ISO/IEC 27001:2022 (ISO/IEC 27001:2022) — ACF Compliance

ISO/IEC 27001:2022

ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection - Information security management systems - Requirements

InternationalVoir la régulation officielle

articles documentés

obligations actionnables

niveaux de sanction

En vigueur depuis

2025-10-31

Périmètre d'application

Entités concernées

• any_organization
• private_sector
• public_sector
• non_profit

Seuils d'application

• Toute organisation, indépendamment de sa taille, secteur ou nature, souhaitant établir, mettre en œuvre, maintenir et améliorer en continu un ISMS
• Standard certifiable via un organisme accrédité (ISO/IEC 17021-1 + ISO/IEC 27006)

Exemptions

• Standard volontaire - aucune obligation légale directe, sauf exigence contractuelle ou sectorielle

Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Clause 4

Contexte de l'organisation

Comprendre l'organisation et son contexte, les besoins et attentes des parties intéressées, déterminer le périmètre du ISMS et l'établir.

Obligations

• Identifier les enjeux internes et externes (4.1)
• Identifier les parties intéressées et leurs exigences (4.2)
• Définir le périmètre du ISMS de manière documentée (4.3)
• Établir et maintenir le ISMS (4.4)

Clause 5

Leadership et engagement de la direction

Engagement visible de la direction, politique de sécurité de l'information, attribution des rôles, responsabilités et autorités.

Obligations

• Démontrer le leadership de la direction (5.1)
• Établir une politique de sécurité de l'information documentée (5.2)
• Définir les rôles, responsabilités et autorités (5.3)

Clause 6

Planification (incl. évaluation et traitement des risques)

Actions face aux risques et opportunités, processus formel d'évaluation des risques de sécurité de l'information, processus de traitement des risques, objectifs de sécurité et planification du changement.

Obligations

• Définir un processus d'évaluation des risques sécurité (6.1.2)
• Définir un processus de traitement des risques (6.1.3) avec référence Annexe A
• Établir une Statement of Applicability (SoA) (6.1.3(d))
• Définir des objectifs de sécurité mesurables (6.2)
• Planifier les changements (6.3)

Clause 7

Support

Ressources, compétences, sensibilisation, communication, information documentée : tous les éléments supportant le ISMS.

Obligations

• Allouer les ressources nécessaires (7.1)
• S'assurer des compétences du personnel (7.2)
• Sensibiliser le personnel à la politique et à leurs responsabilités (7.3)
• Définir les règles de communication (7.4)
• Maintenir l'information documentée (7.5)

Clause 8

Operation

Planification et contrôle opérationnels, processus d'évaluation et de traitement des risques en opération.

Obligations

• Planifier et contrôler les opérations (8.1)
• Mener l'évaluation des risques de sécurité en opération (8.2)
• Mettre en œuvre le plan de traitement des risques (8.3)

Clause 9

Évaluation des performances

Surveillance, mesure, analyse et évaluation. Audit interne et revue de direction du ISMS.

Obligations

• Surveiller, mesurer, analyser et évaluer la performance ISMS (9.1)
• Conduire des audits internes planifiés (9.2)
• Conduire une revue de direction (9.3)

Clause 10

Amélioration

Amélioration continue, traitement des non-conformités et actions correctives.

Obligations

• Améliorer continuellement le ISMS (10.1)
• Traiter les non-conformités et mettre en œuvre des actions correctives (10.2)

Annexe A

Reference controls (93 contrôles en 4 thèmes)

93 contrôles de référence regroupés en 4 thèmes : Organisational (37 contrôles A.5), People (8 contrôles A.6), Physical (14 contrôles A.7), Technological (34 contrôles A.8). 11 contrôles nouveaux par rapport à la version 2013 (incl. Threat Intelligence, Cloud Security, ICT readiness, Data masking, etc.).

Obligations

• Sélectionner les contrôles applicables à partir de l'évaluation des risques
• Justifier les inclusions et exclusions dans la Statement of Applicability
• Implémenter les contrôles sélectionnés

A.5 (Organisational)

Contrôles organisationnels (37 contrôles)

Politiques de sécurité, rôles et responsabilités, ségrégation des tâches, contact avec les autorités et groupes spécialisés, threat intelligence (A.5.7 nouveau), sécurité dans la gestion de projet, classification d'information, gestion des identités, gestion des fournisseurs, sécurité cloud (A.5.23 nouveau), continuité et reprise.

