Points clés
| Point |
Résumé |
| Objectif |
Recommandations de mise en œuvre pour les contrôles de l'Annexe A ISO 27001 |
| 93 contrôles |
Les mêmes contrôles que l'Annexe A ISO 27001:2022, avec des recommandations détaillées |
| 4 thèmes |
Organisationnels (37), Personnes (8), Physiques (14), Technologiques (34) |
| Non certifiable |
ISO 27002 est uniquement un guide ; la certification porte sur ISO 27001 |
| Mise à jour 2022 |
Restructuration de 14 domaines à 4 thèmes, 11 nouveaux contrôles ajoutés |
Réponse rapide : ISO 27002 est le guide de mise en œuvre complémentaire à ISO 27001. Il fournit des recommandations détaillées sur la façon d'implémenter chacun des 93 contrôles de sécurité de l'Annexe A. Vous n'êtes pas certifié ISO 27002 ; vous l'utilisez pour implémenter ISO 27001.
Comprendre ISO 27002
Qu'est-ce que ISO 27002 ?
ISO 27002 est officiellement intitulé « Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information ». Il sert de guide de référence qui fournit :
- Des objectifs de contrôle pour chaque mesure de sécurité
- Des recommandations de mise en œuvre avec des conseils pratiques
- Des informations complémentaires incluant des exemples et du contexte additionnel
Considérez ISO 27001 et ISO 27002 comme des documents complémentaires :
| Norme |
Objectif |
Statut |
| ISO 27001 |
Exigences du système de management et liste des contrôles |
Certifiable |
| ISO 27002 |
Recommandations détaillées de mise en œuvre des contrôles |
Référence/guide uniquement |
La relation entre ISO 27001 et ISO 27002
L'Annexe A d'ISO 27001 liste 93 contrôles de sécurité que les organisations doivent considérer. Pour chaque contrôle, elle fournit :
- Un titre bref
- Une courte description de l'objectif du contrôle
ISO 27002 développe chaque contrôle avec :
- Une description détaillée du contrôle
- Des recommandations de mise en œuvre (généralement plusieurs paragraphes)
- Des informations et considérations complémentaires
Quand utiliser ISO 27002
| Cas d'usage |
Comment ISO 27002 aide |
| Implémentation d'ISO 27001 |
Fournit des conseils pratiques pour chaque contrôle |
| Rédaction de politiques de sécurité |
Offre des exigences de base à adapter |
| Analyse des écarts |
Référentiel pour comparer les contrôles actuels |
| Sensibilisation à la sécurité |
Ressource pour comprendre les objectifs des contrôles |
| Déclaration d'applicabilité |
Contexte pour justifier les sélections de contrôles |
Structure d'ISO 27002:2022
Les quatre thèmes
La révision 2022 a réorganisé les contrôles de 14 domaines en 4 thèmes :
| Thème |
Contrôles |
Domaine de focus |
| 5. Organisationnel |
37 |
Politiques, gouvernance, rôles, gestion des actifs, accès, fournisseurs, incidents |
| 6. Personnes |
8 |
Sécurité RH, sensibilisation, formation, responsabilités |
| 7. Physique |
14 |
Installations, équipements, périmètres, contrôles environnementaux |
| 8. Technologique |
34 |
Terminaux, authentification, réseau, applications, cryptographie, développement |
Attributs des contrôles (Nouveau en 2022)
ISO 27002:2022 a introduit des attributs pour aider les organisations à catégoriser et filtrer les contrôles :
| Attribut |
Valeurs |
Objectif |
| Type de contrôle |
Préventif, Détectif, Correctif |
Moment d'action du contrôle |
| Propriétés de sécurité |
Confidentialité, Intégrité, Disponibilité |
Ce que protège le contrôle |
| Concepts de cybersécurité |
Identifier, Protéger, Détecter, Répondre, Récupérer |
Alignement NIST CSF |
| Capacités opérationnelles |
15 catégories (ex. Gouvernance, Gestion des actifs) |
Regroupement fonctionnel |
| Domaines de sécurité |
Gouvernance, Protection, Défense, Résilience |
Focus stratégique |
Contrôles organisationnels (Thème 5)
Politiques et gouvernance (5.1-5.8)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 5.1 |
Politiques de sécurité de l'information |
