Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Conformité ISO 27001 : Ce que vous devez savoir

Conformité ISO 27001 : Ce que vous devez savoir

Jan 20, 2021

L'ISO/IEC 27001 est un ensemble de normes internationales développées pour guider la sécurité de l'information. Ses normes composantes, telles que l'ISO/IEC 27001:2013, sont conçues pour aider les organisations à mettre en place, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information (SGSI).

La conformité avec l'ISO 27001 n'est pas obligatoire. Cependant, dans un monde où les pirates ciblent sans relâche vos données et où de plus en plus de mandats en matière de protection des données entraînent de lourdes sanctions, suivre les normes ISO vous aidera à réduire les risques, à respecter les exigences légales, à réduire vos coûts et à obtenir un avantage concurrentiel. En bref, la certification ISO 27001 aidera votre entreprise à attirer et fidéliser les clients.

Cet article détaille les exigences fondamentales de l'ISO 27001, les contrôles de sécurité associés et les étapes du processus de certification. Il offre également des conseils pour maintenir la conformité à l'ISO 27001 et explique comment les solutions Netwrix peuvent aider.

Qu'est-ce que l'ISO 27001 ?

L'ISO/IEC 27001 est un ensemble de normes de technologie de l'information conçu pour aider les organisations de toute taille et de tout secteur à mettre en place un système de gestion de la sécurité de l'information efficace. La norme utilise une approche descendante basée sur le risque et est neutre sur le plan technologique.

La gestion des risques est l'idée centrale de l'ISO 27001 : Vous devez identifier les informations sensibles ou précieuses nécessitant une protection, déterminer les différentes manières dont les données pourraient être à risque et mettre en place des contrôles pour atténuer chaque risque. Le risque inclut toute menace pour la confidentialité, l'intégrité ou la disponibilité des données. La norme fournit un cadre pour choisir les contrôles et les processus appropriés.

Contenu connexe sélectionné :

En particulier, l'ISO 27001 vous oblige à :

  • Identifiez les parties prenantes et leurs attentes vis-à-vis du SMIS
  • Définissez le périmètre de votre ISMS
  • Définissez une politique de sécurité
  • Réalisez une évaluation des risques pour identifier les risques de données existants et potentiels
  • Définissez des contrôles et des processus pour gérer ces risques
  • Établissez des objectifs clairs pour chaque initiative de sécurité de l'information
  • Mettez en œuvre des contrôles et d'autres méthodes de traitement des risques
  • Mesurez et améliorez continuellement la performance du système de gestion de la sécurité de l'information (ISMS)

Exigences et contrôles de sécurité

Exigences de l'ISO 27001

La norme contient deux parties principales. La première section présente des définitions et des exigences dans les clauses numérotées suivantes :

  1. Introduction — Décrit le processus de gestion systématique des risques d'information
  2. Portée — Spécifie les exigences génériques de l'ISMS adaptées aux organisations de tout type, taille ou nature
  3. Références normatives — Dresse la liste d'autres normes contenant des informations supplémentaires pertinentes pour déterminer la conformité à l'ISO 27001 (une seule, ISO/IEC 27000, est répertoriée)
  4. Termes et Définitions — Explique les termes plus complexes utilisés dans la norme
  5. Organizational Context — Explains why and how to define the internal and external issues that can affect an enterprise’s ability to build an ISMS, and requires the organization to establish, implement, maintain and continually improve the ISMS
  6. Leadership — Exige que la direction générale démontre son leadership et son engagement envers le SMIS, mandate une politique et attribue des rôles et responsabilités en matière de sécurité de l'information
  7. Planification — Décrit les processus pour identifier, analyser et planifier le traitement des risques d'information et clarifier l'objectif des initiatives de sécurité de l'information
  8. Support: Exige des organisations qu'elles attribuent les ressources adéquates, sensibilisent et préparent toute la documentation nécessaire
  9. Opération — Détaille comment évaluer et traiter les risques d'information, gérer les changements et assurer une documentation adéquate
  10. Évaluation de la performance — Exige des organisations de surveiller, mesurer et analyser leurs contrôles de gestion de la sécurité de l'information et leurs processus
  11. Amélioration — Exige que les organisations affinent en permanence leur SGSI, y compris en prenant en compte les résultats des audits et des évaluations

Référencez les Objectifs de Contrôle et les Contrôles

La deuxième partie, l'Annexe A, détaille un ensemble de contrôles qui peuvent vous aider à respecter les exigences de la première section. Votre organisation devrait sélectionner les contrôles qui répondront le mieux à ses besoins spécifiques et n'hésitez pas à les compléter avec d'autres contrôles si nécessaire.