Obligations

• Documenter et publier les politiques (A.5.1)
• Définir les rôles et responsabilités sécurité (A.5.2)
• Mettre en place threat intelligence (A.5.7)
• Encadrer les relations avec les fournisseurs (A.5.19 à A.5.22)
• Sécuriser l'usage des services cloud (A.5.23)
• Garantir la continuité et la reprise (A.5.29, A.5.30)

A.8 (Technological)

Contrôles technologiques (34 contrôles)

Gestion des accès, authentification, données, sécurité des réseaux, journalisation, secure coding (A.8.28 nouveau), data masking (A.8.11 nouveau), data leakage prevention (A.8.12 nouveau), monitoring activités (A.8.16 nouveau), filtrage web (A.8.23 nouveau).

Obligations

• Implémenter authentification forte (A.8.5)
• Sécuriser le développement (A.8.25-30) y compris secure coding
• Mettre en place data masking et DLP (A.8.11, A.8.12)
• Journaliser et surveiller les activités (A.8.15, A.8.16)
• Sécuriser les réseaux et les communications (A.8.20-24)

Obligations transverses

10 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

GouvernanceClause 5.2
Établir une politique de sécurité de l'information documentée approuvée par la direction (5.2)
GouvernanceClause 5.3
Définir les rôles, responsabilités et autorités sécurité (5.3)
ProcessClause 6.1.2
Définir un processus d'évaluation des risques de sécurité (6.1.2)
DocumentationClause 6.1.3 · Annexe A
Produire une Statement of Applicability listant les contrôles Annexe A retenus / exclus (6.1.3(d))
ProcessClause 6.1.3
Définir et mettre en œuvre un plan de traitement des risques (6.1.3)
TechniqueAnnexe A
Implémenter les 93 contrôles Annexe A sélectionnés (4 thèmes : Org / People / Physical / Tech)
ProcessClause 9.2 · Clause 9.3
Conduire des audits internes planifiés (9.2) et revues de direction (9.3)
ProcessClause 10.1 · Clause 10.2
Mettre en œuvre amélioration continue et actions correctives (10.1, 10.2)
GouvernanceAnnexe A.5.19 · Annexe A.5.20 · Annexe A.5.21 · Annexe A.5.22 · Annexe A.5.23
Encadrer les relations fournisseurs et services cloud (A.5.19 à A.5.23)
TechniqueAnnexe A.5.7 · Annexe A.8.11 · Annexe A.8.12 · Annexe A.8.16 · Annexe A.8.28
Mettre en place threat intelligence, monitoring, DLP, secure coding (contrôles 2022)

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · N/A - certification volontaire

Aucune sanction pécuniaire imposée par la norme

Standard ISO volontaire - pas de sanctions légales

Base légale · Procédures ISO/IEC 17021-1 + ISO/IEC 27006

Non-renouvellement, suspension ou retrait de certificat par l'organisme de certification accrédité

Conséquences en cas de non-conformité identifiée lors d'un audit de certification

Articulation avec l'AI Act

ISO/IEC 27001 fournit le socle de gouvernance de sécurité de l'information sur lequel les exigences AI Act et frameworks spécifiques se construisent. Articulation pratique : (1) le AI Act art. 15 (précision, robustesse, cybersécurité) renvoie largement aux pratiques 27001 - une certification existante simplifie la démonstration de conformité ; (2) ISO/IEC 27001 et ISO/IEC 42001 partagent la structure de haut niveau (Annexe SL), ce qui permet une intégration efficiente des deux SMS en un seul management system ; (3) plusieurs contrôles Annexe A 2022 (A.5.7 threat intelligence, A.5.23 cloud, A.8.28 secure coding) sont des pré-requis pratiques pour qualifier la cybersécurité de systèmes IA haut-risque ; (4) ISO/IEC 27001 est aussi présumé pertinent pour DORA art. 9-10 (protection / détection) et NIS2 art. 21.

Retour à /coverage Lancer le Diagnostic Flash Discuter de votre périmètre