Politiques par sujet, approbation de la direction, révision régulière |
| 5.2 |
Rôles de sécurité de l'information |
Responsabilités claires, responsabilités documentées |
| 5.3 |
Séparation des tâches |
Séparation des fonctions conflictuelles, contrôles compensatoires |
| 5.4 |
Responsabilités de la direction |
Engagement actif de la direction, fourniture des ressources |
| 5.5 |
Contact avec les autorités |
Relations avec les régulateurs, forces de l'ordre |
| 5.6 |
Contact avec des groupes d'intérêt |
Communautés de sécurité, partage de renseignements sur les menaces |
| 5.7 |
Renseignements sur les menaces |
Collecte, analyse, utilisation des informations sur les menaces |
| 5.8 |
Sécurité de l'information dans la gestion de projet |
Sécurité intégrée dans tous types de projets |
Gestion des actifs (5.9-5.14)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 5.9 |
Inventaire des informations et actifs |
Inventaire complet avec propriétaires assignés |
| 5.10 |
Utilisation acceptable des actifs |
Règles d'utilisation appropriée des informations et systèmes |
| 5.11 |
Restitution des actifs |
Processus de restitution des actifs à la fin du contrat |
| 5.12 |
Classification de l'information |
Schéma de classification (ex. Public, Interne, Confidentiel) |
| 5.13 |
Marquage de l'information |
Marquage approprié des informations classifiées |
| 5.14 |
Transfert d'information |
Procédures de transfert sécurisé, accords |
Contrôle d'accès (5.15-5.18)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 5.15 |
Contrôle d'accès |
Accès basé sur des politiques, refus par défaut, besoin d'en connaître |
| 5.16 |
Gestion des identités |
Identification unique des utilisateurs, gestion du cycle de vie |
| 5.17 |
Informations d'authentification |
Politiques de mots de passe, MFA, distribution sécurisée |
| 5.18 |
Droits d'accès |
Processus de provisionnement, révision, suppression |
Relations fournisseurs (5.19-5.23)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 5.19 |
Sécurité de l'information dans les relations fournisseurs |
Évaluation des risques, exigences contractuelles |
| 5.20 |
Traitement de la sécurité dans les accords fournisseurs |
Exigences de sécurité dans les contrats |
| 5.21 |
Gestion de la sécurité dans la chaîne d'approvisionnement TIC |
Supervision des sous-traitants, risques de la chaîne d'approvisionnement |
| 5.22 |
Surveillance et révision des services fournisseurs |
Évaluation continue, droits d'audit |
| 5.23 |
Sécurité de l'information pour les services cloud |
Considérations spécifiques au cloud, responsabilité partagée |
Gestion des incidents (5.24-5.28)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 5.24 |
Planification de la gestion des incidents |
Procédures, rôles, plans de communication |
| 5.25 |
Évaluation et décision sur les événements |
Triage des événements, détermination des incidents |
| 5.26 |
Réponse aux incidents |
Confinement, éradication, récupération |
| 5.27 |
Apprentissage des incidents |
Revue post-incident, amélioration |
| 5.28 |
Collecte de preuves |
Procédures forensiques, chaîne de custody |
Conformité et continuité (5.29-5.37)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 5.29 |
Sécurité de l'information pendant une perturbation |
Sécurité maintenue en situation de crise |
| 5.30 |
Préparation TIC pour la continuité d'activité |
Capacités de récupération, tests |
| 5.31 |
Exigences légales et réglementaires |
Identifier et documenter les exigences applicables |
| 5.32 |
Droits de propriété intellectuelle |
Conformité des licences, protection de la PI |
| 5.33 |
Protection des enregistrements |
Conservation, intégrité, élimination |
| 5.34 |
Protection de la vie privée et des DCP |
Traitement des données personnelles |
| 5.35 |
Revue indépendante |
Audits de sécurité, évaluations |
| 5.36 |
Conformité aux politiques |
