L'Annexe A de l'ISO/IEC 27001:2022 est un catalogue de 93 mesures de sécurité de l'information (en anglais : controls) qui sert de liste de référence. Elles couvrent les aspects organisationnels, humains, physiques et technologiques de la sécurité de l'information. Le point essentiel : vous n'avez pas à mettre en œuvre les 93 mesures. Vous mettez en œuvre exactement les mesures que votre appréciation des risques révèle nécessaires. Lesquelles précisément, vous les documentez et les justifiez dans la Déclaration d'Applicabilité (Statement of Applicability, SoA).
Les quatre thèmes de l'Annexe A (version 2022)
La révision de 2022 a réorganisé l'ancienne structure de 114 mesures réparties sur 14 domaines en 93 mesures regroupées sous 4 thèmes :
| Thème |
Nombre de mesures |
Exemples |
| Mesures organisationnelles |
37 |
Politiques, gestion des fournisseurs, gestion des incidents, contrôle d'accès |
| Mesures liées aux personnes |
8 |
Sensibilisation, formations, responsabilités des collaborateurs |
| Mesures physiques |
14 |
Contrôle d'accès physique, zones sécurisées, élimination des supports de stockage |
| Mesures technologiques |
34 |
Chiffrement, journalisation, protection contre les logiciels malveillants, sauvegardes |
La version 2022 a également introduit 11 nouvelles mesures, parmi lesquelles le renseignement sur les menaces (threat intelligence), la sécurité de l'information pour l'usage du cloud, le masquage des données et le développement sécurisé.
Combien de mesures dois-je mettre en œuvre ?
Il n'existe pas de nombre minimum imposé. Ce qui compte, c'est votre profil de risque, et non la liste elle-même. La démarche est la suivante :
- Réaliser une appréciation des risques : identifiez les risques pesant sur vos actifs et évaluez-les.
- Sélectionner les mesures : choisissez les mesures de l'Annexe A qui traitent les risques identifiés. Des mesures supplémentaires qui vous sont propres sont également autorisées.
- Justifier les exclusions : les mesures non applicables peuvent être exclues, à condition de consigner une justification claire dans la SoA.
- Élaborer la SoA : la Déclaration d'Applicabilité liste les 93 mesures et précise, pour chacune, si elle est applicable, comment elle est mise en œuvre ou pourquoi elle a été exclue.
En pratique, la plupart des organisations n'excluent que quelques mesures. L'Annexe A n'est pas une simple liste de contrôle, mais une référence qui garantit qu'aucune catégorie de mesures pertinente n'est oubliée.
Comment Kertos simplifie la sélection et la mise en œuvre des mesures
Kertos transforme le catalogue de mesures abstrait en un processus guidé et traçable. Kertos associe une plateforme de conformité agentique (KAIA) à des experts internes accrédités qui travaillent aux côtés de votre équipe :
- Sélection des mesures basée sur les risques : la plateforme relie directement votre appréciation des risques aux mesures pertinentes de l'Annexe A.
- SoA générée automatiquement : la Déclaration d'Applicabilité est produite à partir de vos décisions et reste à jour à mesure que les choses évoluent.
- Modèles et collecte de preuves : pour chaque mesure sélectionnée, des politiques sont préparées et les preuves sont reliées en continu.
- Revue des exclusions par des experts : les experts de Kertos vérifient vos justifications afin qu'elles résistent lors de l'audit.
Cette approche se reflète dans le bilan de Kertos : un taux de réussite aux audits de 100 %, environ 80 % d'effort de conformité manuel en moins, et des clients comme AskUI ayant obtenu la certification ISO 27001 en seulement 2,5 mois. Plutôt que d'interpréter 93 mesures manuellement, vous mettez en œuvre précisément ce que votre profil de risque exige.
