Points clés
| Point |
Résumé |
| Total des contrôles |
93 contrôles dans ISO 27001:2022 (réduit de 114 dans la version 2013) |
| 4 thèmes |
Organisationnel (37), Personnes (8), Physique (14), Technologique (34) |
| Nouveautés 2022 |
11 nouveaux contrôles incluant threat intelligence, sécurité cloud, masquage des données, DLP |
| Déclaration d'Applicabilité |
Doit justifier l'inclusion ou l'exclusion de chaque contrôle |
| Pas tous requis |
Sélectionner les contrôles basés sur votre évaluation des risques ; justifier les exclusions |
Réponse rapide : L'ISO 27001:2022 a 93 contrôles en 4 thèmes. Vous devez revoir tous les contrôles et documenter lesquels s'appliquent à votre organisation dans la Déclaration d'Applicabilité (SoA). La sélection est basée sur votre évaluation des risques, pas une checklist.
Aperçu de l'Annexe A
Changements de structure en 2022
La version 2022 a réorganisé les contrôles de 14 domaines à 4 thèmes :
| Version |
Structure |
| ISO 27001:2013 |
114 contrôles en 14 domaines (A.5-A.18) |
| ISO 27001:2022 |
93 contrôles en 4 thèmes |
Les quatre thèmes
Structure Annexe A ISO 27001:2022 (93 contrôles au total) :
1. Organisationnel (37) :
- Politiques, rôles, gestion des actifs
- Contrôle d'accès, gestion des fournisseurs
2. Personnes (8) :
- Vérification, sensibilisation, responsabilités
- Travail à distance
3. Physique (14) :
- Périmètres, équipements, zones sécurisées
- Travail en zones sécurisées
4. Technologique (34) :
- Endpoints, accès, réseaux, applications
- Protection des données, monitoring
Nouveaux contrôles en 2022
11 nouveaux contrôles ont été ajoutés :
| Contrôle |
Thème |
Description |
| 5.7 |
Organisationnel |
Threat intelligence |
| 5.23 |
Organisationnel |
Sécurité de l'information pour les services cloud |
| 5.30 |
Organisationnel |
Préparation TIC pour la continuité d'activité |
| 7.4 |
Physique |
Surveillance de sécurité physique |
| 8.9 |
Technologique |
Gestion de la configuration |
| 8.10 |
Technologique |
Suppression des informations |
| 8.11 |
Technologique |
Masquage des données |
| 8.12 |
Technologique |
Prévention des fuites de données |
| 8.16 |
Technologique |
Activités de monitoring |
| 8.23 |
Technologique |
Filtrage web |
| 8.28 |
Technologique |
Codage sécurisé |
Thème 5 : Contrôles organisationnels (37)
Politiques et gouvernance (5.1-5.8)
| Contrôle |
Titre |
Objectif |
| 5.1 |
Politiques de sécurité de l'information |
Établir la direction managériale |
| 5.2 |
Rôles de sécurité de l'information |
Définir les responsabilités |
| 5.3 |
Séparation des fonctions |
Prévenir les conflits d'intérêts |
| 5.4 |
Responsabilités de management |
Assurer l'adhésion aux politiques |
| 5.5 |
Contact avec les autorités |
Maintenir les contacts appropriés |
| 5.6 |
Contact avec des groupes d'intérêt spéciaux |
Rester informé sur la sécurité |
| 5.7 |
Threat intelligence |
Collecter et analyser les infos sur les menaces |
| 5.8 |
Sécurité de l'information dans la gestion de projet |
Inclure la sécurité dans les projets |
Gestion des actifs (5.9-5.14)
| Contrôle |
Titre |
Objectif |
| 5.9 |
Inventaire des informations et actifs |
Savoir ce que vous avez |
| 5.10 |
Utilisation acceptable des actifs |
Définir l'usage approprié |
| 5.11 |
Restitution des actifs |
Récupérer les actifs à la fin de contrat |
| 5.12 |
Classification des informations |
Catégoriser la sensibilité des données |
| 5.13 |
Étiquetage des informations |
Marquer les informations sensibles |
| 5.14 |
Transfert d'informations |
Sécuriser les données en transit |
Contrôle d'accès (5.15-5.18)
| Contrôle |
Titre |
Objectif |
| 5.15 |
Contrôle d'accès |
Limiter l'accès aux utilisateurs autorisés |
| 5.16 |
Gestion des identités |
Gérer les identités utilisateur |
