Sécurité de l'information

Que sont les contrôles ISO 27001 et pourquoi devriez-vous les connaître ?

ISO 27001:2022 est une version mise à jour de la norme ISO 27001. La version précédente, ISO 27001:2013, contenait 114 contrôles répartis en 14 domaines. L' « Annexe A » de la norme ISO 27001:2022 contient de nombreuses modifications.

Auteur
Dr. Kilian Schmidt
Date
Mis à jour le
4.5.2026
Que sont les contrôles ISO 27001 et pourquoi devriez-vous les connaître ?
  • Les contrôles ISO 27001 sont des mesures spécifiques que les entreprises mettent en œuvre pour minimiser les risques liés à la sécurité des informations et garantir la conformité à la norme.
  • La version actualisée de la norme ISO 27001:2022 résume les contrôles en quatre catégories : contrôles organisationnels, personnels, physiques et technologiques, avec un total de 93 mesures
  • La révision de 2022 introduit 11 nouveaux contrôles, notamment le renseignement sur les menaces, la sécurité du cloud, la surveillance de la sécurité physique, le masquage des données et le codage sécurisé pour répondre aux nouvelles exigences de sécurité
  • Ces contrôles couvrent des domaines clés tels que les contrôles d'accès, la sécurité du réseau, la cryptographie et la protection des emplacements physiques et renforcent de manière globale la stratégie de sécurité de l'entreprise

ISO 27001:2022 — Ce que les entreprises doivent savoir sur les changements et leurs impacts Le 25 octobre 2022, l'ISO/IEC a publié une nouvelle version de NORME ISO 27001pour répondre à la nécessité de faire face aux menaces croissantes qui pèsent sur système de gestion de la sécurité de l'information (ISMS) auprès des entreprises. Bien que la plupart des changements soient superficiels (les exigences existantes ont été restructurées et affinées), les mises à jour incluent également des objectifs et des contrôles qui aident les entreprises à se préparer aux nouvelles menaces.

ISO 27001:2022 est une version mise à jour de la norme ISO 27001. La version précédente, ISO 27001:2013, contenait 114 contrôles répartis en 14 domaines. L' « Annexe A » de la norme ISO 27001:2022 inclut les modifications suivantes :

  • ajout de 11 nouvelles commandes,
  • 1 commande divisée en 2,
  • 57 commandes combinées en 24,
  • 23 commandes renommées,
  • Suppression de 3 commandes et
  • Laissez les 35 commandes telles quelles.

Même le titre de cette annexe a été modifié, passant de « Objectifs et contrôles des contrôles de référence » à « Référence des contrôles de sécurité de l'information ». Dans la dernière version de 2022, le nombre de contrôles a été réduit à 93 contrôles de l'annexe A et a été regroupé en quatre sujets principaux.

Les contrôles de l'annexe A sont divisés en quatre catégories principales :

Les contrôles ISO 27001:2022, au nombre de 93 au total, ont été classés dans les quatre domaines thématiques de la norme mise à jour.

1. Contrôles organisationnels

  • Nombre de commandes : 37
  • Numéros de contrôle : ISO 27001 Annexe A, 5.1 à 5.37

Cette rubrique couvre les lois, réglementations et procédures opérationnelles relatives à l'approche de la sécurité de l'information dans un large éventail de domaines. Les contrôles organisationnels doivent garantir que l'entreprise dispose de directives claires pour assurer la sécurité du SMSI, que les rôles et responsabilités en matière de sécurité sont clairement définis et communiqués efficacement, et que des contrôles d'accès appropriés sont en place. Exemples de contrôles organisationnels :

  • politiques de sécurité de l'information,
  • les relations avec les fournisseurs,
  • contrôles d'accès,
  • gestion d'actifs,
  • conformité.

D'autres contrôles, notamment la gestion des incidents de sécurité de l'information et les aspects de la sécurité de l'information dans la gestion de la continuité des activités, sont décrits dans les 11 nouveaux contrôles ajoutés.

2. Contrôles des personnes

  • Nombre de commandes : 8
  • Numéros de contrôle : ISO 27001 Annexe A, 6.1 à 6.8

Cette rubrique se concentre sur la manière dont les employés d'une organisation doivent interagir avec les données et les systèmes d'information afin de minimiser les risques liés aux facteurs humains. Ces contrôles couvrent la gestion sécurisée du personnel, la sécurité du personnel, la sensibilisation et la formation. Les contrôles des personnes exigent que tous les employés soient conscients de leurs responsabilités en matière de sécurité de l'information, notamment en ce qui concerne le signalement des incidents de sécurité et les accords de confidentialité.