Vérification de la conformité interne |
| 5.37 |
Procédures d'exploitation documentées |
Procédures pour les activités opérationnelles |
Contrôles relatifs aux personnes (Thème 6)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 6.1 |
Sélection |
Vérification des antécédents appropriée au rôle |
| 6.2 |
Conditions d'emploi |
Responsabilités de sécurité dans les contrats |
| 6.3 |
Sensibilisation, éducation, formation |
Programme de sensibilisation à la sécurité, formation selon les rôles |
| 6.4 |
Processus disciplinaire |
Conséquences pour les violations de sécurité |
| 6.5 |
Responsabilités après la fin du contrat |
Obligations de confidentialité continues |
| 6.6 |
Accords de confidentialité |
NDA pour les employés et sous-traitants |
| 6.7 |
Travail à distance |
Politiques et contrôles de sécurité pour le travail à distance |
| 6.8 |
Signalement des événements de sécurité |
Mécanisme de signalement des événements suspects |
Contrôles physiques (Thème 7)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 7.1 |
Périmètres de sécurité physique |
Limites définies, barrières |
| 7.2 |
Accès physique |
Mécanismes de contrôle d'accès, gestion des visiteurs |
| 7.3 |
Sécurisation des bureaux et installations |
Protection des zones de travail |
| 7.4 |
Surveillance de la sécurité physique |
Vidéosurveillance, détection d'intrusion |
| 7.5 |
Menaces physiques et environnementales |
Incendie, inondation, contrôles environnementaux |
| 7.6 |
Travail dans les zones sécurisées |
Procédures pour les zones sensibles |
| 7.7 |
Bureau propre et écran verrouillé |
Prévention de l'accès non autorisé aux informations |
| 7.8 |
Emplacement des équipements |
Placement sécurisé des équipements |
| 7.9 |
Sécurité des actifs hors site |
Protection des équipements mobiles |
| 7.10 |
Supports de stockage |
Manipulation, transport, élimination |
| 7.11 |
Services généraux |
Alimentation, refroidissement, connectivité |
| 7.12 |
Sécurité du câblage |
Protection des câbles réseau et électriques |
| 7.13 |
Maintenance des équipements |
Procédures de maintenance sécurisées |
| 7.14 |
Mise au rebut sécurisée |
Effacement des données avant élimination |
Note pour les organisations cloud-natives : Les contrôles physiques sont souvent couverts par les certifications des fournisseurs cloud. Documentez la dépendance aux contrôles du fournisseur dans votre Déclaration d'applicabilité.
Contrôles technologiques (Thème 8)
Terminaux et accès (8.1-8.8)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 8.1 |
Terminaux utilisateur |
MDM, sécurité des terminaux, politiques BYOD |
| 8.2 |
Droits d'accès privilégiés |
Comptes privilégiés limités, accès juste-à-temps |
| 8.3 |
Restriction d'accès à l'information |
Application technique des politiques d'accès |
| 8.4 |
Accès au code source |
Protection des dépôts de code source |
| 8.5 |
Authentification sécurisée |
MFA, mécanismes d'authentification forte |
| 8.6 |
Gestion de la capacité |
Surveillance, planification de la capacité |
| 8.7 |
Protection contre les logiciels malveillants |
Anti-malware, protection des terminaux |
| 8.8 |
Gestion des vulnérabilités techniques |
Scan, correctifs, remédiation |
Configuration et protection des données (8.9-8.14)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 8.9 |
Gestion de la configuration |
Configurations de base sécurisées, standards de durcissement |
| 8.10 |
Suppression de l'information |
Suppression sécurisée quand plus nécessaire |
| 8.11 |
Masquage des données |
Protection des données sensibles hors production |
| 8.12 |
Prévention des fuites de données |
Outils DLP, contrôles sur les sorties de données |
| 8.13 |
Sauvegarde de l'information |
Stratégie de sauvegarde, tests, protection |
| 8.14 |
Redondance |
Haute disponibilité, capacités de basculement |