| 5.17 |
Informations d'authentification |
Sécuriser les secrets d'authentification |
| 5.18 |
Droits d'accès |
Gérer les privilèges d'accès |
Gestion des fournisseurs (5.19-5.23)
| Contrôle |
Titre |
Objectif |
| 5.19 |
Sécurité de l'information dans les relations fournisseurs |
Traiter la sécurité avec les fournisseurs |
| 5.20 |
Traiter la sécurité dans les accords fournisseurs |
Exigences contractuelles |
| 5.21 |
Gérer la sécurité de l'information dans la supply chain TIC |
Sécurité de la chaîne d'approvisionnement |
| 5.22 |
Monitoring et revue des services fournisseurs |
Supervision continue |
| 5.23 |
Sécurité de l'information pour les services cloud |
Gestion de la sécurité cloud |
Gestion des incidents (5.24-5.28)
| Contrôle |
Titre |
Objectif |
| 5.24 |
Planification de la gestion des incidents de sécurité de l'information |
Se préparer aux incidents |
| 5.25 |
Évaluation et décision sur les événements |
Évaluer les événements de sécurité |
| 5.26 |
Réponse aux incidents |
Gérer les incidents de manière appropriée |
| 5.27 |
Apprentissage des incidents |
S'améliorer par l'expérience |
| 5.28 |
Collecte de preuves |
Préserver les preuves forensiques |
Continuité d'activité et conformité (5.29-5.37)
| Contrôle |
Titre |
Objectif |
| 5.29 |
Sécurité de l'information pendant une perturbation |
Maintenir la sécurité en crise |
| 5.30 |
Préparation TIC pour la continuité d'activité |
Capacités de reprise IT |
| 5.31 |
Exigences légales, statutaires, réglementaires |
Identifier les exigences légales |
| 5.32 |
Droits de propriété intellectuelle |
Protéger la PI |
| 5.33 |
Protection des enregistrements |
Maintenir correctement les enregistrements |
| 5.34 |
Vie privée et protection des DCP |
Protéger les données personnelles |
| 5.35 |
Revue indépendante de la sécurité de l'information |
Évaluation externe |
| 5.36 |
Conformité aux politiques de sécurité |
Assurer l'adhésion aux politiques |
| 5.37 |
Procédures opérationnelles documentées |
Documenter les opérations |
Thème 6 : Contrôles des personnes (8)
Sécurité des ressources humaines
| Contrôle |
Titre |
Objectif |
Exigences clés |
| 6.1 |
Vérification |
Vérifier les antécédents |
Vérifications des antécédents |
| 6.2 |
Termes et conditions d'emploi |
Sécurité dans les contrats |
Inclure les obligations de sécurité |
| 6.3 |
Sensibilisation, éducation et formation à la sécurité de l'information |
Développer les connaissances en sécurité |
Programmes de formation réguliers |
| 6.4 |
Processus disciplinaire |
Traiter les violations |
Procédure disciplinaire formelle |
| 6.5 |
Responsabilités après la fin du contrat |
Obligations continues |
Accords de confidentialité |
| 6.6 |
Accords de confidentialité ou de non-divulgation |
Protéger l'information |
NDA pour accès sensible |
| 6.7 |
Travail à distance |
Sécuriser l'accès à distance |
Mesures de sécurité du travail à distance |
| 6.8 |
Signalement des événements de sécurité de l'information |
Permettre le signalement |
Mécanisme de signalement des incidents |
Thème 7 : Contrôles physiques (14)
Sécurité physique
| Contrôle |
Titre |
Objectif |
| 7.1 |
Périmètres de sécurité physique |
Définir les limites sécurisées |
| 7.2 |
Entrée physique |
Contrôler l'accès aux installations |
| 7.3 |
Sécurisation des bureaux, salles et installations |
Protéger les zones de travail |
| 7.4 |
Surveillance de sécurité physique |
Détecter les accès non autorisés |
| 7.5 |
Protection contre les menaces physiques et environnementales |
Contrôles environnementaux |
| 7.6 |
Travail dans les zones sécurisées |
Procédures des zones sécurisées |
| 7.7 |
Bureau propre et écran propre |
Prévenir l'exposition de l'information |
| 7.8 |
