie pas avec précision les actifs clés, les menaces et les vulnérabilités, ce qui conduit à une sélection inefficace des contrôles.
4. Approche "case à cocher" de l'annexe A : mise en œuvre des contrôles de l'annexe A sans les relier aux risques spécifiques identifiés dans l'évaluation. Les contrôles doivent porter sur les risques.
5. Documentation insuffisante : Ne pas documenter de manière adéquate les politiques, les procédures, les évaluations des risques, la SdA et les preuves du fonctionnement des contrôles. Les auditeurs ont besoin de preuves.
6. Oublier l'amélioration continue : Considérer la certification comme une fin en soi. La norme ISO 27001 exige une surveillance continue, des audits internes, des revues de direction et des mises à jour du SMSI.
7. Sous-ressourcement : Attribuer l'ensemble de l'effort à une personne ou à une équipe qui ne dispose pas du temps, du budget ou de l'expertise nécessaires. Il s'agit d'un effort à l'échelle de l'organisation.

Ce que les auditeurs demanderont (Developer Focus)

Les auditeurs de la norme ISO 27001 examinent à la fois le système de gestion et les contrôles mis en œuvre. Les équipes de développement peuvent être confrontées à des questions relatives aux contrôles de l'annexe A, telles que :

• "Montrez-moi votre politique de développement sécurisé. (A.14.2.1)
• "Comment vous assurez-vous que les exigences de sécurité sont identifiées au cours de la phase d'élaboration des exigences ? (A.14.1.1)
• "Expliquez-moi votre processus de gestion des vulnérabilités dans les bibliothèques open-source." (En rapport avec A.12.6.1 - Gestion technique des vulnérabilités)
• "Comment les environnements de développement, de test et de production sont-ils séparés ? (A.12.1.4 / A.14.2.6)
• "Fournir la preuve des tests de sécurité effectués avant la dernière version majeure." (A.14.2.8 / A.14.2.9)
• "Comment gérez-vous le contrôle d'accès des développeurs aux différents environnements ? (A.9)
• "Montrez-moi les procédures de traitement et de protection des données d'essai. (A.14.3.1)
• "Comment les modifications du code sont-elles examinées et approuvées avant le déploiement ? (A.12.1.2 / A.14.2.3)

Ils se concentrent sur les processus et les preuves. Avez-vous des politiques, les suivez-vous et pouvez-vous le prouver ?

Des gains rapides pour les équipes de développement

Bien que la norme ISO 27001 soit vaste, les équipes de développement peuvent y contribuer de manière significative grâce à ces étapes :

1. Documentez votre SDLC : Notez votre processus de développement actuel, y compris les étapes de test et de déploiement. Ce document constitue la base des contrôles A.14.
2. Mettre en œuvre SAST/SCA : Intégrer l'analyse automatisée du code et des dépendances au début du pipeline CI/CD. Cela répond en partie aux points A.12 et A.14.
3. Formaliser les révisions de code : Assurez-vous que les PR nécessitent des révisions et des approbations. Suivez ce processus dans votre plateforme Git. (aborde les contrôles A.14.2)
4. Séparation des environnements : Séparer clairement les environnements de développement, de test et de production en utilisant des informations d'identification et des contrôles réseau différents. (Adresses A.12.1.4)
5. Gestion des secrets : Mettre en place un coffre-fort pour les secrets et rechercher les secrets codés en dur. (Adresses A.9 / A.12 / A.14 contrôles)
6. Corrections des dépendances : établir un processus d'identification et de mise à jour des dépendances vulnérables. (adresse A.12.6.1)

Ignorez ceci et... (Conséquences de l'échec)

L'échec d'un audit ISO 27001 ou l'ignorance de la norme peut conduire à.. :

• Perte de la certification : La certification existante peut être suspendue ou retirée.
• Pénalités/pertes contractuelles : Le fait de ne pas obtenir ou de ne pas maintenir la certification peut constituer une violation des contrats ou vous exclure des appels d'offres, en particulier des appels d'offres internationaux.
• Atteinte à la réputation : L'échec suggère une posture de sécurité faible, ce qui nuit à la confiance des clients et des partenaires internationaux.
• Augmentation de l'examen des audits : Les organismes de certification peuvent augmenter la fréquence ou l'intensité des futurs audits de surveillance, ce qui entraîne des coûts et des efforts supplémentaires.
• Questions réglementaires : La non-conformité peut indiquer des manquements aux exigences légales ou réglementaires en matière de sécurité (comme le GDPR).
• Perte d'opportunités de marché : Incapacité à pénétrer des marchés ou des secteurs où la norme ISO 27001 est une exigence de facto.

FAQ

Quelle est la différence entre ISO 27001 et SOC 2 ?

ISO 27001 certifie l'ensemble de votre système de gestion de la sécurité de l'information (SGSI) sur la base de normes internationales et d'une évaluation des risques. SOC 2 fournit un rapport d'attestation sur les contrôles liés à des engagements de services spécifiques (Trust Services Criteria), principalement axés sur les besoins du marché américain. Les contrôles se recoupent souvent, mais l'approche, le champ d'application et le résultat (certification ou rapport) diffèrent.

La norme ISO 27001 est-elle obligatoire ?

Non, il s'agit généralement d'une norme volontaire, mais il s'agit souvent d'une exigence contractuelle ou d'une nécessité pour opérer dans certains secteurs réglementés ou sur les marchés internationaux.

Combien de temps dure la certification ISO 27001 ?

La mise en œuvre peut prendre de 6 à 12 mois ou plus, en fonction de la maturité. Le processus de certification (audits des étapes 1 et 2) suit. Un SMSI existant a besoin d'environ 6 mois de fonctionnement avant l'audit de certification.

Quel est le coût de la norme ISO 27001 ?

Des investissements importants sont nécessaires. Les frais d'audit sur un cycle de trois ans peuvent s'élever à des dizaines de milliers d'euros/dollars, auxquels s'ajoutent les ressources internes, d'éventuels frais de conseil et d'outillage. Pour une petite entreprise, on peut estimer à plus de 15 000 euros les frais d'audit sur trois ans.

Devons-nous mettre en œuvre l'ensemble des 114 (ou 93) contrôles de l'annexe A ?

Non. Vous devez justifier l'inclusion ou l'exclusion de chaque contrôle dans votre déclaration d'applicabilité (DDA) sur la base de votre évaluation des risques et de votre plan de traitement.

Quelle est la durée de validité de la certification ?

Généralement trois ans, mais vous devez passer des audits de surveillance annuels pour maintenir la validité pendant cette période. Après trois ans, un audit de recertification est nécessaire.

Qui réalise l'audit ?

Un organisme de certification externe accrédité et indépendant. Des audits internes sont également nécessaires, mais ils n'aboutissent pas à une certification.