Journalisation et surveillance (8.15-8.17)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 8.15 |
Journalisation |
Journalisation complète, protection des journaux, rétention |
| 8.16 |
Activités de surveillance |
SIEM, alertes, analyse |
| 8.17 |
Synchronisation des horloges |
NTP, horodatages précis |
Réseau et communications (8.18-8.22)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 8.18 |
Programmes utilitaires privilégiés |
Contrôle des utilitaires système puissants |
| 8.19 |
Installation de logiciels |
Installation de logiciels contrôlée |
| 8.20 |
Sécurité des réseaux |
Segmentation réseau, protection |
| 8.21 |
Sécurité des services réseau |
Configuration sécurisée des services réseau |
| 8.22 |
Séparation des réseaux |
Segmentation réseau, zones |
Sécurité des applications et développement (8.23-8.34)
| Contrôle |
Titre |
Points clés de mise en œuvre |
| 8.23 |
Filtrage web |
Filtrage d'URL, contrôle du contenu |
| 8.24 |
Cryptographie |
Chiffrement au repos et en transit, gestion des clés |
| 8.25 |
Cycle de développement sécurisé |
Sécurité dans le SDLC |
| 8.26 |
Exigences de sécurité des applications |
Définition des exigences de sécurité |
| 8.27 |
Architecture système sécurisée |
Principes de sécurité par conception |
| 8.28 |
Codage sécurisé |
Pratiques de codage sécurisé, revue de code |
| 8.29 |
Tests de sécurité |
SAST, DAST, tests d'intrusion |
| 8.30 |
Développement externalisé |
Sécurité du développement tiers |
| 8.31 |
Séparation des environnements |
Séparation dev, test, prod |
| 8.32 |
Gestion des changements |
Processus de changement contrôlés |
| 8.33 |
Informations de test |
Protection des données de test |
| 8.34 |
Protection des tests d'audit |
Sécurité des activités d'audit |
Nouveaux contrôles dans ISO 27002:2022
La révision 2022 a ajouté 11 nouveaux contrôles :
| Contrôle |
Thème |
Objectif |
| 5.7 |
Organisationnel |
Renseignements sur les menaces |
| 5.23 |
Organisationnel |
Sécurité des services cloud |
| 5.30 |
Organisationnel |
Préparation TIC pour la continuité d'activité |
| 7.4 |
Physique |
Surveillance de la sécurité physique |
| 8.9 |
Technologique |
Gestion de la configuration |
| 8.10 |
Technologique |
Suppression de l'information |
| 8.11 |
Technologique |
Masquage des données |
| 8.12 |
Technologique |
Prévention des fuites de données |
| 8.16 |
Technologique |
Activités de surveillance |
| 8.23 |
Technologique |
Filtrage web |
| 8.28 |
Technologique |
Codage sécurisé |
Questions fréquentes
Dois-je acheter ISO 27002 ?
Oui, ISO 27002 est un document protégé par le droit d'auteur qui doit être acheté auprès de l'ISO ou de votre organisme national de normalisation.
Puis-je être certifié ISO 27002 ?
Non. ISO 27002 est un document de recommandations, pas une norme de certification. La certification porte sur ISO 27001.
ISO 27002 est-elle obligatoire pour ISO 27001 ?
ISO 27002 n'est pas obligatoire, mais elle est fortement recommandée. ISO 27001 vous oblige à implémenter les contrôles de l'Annexe A, et ISO 27002 fournit les recommandations détaillées pour le faire efficacement.
L'approche Bastion
Implémentation simplifiée des contrôles
Bastion simplifie l'implémentation des contrôles ISO 27002 :
| Défi |
Solution Bastion |
| Comprendre les 93 contrôles |
Accompagnement expert sur ce qui s'applique |
| Traduire les recommandations en actions |
Implémentations de contrôles pré-construites |
| Exigences de preuves |
Collecte automatisée des preuves |
| Analyse des écarts |
Mapping des contrôles par rapport à votre environnement |
| Conformité continue |
Surveillance continue des contrôles |
Besoin d'aide pour implémenter les contrôles ISO 27002 ? Contactez notre équipe
Sources
- ISO/IEC 27002:2022 - Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information
- ISO/IEC 27001:2022 - Systèmes de management de la sécurité de l'information — Exigences