Emplacement et protection des équipements |
Placement sécurisé des équipements |
| 7.9 |
Sécurité des actifs hors site |
Protéger les équipements mobiles |
| 7.10 |
Supports de stockage |
Sécuriser les supports de stockage |
| 7.11 |
Services généraux de support |
Alimentation, refroidissement, etc. |
| 7.12 |
Sécurité du câblage |
Protéger le câblage réseau |
| 7.13 |
Maintenance des équipements |
Maintenir de manière sécurisée |
| 7.14 |
Élimination ou réutilisation sécurisée des équipements |
Prévenir les fuites de données |
Thème 8 : Contrôles technologiques (34)
Contrôles endpoints et accès (8.1-8.8)
| Contrôle |
Titre |
Objectif |
| 8.1 |
Appareils utilisateur final |
Sécuriser les appareils des utilisateurs |
| 8.2 |
Droits d'accès privilégiés |
Contrôler les privilèges élevés |
| 8.3 |
Restriction d'accès à l'information |
Limiter l'accès aux données |
| 8.4 |
Accès au code source |
Protéger le code source |
| 8.5 |
Authentification sécurisée |
Authentification forte |
| 8.6 |
Gestion de la capacité |
Assurer une capacité adéquate |
| 8.7 |
Protection contre les malwares |
Défenses anti-malware |
| 8.8 |
Gestion des vulnérabilités techniques |
Gestion des vulnérabilités |
Configuration et protection des données (8.9-8.14)
| Contrôle |
Titre |
Objectif |
| 8.9 |
Gestion de la configuration |
Contrôler les configurations |
| 8.10 |
Suppression des informations |
Supprimer les données quand requis |
| 8.11 |
Masquage des données |
Protéger les données sensibles |
| 8.12 |
Prévention des fuites de données |
Prévenir la divulgation non autorisée |
| 8.13 |
Sauvegarde des informations |
Permettre la récupération |
| 8.14 |
Redondance des installations de traitement de l'information |
Haute disponibilité |
Logging et monitoring (8.15-8.17)
| Contrôle |
Titre |
Objectif |
| 8.15 |
Logging |
Enregistrer les événements de sécurité |
| 8.16 |
Activités de monitoring |
Monitoring actif de sécurité |
| 8.17 |
Synchronisation des horloges |
Horodatages précis |
Réseau et communications (8.18-8.22)
| Contrôle |
Titre |
Objectif |
| 8.18 |
Utilisation de programmes utilitaires privilégiés |
Contrôler les utilitaires puissants |
| 8.19 |
Installation de logiciels sur les systèmes opérationnels |
Contrôler l'installation de logiciels |
| 8.20 |
Sécurité des réseaux |
Sécuriser l'infrastructure réseau |
| 8.21 |
Sécurité des services réseau |
Sécuriser les services réseau |
| 8.22 |
Ségrégation des réseaux |
Segmentation réseau |
Sécurité web et applicative (8.23-8.28)
| Contrôle |
Titre |
Objectif |
| 8.23 |
Filtrage web |
Contrôler l'accès web |
| 8.24 |
Utilisation de la cryptographie |
Chiffrer les données |
| 8.25 |
Cycle de vie du développement sécurisé |
Sécurité dans le SDLC |
| 8.26 |
Exigences de sécurité applicative |
Définir les exigences de sécurité |
| 8.27 |
Architecture et ingénierie de système sécurisé |
Security by design |
| 8.28 |
Codage sécurisé |
Prévenir les vulnérabilités de code |
Développement et tests (8.29-8.34)
| Contrôle |
Titre |
Objectif |
| 8.29 |
Tests de sécurité en développement et acceptation |
Tester la sécurité |
| 8.30 |
Développement externalisé |
Sécurité du développement tiers |
| 8.31 |
Séparation des environnements de développement, test et production |
Séparation des environnements |
| 8.32 |
Gestion des changements |
Contrôler les changements |
| 8.33 |
Informations de test |
Protéger les données de test |
| 8.34 |
Protection des systèmes d'information pendant les tests d'audit |
Sécuriser les tests d'audit |
Processus de sélection des contrôles
Étape 1 : Conduire l'évaluation des risques
Identifier les risques qui nécessitent un traitement :
Mapping Risque vers Contrôle :
- Accès non autorisé → Contrôles : 5.15, 5.16, 8.2, 8.5