3. Contrôles physiques

  • Nombre de commandes : 14
  • Numéros de contrôle : ISO 27001 Annexe A, 7.1 à 7.13

Les contrôles physiques sont des mesures de protection utilisées pour garantir la sécurité des ressources physiques et protéger ainsi les informations sensibles. En général, une entreprise doit protéger tous les emplacements physiques où sont stockées des données sensibles, y compris les bureaux, les centres de données et les sites des clients. Exemples de contrôles physiques :

  • directives pour les bureaux transparents,
  • journaux d'accès des invités,
  • registres de stockage et d'élimination,
  • systèmes d'entrée et d'accès.

4. Contrôles technologiques

  • Nombre de commandes : 34
  • Numéros de contrôle : ISO 27001 Annexe A, 8.1 à 8.34

Les contrôles technologiques font référence aux mesures que les entreprises devraient prendre pour maintenir une infrastructure informatique protégée et conforme. Cela inclut l'authentification et le cryptage des données, ainsi que des mesures visant à empêcher la perte de données, qui permettent à une entreprise de sécuriser numériquement les données et de contrôler les droits d'accès et la sécurité du réseau.

Principaux domaines des contrôles technologiques :

  • Cryptographie : la norme impose aux entreprises de documenter leurs techniques de cryptage et de prouver qu'un cryptage approprié est utilisé conformément aux exigences commerciales.
  • Sécurité opérationnelle : protection des équipements et des systèmes de traitement de l'information ISMS.
  • Sécurité du réseau : protection contre les attaques via les configurations réseau, les pare-feux et les systèmes de détection.
  • Acquisition, développement et maintenance de systèmes : sécurité à chaque étape des systèmes de sécurité de l'information.

11 nouveaux contrôles dans la révision de la norme ISO 27001:2022

  • A.5.7: Renseignements sur les menaces — invite les entreprises à collecter des informations sur les menaces à la fois en interne et en externe afin de se préparer à des attaques et à des technologies spécifiques.
  • A.5.23: Sécurité des informations pour l'utilisation des services cloud — décrit comment gérer et protéger les informations dans les services cloud.
  • A.5.30 : Préparation aux TIC — exige que la préparation des TIC aux objectifs de continuité des activités soit planifiée, mise en œuvre, maintenue et testée.
  • A.7.4 : Surveillance de la sécurité physique — exige que les zones sensibles telles que les bureaux et les installations de production soient surveillées.
  • A.8.9 : Gestion de la configuration — garantit que les configurations informatiques sont définies, documentées, contrôlées et révisées.
  • A.8.10 : Suppression d'informations — demande aux entreprises de supprimer les données une fois que l'objectif a été atteint.
  • A.8.11 : Masquage des données — utilise des techniques de masquage des données telles que le cryptage pour protéger les données sensibles.
  • A.8.12 : Prévention des fuites de données — Mesures visant à minimiser le risque de transfert de données non autorisé.
  • A.8.16 : Activités de surveillance — nécessite une surveillance continue des réseaux, des ressources technologiques et des applications logicielles.
  • A.8.23 : Filtrage Web — protège les entreprises contre les sites web dont le code est potentiellement dangereux.
  • A.8.28 : Codage sécurisé — nécessite des mesures de sécurité pour minimiser les vulnérabilités du code.

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
Que sont les contrôles ISO 27001 et pourquoi devriez-vous les connaître ?
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Demandez un devisDécouvrez la plateforme
CTA Image

ARTICLE

Autres articles

Quel est le rôle des audits internes dans la mise en conformité ?
Sécurité de l'information
All
Quel est le rôle des audits internes dans la mise en conformité ?

Pour se conformer à la norme ISO 27001, les entreprises doivent se soumettre à deux types d'audits : des audits internes et externes. L'audit interne constitue la base de décisions bien fondées.

Jetzt reinhören
RGPD + IA = Efficacité : gestion automatisée de la protection des données pour les entreprises en expansion
Protection des données
All
RGPD + IA = Efficacité : gestion automatisée de la protection des données pour les entreprises en expansion

Jetzt reinhören
Kertos reçoit la certification ISO 42001 : une nouvelle norme pour la gouvernance des systèmes d'IA
News
All
Kertos reçoit la certification ISO 42001 : une nouvelle norme pour la gouvernance des systèmes d'IA

Comment Kertos garantit une gouvernance responsable de l'IA et une automatisation sécurisée de la conformité avec la norme ISO 42001.

Jetzt reinhören

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check