Qu'est-ce qu'un ISMS selon ISO/IEC 27001, et quel rôle joue l'Annexe A ?
Réponse courte
ISO/IEC 27001 spécifie les exigences d'un Information Security Management System (ISMS) : un cadre descendant et fondé sur le risque, fait de politiques, de processus, de rôles et d'amélioration continue (Plan-Do-Check-Act) qui régit la manière dont une organisation gère la sécurité de l'information. L'Annexe A est un catalogue de contrôles de référence. On ne les applique pas tous aveuglément — on mène une analyse des risques, on décide quels contrôles sont nécessaires, et on documente les décisions d'inclusion/exclusion avec justification dans une Statement of Applicability (SoA).
ISO/IEC 27001 est la principale norme internationale de gestion de la sécurité de l'information. La certification prouve qu'une organisation fait fonctionner un système de management opérationnel, pas qu'elle a acheté un outil particulier. Les recruteurs utilisent cette question pour distinguer ceux qui ont exploité un ISMS de ceux qui n'ont fait qu'entendre l'acronyme.
L'ISMS
L'Information Security Management System est le cœur de la norme (chapitres 4 à 10). Il exige que l'organisation :
- Comprenne son contexte et ses parties intéressées.
- Établisse l'engagement de la direction, le périmètre et une politique de sécurité de l'information.
- Mène un processus d'analyse des risques et de traitement des risques.
- Définisse des objectifs, des ressources, des compétences et la sensibilisation.
- Surveille, mesure, audite et revoie la performance.
- Pilote l'amélioration continue — la boucle Plan-Do-Check-Act.
Ces chapitres du système de management sont les exigences certifiables. Tout le reste les sert.
L'Annexe A et la Statement of Applicability
L'Annexe A est une liste normative de référence de contrôles (organisationnels, humains, physiques et technologiques dans la révision 2022). Ce n'est pas une checklist à implémenter en bloc. Le flux est :
- Évaluer les risques pesant sur vos actifs informationnels.
- Décider d'un plan de traitement des risques.
- Sélectionner les contrôles de l'Annexe A qui répondent à ces risques.
- Consigner le statut de chaque contrôle — applicable ou exclu, avec justification — dans la Statement of Applicability (SoA).
ISO/IEC 27002 fournit les recommandations de mise en œuvre de ces contrôles.
Pourquoi c'est important
La meilleure réponse insiste sur le fait que 27001 est pilotée par le risque : les contrôles découlent du risque, et la SoA est le document qui les relie. Les candidats qui pensent que l'Annexe A est une checklist obligatoire du tout ou rien ont mal compris la norme.
Questions de suivi probables
- Que contient une Statement of Applicability et pourquoi l'auditeur s'intéresse-t-il aux exclusions ?
- Comment ISO/IEC 27002 se rapporte-t-elle à l'Annexe A d'ISO/IEC 27001 ?
- À quoi ressemble le cycle d'audit de certification (Stage 1, Stage 2, surveillance) ?