- Infection malware → Contrôles : 8.7, 8.1, 6.3
- Violation de données → Contrôles : 8.12, 8.24, 5.12
- Menace interne → Contrôles : 6.1, 5.3, 8.15
- Compromission supply chain → Contrôles : 5.19-5.22, 8.30
Étape 2 : Évaluer les contrôles Annexe A
Pour chaque contrôle, déterminer :
| Question |
Options |
| Est-il applicable ? |
Oui / Non |
| Si oui, est-il implémenté ? |
Complet / Partiel / Pas encore |
| Si non, quelle est la justification ? |
Documenter la raison |
Étape 3 : Créer la Déclaration d'Applicabilité (SoA)
Documenter les 93 contrôles avec :
- Statut d'applicabilité
- Statut d'implémentation
- Justification des exclusions
Priorités d'implémentation des contrôles
Haute priorité (Implémenter en premier)
| Contrôle |
Raison |
| 5.1 |
Les politiques fondent le SMSI |
| 5.15-5.18 |
Le contrôle d'accès est fondamental |
| 6.3 |
La sensibilisation prévient les incidents |
| 8.5 |
L'authentification est critique |
| 8.7 |
La protection malware est essentielle |
| 8.15 |
Le logging permet la détection |
| 8.24 |
Le chiffrement protège les données |
Priorité moyenne
| Contrôle |
Raison |
| 5.9 |
L'inventaire des actifs soutient les autres contrôles |
| 5.24-5.27 |
La réponse aux incidents pour quand les choses échouent |
| 8.8 |
La gestion des vulnérabilités est continue |
| 8.32 |
La gestion des changements réduit les risques |
Priorité moindre (Basée sur le risque)
| Contrôle |
Considération |
| 7.1-7.14 |
Peut être moins pertinent pour cloud-native |
| 8.4 |
Seulement si développement logiciel |
| 8.33 |
Seulement si utilisation de données de test |
Implémentations de contrôles courantes
Pour les entreprises SaaS
| Domaine de contrôle |
Implémentation typique |
| Contrôle d'accès (5.15-5.18) |
SSO, MFA, RBAC dans les applications |
| Gestion des actifs (5.9-5.14) |
Outils d'inventaire des actifs cloud |
| Gestion des fournisseurs (5.19-5.23) |
Questionnaires d'évaluation des fournisseurs, revues SOC 2 |
| Gestion des incidents (5.24-5.28) |
SIEM, playbooks de réponse aux incidents |
| Endpoints (8.1) |
MDM, outils de sécurité endpoints |
| Cryptographie (8.24) |
TLS partout, chiffrement au repos |
| Développement sécurisé (8.25-8.28) |
SAST/DAST, revue de code, SDLC sécurisé |
Pour les organisations cloud-native
Contrôles physiques souvent adressés par :
- Certifications du fournisseur cloud (AWS, GCP, Azure SOC 2/ISO 27001)
- Dépendance documentée dans la SoA
- Contrôles complémentaires si nécessaire
Mapping vers d'autres référentiels
ISO 27001 vers SOC 2 Mapping
| Thème ISO 27001 |
Critères SOC 2 |
| Organisationnel |
CC1, CC2, CC3, CC9 |
| Personnes |
CC1.4, CC1.5 |
| Physique |
CC6.4, CC6.5 |
| Technologique |
CC6, CC7, CC8 |
ISO 27001 vers NIST CSF Mapping
| Thème ISO 27001 |
Fonctions NIST CSF |
| Organisationnel |
Govern, Identify |
| Personnes |
Protect (PR.AT) |
| Physique |
Protect (PR.AC, PR.PT) |
| Technologique |
Protect, Detect, Respond |
L'approche Bastion
Implémentation des contrôles simplifiée
Bastion simplifie l'implémentation des contrôles Annexe A :
| Défi |
Solution Bastion |
| Comprendre les 93 contrôles |
Guidance experte sur ce qui s'applique |
| Prioriser l'implémentation |
Roadmap basée sur les risques |
| Documenter les contrôles |
Documentation de contrôles pré-construite |
| Collecter les preuves |
Collecte automatisée des preuves |
| Créer la SoA |
Template avec complétion guidée |
Mapping automatisé des preuves
Contrôles automatiquement mappés aux sources de preuves :
- Revues d'accès → 5.18, 8.2
- Registres de formation → 6.3
- Scans de vulnérabilité → 8.8
- Enregistrements de changement → 8.32
- Configurations de chiffrement → 8.24
Besoin d'aide pour implémenter les contrôles Annexe A ? Parlez à notre équipe →
