ISO 27001, 20 ans après : le socle de la cybersécurité moderne

Publiée par l’organisation internationale de normalisation (ISO), elle définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI). Concrètement, elle fournit un cadre structuré et une approche systématique pour protéger les services et les données sensibles d’une organisation contre les cybermenaces.

La norme ISO 27001 s’inscrit dans une logique de risques, et permet aux organisations d’adapter leurs mesures de sécurité à leurs enjeux spécifiques, s’adaptant au contexte, dans un cycle d’amélioration continue (PDCA).

Elle permet aux organisations qui le souhaitent de faire confirmer leur degré de conformité aux exigences de la norme par un organisme accrédité, après un audit, au travers d’une certification volontaire.

La norme ISO 27001 apporte d’abord une structuration de la gouvernance de la sécurité, en privilégiant l’implication de la direction et en inscrivant la sécurité dans le pilotage stratégique de l’organisation.
En centrant la démarche sur les risques métiers, la norme permet d’adapter des mesures à la criticité des actifs plutôt que d’imposer un catalogue figé. Elle facilite l’intégration et la convergence avec d’autres systèmes de management, par exemple la qualité ou l’environnement, ce qui permet de construire un système de management intégré.

La certification offre une crédibilité externe vis-à-vis des clients, partenaires et autorités, et permet de répondre plus facilement à des obligations contractuelles ou réglementaires. Les autres apports se trouvent dans la discipline de pilotage : formalisation d’indicateurs, revues périodiques et processus d’amélioration continue.

Le vingtième anniversaire de la norme est l’occasion de mesurer son adoption et son impact dans un environnement technologique et de menaces qui a profondément changé : émergence du cloud et de la mobilité, sophistication des attaques (ransomwares, attaques ciblées, compromission de la supply chain) et nouveaux enjeux tels que les risques climatiques notamment sur les infrastructures.
Le cap temporel permet de faire le point sur ce qui a fait le succès de la norme, sur les adaptations qu’elle a opérées et sur les défis restants pour qu’elle continue à être utile et applicable.

L’histoire se dessine à partir des travaux britanniques : la BS 7799, apparue en 1995, proposait dès l’origine une combinaison de bonnes pratiques et d’exigences pour des systèmes de management.
En 2000, elle devient ISO 17799, puis ISO 27001 en 2005. Cette première version internationale place la gestion des risques au cœur de la sécurité de l’information et propose une liste de contrôles à adapter selon les risques.

La norme évolue ensuite régulièrement :

• 2009 : renforcement de la gouvernance
• 2013 : refonte majeure pour s’aligner sur les autres normes ISO, réduction des contrôles de 133 à 114, intégration du Cloud et de la mobilité
• 2022 : modernisation de l’organisation des contrôles (93 mesures)
• 2024 : prise en compte des risques climatiques

 

Depuis 2005, les certifications ISO 27001 ont fortement augmenté. Le Royaume-Uni et l’Asie ont été précurseurs. Les États-Unis, traditionnellement plus axés sur la conformité stricte, ont adopté la norme plus lentement, jusqu’à ce que leur référentiel NIST intègre la gestion des risques.

Beaucoup d’organisations appliquent la norme sans se faire certifier. Les motivations pour obtenir la certification varient : exigence client, accès aux marchés publics, amélioration de l’image ou meilleure maîtrise des risques cyber.

Il est important de dissiper plusieurs idées reçues. La certification n’élimine pas le risque ; elle atteste que l’organisme a réduit son exposition en structurant la gouvernance et les contrôles, mais n’empêche pas les incidents. La norme n’est pas une liste exhaustive et figée de mesures de sécurité imposées : elle doit être contextualisée et complétée pour prendre en compte les technologies et risques émergents, et sa mise en œuvre demande des ressources significatives et un pilotage rigoureux.

Si la certification ISO 27001 reste une démarche volontaire, elle a tout pour obtenir et démontrer la conformité aux référentiels d’exigences touchant à la cybersécurité : RGPD, NIS2, HDS, SecNumCloud, DORA, CRA… Toutes ces règlementations peuvent s’adresser au travers de la norme ISO 27001.

La mise en place d’une gouvernance de la sécurité centrée sur les risques, impliquant la direction, les acteurs IT mais aussi les directions métiers et les fonctions support, la sensibilisation des personnels, l’intégration de la sécurité dans les projets… tous les ingrédients sont réunis. De plus, ISO 27001 propose un socle de base de mesures de sécurité, qui peut se décliner de la TPE au grand groupe, mais qui peut surtout être complété pour garantir la conformité à des exigences issues de tout autre standard.

La Certification par un organisme accrédité vient alors démontrer cette conformité et permet à l’entreprise de répondre plus facilement aux exigences de ses clients comme des régulateurs.

Les consultants de Magellan Sécurité ont acquis au fil de leur carrière une réelle expérience du management et de la cybersécurité, dans des domaines très variés : finance, services, édition logicielle, hébergement de données… Et nous croyons justement que cette expérience est nécessaire pour réussir une certification ISO 27001. Le projet demande du temps (6 à 12 mois en général) et de la main d’œuvre, interne ou externe. Mais ce qui fait souvent la différence sur un projet de certification c’est la vision stratégique et globale de la cybersécurité : la compréhension de l’articulation entre les enjeux propres à l’organisation, ses objectifs de sécurité et ses risques, les mesures de sécurité qu’elle est capable de mettre en place et de manager efficacement.

L’ISO 27001, ce n’est pas juste un corpus documentaire copié ou généré par IA, ce n’est pas non plus un empilement décousu de bonnes mesures de cybersécurité. C’est d’abord une démarche structurée, dans l’amélioration continue mais aussi progressive ; c’est la réduction des risques, la construction des tableaux de bord de pilotage contextualisés, la sensibilisation et la mobilisation de l’ensemble des équipes… Cet orchestre a besoin d’un chef d’orchestre !