Les contrôles sont regroupés dans les domaines suivants :

  • Politiques de sécurité de l'information — Pour garantir que les politiques sont rédigées et révisées conformément aux pratiques de sécurité de l'organisation et à sa direction générale
  • Organisation de la sécurité de l'information — Pour attribuer des responsabilités pour des tâches spécifiques
  • Sécurité des ressources humaines — Pour garantir que les employés et les contractants comprennent leurs responsabilités.
  • Gestion des actifs — Pour garantir que les organisations identifient leurs actifs d'information et définissent les responsabilités de protection appropriées
  • Contrôles d'accès — Pour garantir que les employés ne puissent voir que les informations pertinentes à leur travail
  • Cryptographie — Pour chiffrer les données afin de garantir la confidentialité et l'intégrité.
  • Sécurité physique et environnementale — Pour prévenir l'accès physique non autorisé, les dommages ou les interférences aux locaux ou aux données, et contrôler l'équipement pour prévenir la perte, les dommages ou le vol de logiciels, de matériel et de fichiers physiques
  • Sécurité des opérations — Pour garantir la sécurité des installations de traitement de l'information
  • Sécurité des communications — Pour protéger les réseaux d'informations
  • Acquisition, développement et maintenance des systèmes — Pour sécuriser à la fois les systèmes internes et ceux qui fournissent des services sur les réseaux publics
  • Relations avec les fournisseurs — Pour gérer correctement les accords contractuels avec des tiers
  • Gestion des incidents de sécurité de l'information — Pour garantir une gestion et un signalement efficaces des incidents de sécurité
  • Aspects de la sécurité de l'information de la gestion de la continuité d'activité — Pour minimiser les interruptions d'activité
  • Conformité — Pour garantir le respect des lois et réglementations pertinentes et atténuer les risques de non-conformité

Conformité et certification ISO 27001

Avantages

En respectant volontairement les exigences de l'ISO 27001, votre organisation peut réduire de manière proactive les risques de sécurité de l'information et améliorer votre capacité à respecter les mandats de protection des données. En allant plus loin et en obtenant la certification ISO 27001, vous démontrerez votre engagement à protéger vos actifs de données auprès des clients, partenaires, fournisseurs et autres. Construire cette confiance peut renforcer la réputation de votre entreprise et offrir un avantage concurrentiel

Documents obligatoires

Plusieurs documents sont nécessaires pour démontrer la conformité à l'ISO 27001, y compris les suivants :

  • Périmètre du SMIS (clause 4.3)
  • Politique de sécurité de l'information (clause 5.2)
  • Objectifs de la sécurité de l'information (clause 6.2)
  • Preuve de compétence des personnes travaillant dans la sécurité de l'information (article 7.2)
  • Résultats de l'évaluation des risques d'information (clause 8.2)
  • Programme d'audit interne du SGSI et résultats des audits réalisés (clause 9.2)
  • Preuves des revues de direction du SMIS (clause 9.3)
  • Preuve des non-conformités identifiées et des actions correctives découlant (clause 10.1)

Définition du périmètre de l'ISMS

L'une des principales exigences pour la mise en œuvre de l'ISO 27001 est de définir le périmètre de l'ISMS. Pour cela, vous devez suivre les étapes suivantes :

  1. Inventoriez toutes les informations que vous stockez sous n'importe quelle forme, physique ou numérique, locale ou dans le cloud.
  2. Identifiez les différentes manières dont les gens peuvent accéder aux informations.
  3. Déterminez quelles données sont dans le périmètre de votre ISMS et quelles données en sont exclues. Par exemple, les informations sur lesquelles votre organisation n'a aucun contrôle seraient hors périmètre pour votre ISMS.

Processus de certification

Le processus de certification ISO 27001 implique les étapes suivantes :

  1. Développez un SMIS qui inclut des politiques, des procédures, des personnes et de la technologie.
  2. Effectuez un examen interne pour identifier les non-conformités et les actions correctives.
  3. Invitez les auditeurs à réaliser un examen de base du SMIS.
  4. Corrigez les problèmes que les auditeurs découvrent.
  5. Faites réaliser un audit approfondi des composants ISO 27001 par un organisme de certification accrédité pour vérifier si vous avez suivi les politiques et procédures.

La certification peut prendre de trois à douze mois. Pour améliorer le rapport coût-efficacité du processus de certification, de nombreuses organisations réalisent une analyse préliminaire des écarts par rapport à la norme pour se faire une idée de l'effort nécessaire à la mise en œuvre des changements nécessaires.

Coût de la certification

Le coût de la certification dépend de nombreuses variables, donc chaque organisation aura un budget différent. Les principaux coûts sont liés à la formation et à la littérature, à l'assistance externe, aux technologies à mettre à jour ou à implémenter, au temps et à l'effort des employés, et à l'audit de certification lui-même.

Durée de la certification

Une fois que vous avez obtenu la certification, vous devriez effectuer des audits internes réguliers. L'organisme de certification ré-audit au moins annuellement, et vérifiera les éléments suivants :

  • Clôture de toutes les non-conformités de la dernière visite
  • Opération du système de gestion de la sécurité de l'information
  • Mises à jour de la documentation
  • Revues de gestion des risques
  • Actions correctives
  • Surveillance et mesure de la performance de l'ISMS

Conseils pour atteindre et maintenir la conformité ISO 27001

  • Le soutien des parties prenantes est crucial pour une certification réussie. L'engagement, les conseils et les ressources de toutes les parties prenantes sont nécessaires pour identifier les changements nécessaires, prioriser et mettre en œuvre les actions de remédiation, et assurer un examen et une amélioration réguliers du SMIS.
  • Définissez l'impact de l'ISO 27001 sur votre organisation.Prenez en compte les besoins et exigences de toutes les parties intéressées, y compris les régulateurs et les employés. Examinez les facteurs internes et externes qui influencent votre sécurité de l'information.
  • Rédigez une Déclaration d'Applicabilité. La déclaration précise quels contrôles ISO 27001 s'appliquent à votre organisation.
  • Effectuez régulièrement une évaluation des risques et une remédiation. Pour chaque évaluation, rédigez un plan de traitement des risques qui détaille si chaque risque sera traité, toléré, terminé ou transféré.
  • Évaluez la performance de votre ISMS. Surveillez et mesurez votre ISMS et ses contrôles.
  • Mettez en œuvre des programmes de formation et de sensibilisation. Fournissez à tous les employés et contractuels une formation sur vos processus et procédures de sécurité et augmentez la data security au sein de l'organisation.
  • Réalisez des audits internes. Détectez et remédiez aux problèmes avant que les audits externes ne les trouvent.

Comment Netwrix aide à la conformité ISO 27001

La Netwrix Data Security Platform vous aide à atteindre et à maintenir la conformité ISO 27001 en vous permettant de :

Conclusion

Maintenant que la sécurité des données est plus essentielle que jamais pour le succès, la certification ISO 27001 offre un avantage concurrentiel précieux. En utilisant les exigences et les contrôles de la norme, vous serez en mesure d'établir et d'améliorer continuellement votre système de gestion de la sécurité de l'information, démontrant ainsi votre engagement envers la sécurité des données auprès des partenaires et des clients.

FAQ

1. Quel est l'objectif de l'ISO 27001 ?

La norme ISO 27001 a été développée pour aider les organisations de toute taille dans n'importe quel secteur à protéger leurs données en utilisant efficacement un système de gestion de la sécurité de l'information (ISMS).

2. Quelle est la dernière norme ISO 27001 ?

La dernière version proposée par l'ISO/CEI est la 27001:2013. Il existe une mise à jour régionale de l'UE appelée ISO/CEI 27001:2017.

3. Quelles sont les exigences de l'ISO 27001 ?

L'ISO 27001 exige des organisations qu'elles :

  • Comprenez le contexte organisationnel
  • Démontrez le leadership et l'engagement envers le SMIS, et attribuez les rôles et responsabilités en matière de sécurité de l'information
  • Élaborez un plan pour identifier, analyser et traiter les risques liés à l'information
  • Allouez des ressources adéquates pour soutenir le SMIS
  • Réalisez une évaluation et un traitement du risque opérationnel
  • Évaluez la performance du ISMS
  • Améliorez continuellement le SMIS

4. Pourquoi l'ISO 27001 est-elle importante ?

L'ISO 27001 protège la confidentialité, l'intégrité et la disponibilité des informations au sein d'une organisation et lorsqu'elles sont partagées par des tiers.

5. Quelle est la différence entre ISO 27001 et ISO 27002 ?

ISO 27001 est la norme centrale de la série ISO 27000 et contient les exigences de mise en œuvre pour un SMIS. ISO 27002 est une norme complémentaire qui détaille les contrôles de sécurité de l'information que les organisations pourraient choisir de mettre en œuvre, en développant les descriptions succinctes de l'annexe A de l'ISO 27001.

6. Quelle est la différence entre NIST et ISO 27001 ?

NIST est une organisation américaine de normalisation comparable à l'ISO. NIST 800-53 est davantage axé sur les contrôles de sécurité que l'ISO 27001, avec une variété de groupes contribuant aux meilleures pratiques liées aux systèmes d'information fédéraux. L'ISO 27001 est moins technique et plus axée sur le risque, et est applicable aux organisations de toutes tailles et de tous secteurs.

7. Quelle est la différence entre SOX et ISO 27001 ?

ISO 27001 est une norme internationale volontaire pour la mise en œuvre d'un ISMS. SOX 404 est une loi américaine que toutes les entreprises cotées en bourse aux États-Unis doivent suivre.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mike Tierney

Ancien vice-président du Succès Client

Ancien VP of Customer Success chez Netwrix. Il possède un parcours diversifié construit sur 20 ans dans l'industrie du logiciel, ayant occupé les postes de PDG, COO et VP Product Management dans plusieurs entreprises axées sur la sécurité, la conformité et l'augmentation de la productivité des équipes informatiques.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité