Retour au Blog

ISO/IEC 27001 expliqué simplement : principes, structure, exemple concret

L’ISO/IEC 27001 est bien plus qu’un référentiel technique : c’est un cadre de pilotage pour structurer la sécurité de l’information dans la durée. Dans cet article, nous vous proposons une lecture claire de ses principes clés, un exemple concret de mise en œuvre, et surtout, comment Keepya permet d’y répondre de façon simple, structurée et pragmatique.

Par: Joachim Fontfreyde · 2025-05-12

Image.

ISO/IEC 27001 expliqué simplement : principes, structure, exemple concret

Introduction à l’ISO/IEC 27001

La norme ISO/IEC 27001 est souvent perçue à tort comme une simple liste de contrôles techniques à implémenter pour assurer la sécurité de l’information.

En réalité, elle propose un cadre global pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI), visant à gérer les risques de manière continue et systématique.

Gérer les risques, pas juste cocher des cases

La norme ISO/IEC 27001 n’est pas simplement un cadre de conformité : c’est avant tout une méthode pour aider les organisations à identifier, évaluer et traiter leurs risques liés à la sécurité de l’information.

Elle repose sur une approche globale : oui, il y a des mesures techniques, mais pas seulement. ISO 27001 demande aussi une vraie implication de la direction, des processus organisationnels solides, et l’engagement des équipes. C’est un système vivant, pas un dossier dans un tiroir.

Confidentialité, Intégrité, Disponibilité : les 3 piliers

La norme ISO/IEC 27001 repose sur trois principes fondamentaux, souvent désignés sous l’acronyme CID : Confidentialité, Intégrité et Disponibilité. Ces piliers constituent le socle sur lequel les organisations bâtissent leur Système de Management de la Sécurité de l’Information (SMSI), garantissant ainsi une protection optimale des données sensibles.

Au cœur de la norme, on retrouve les trois grands principes connus sous l’acronyme CID :Confidentialité, Intégrité et Disponibilité:

Confidentialité

  • Limiter l’accès aux informations aux seules personnes autorisées.
  • Chiffrement, gestion fine des droits, MFA… L’objectif est clair : éviter les fuites et protéger les données sensibles.

Intégrité

  • S’assurer que les données sont fiables, exactes, et qu’elles n’ont pas été modifiées de manière non autorisée.
  • Versioning, contrôles d’intégrité, signature numérique… On protège la cohérence de l’information.

Disponibilité

  • Garantir que les systèmes et les données sont accessibles quand les utilisateurs en ont besoin.
  • Cela passe par la redondance, les PRA, et la maintenance régulière. Parce qu’un système sécurisé mais inutilisable, ça ne sert à rien.

Ce que couvre vraiment la norme ISO 27001

Pour bien comprendre ISO/IEC 27001, il faut savoir qu’elle s’articule autour de deux grandes composantes complémentaires : d’un côté, le cadre de gestion (les clauses principales), et de l’autre, les contrôles de sécurité (Annexe A). Ensemble, elles permettent de construire un système de sécurité de l’information cohérent et pilotable.

1. Les clauses principales (sections 4 à 10)

Ces sections constituent le cœur du système de management. Elles décrivent comment l’organisation doit structurer sa démarche sécurité :

  • Identifier et comprendre les enjeux internes et externes,
  • Définir les rôles et responsabilités,
  • Évaluer les risques,
  • Planifier les actions,
  • Mettre en œuvre les processus,
  • Mesurer les résultats,
  • Et s’engager dans une logique d’amélioration continue.

Autrement dit, ces clauses définissent le cadre méthodologique dans lequel la sécurité de l’information doit être gérée au quotidien.

2. L’Annexe A : les contrôles

L’Annexe A regroupe, dans sa version 2022, 93 contrôles de sécurité. Ces contrôles sont organisés en quatre grandes catégories :

  • Organisationnels : gouvernance, politiques, responsabilités, etc.
  • Humains : sensibilisation, gestion RH, sécurité des collaborateurs
  • Physiques : contrôle d’accès aux locaux, protection des équipements
  • Technologiques : gestion des identités, journalisation, cryptographie, etc.

Mais il est essentiel de rappeler que ces contrôles ne sont pas à appliquer automatiquement. Ils servent de boîte à outils dans laquelle chaque organisation vient puiser en fonction de ses propres risques et de son contexte opérationnel.

L’idée n’est donc pas de tout mettre en œuvre, mais de sélectionner, justifier, adapter. C’est cette souplesse qui fait la force de la norme, mais aussi ce qui demande un véritable pilotage structuré.

Pourquoi se faire certifier ISO/IEC 27001

Obtenir la certification ISO/IEC 27001 présente plusieurs avantages :

  • Crédibilité accrue : Démontre aux clients et partenaires un engagement fort envers la sécurité de l’information.
  • Avantage concurrentiel : Peut constituer un facteur différenciateur sur le marché.
  • Amélioration continue : Encourage une culture de révision et d’amélioration constantes des processus de sécurité.
  • Conformité réglementaire : Dans certains domaines régulés être ISO27001 peut être une obligation.

La certification nécessite une évaluation rigoureuse par un organisme indépendant, garantissant que le SMSI est conforme aux exigences de la norme.

Un exemple concret : implémenter le contrôle A.9.2.1 – Enregistrement des utilisateurs

Prenons un exemple concret, le contrôle A.9.2.1 – Enregistrement et désenregistrement des utilisateurs, pour illustrer de manière pragmatique comment traduire une exigence de l’annexe A de la norme ISO/IEC 27001 en politiques et procédures internes.

Élaboration d’une Politique de Gestion des Comptes Utilisateurs

À minima, toute politique de gestion des comptes utilisateurs doit formaliser une politique encadrant la création, la modification et la suppression des comptes utilisateurs ; en pratique, ces procédures restent souvent génériques, rappelant que l’accès aux systèmes d’information est réservé aux personnes autorisées et géré via des processus formels.

La politique doit également détailler concrètement les processus mis en œuvre dans l’entreprise, par exemple:

  • La demande de création de compte doit obligatoirement passer par un outil de ticketing, avec une validation systématique par le responsable hiérarchique et la DSI.
  • L’attribution des droits d’accès se fait selon le principe du moindre privilège, en fonction du rôle réel de l’utilisateur.
  • Lorsqu’un employé quitte l’entreprise ou change de poste, c’est au manager d’initier la désactivation ou la suppression du compte, toujours via un canal formel et tracé.
  • Etc…

Dans la plupart des cas, cette procédure ne détaille pas précisément les contrôles de suivi, se limitant souvent à une mention indiquant qu’un contrôle régulier est en place pour en assurer le respect.

Mise en place d’un Contrôle de Revue Périodique des Comptes Utilisateurs

Pour démontrer que la politique est effectivement appliquée, il est nécessaire de mettre en place un contrôle interne dédié.

Un bon contrôle interne doit impérativement préciser à minima qui en est responsable, le circuit de validation, la fréquence à laquelle il est réalisé, ce qui est attendu à chaque étape, ainsi que les indicateurs de performance (KPI) suivis pour évaluer son efficacité.

A titre d’exemple, ce que peut donner un contrôle de revue des utilisateurs dans Active Directory :

Responsable : Département des Systèmes d’Information (DSI)

Étapes du processus :

  1. Extraction de la liste des utilisateurs : Générer une liste complète des comptes actifs.
  2. Vérification des demandes de création : Associer chaque compte à son ticket de création initial et confirmer que le principe du moindre privilège a été respecté.
  3. Croisement avec la base RH : S’assurer que chaque utilisateur est toujours employé et que son poste correspond aux accès attribués.
  4. Génération d’un rapport : Compiler les informations vérifiées dans un document formel.

Validation : Responsable de la Sécurité des Systèmes d’Information (RSSI)

  1. Examen de l’exhaustivité du rapport : Vérifier que le nombre de comptes recensés correspond aux données de l’annuaire d’entreprise.
  2. Signature électronique : Signer électroniquement le rapport validé.
  3. Archivage : Conserver le document conformément aux politiques de rétention de l’entreprise.

Indicateurs de performance clés (KPI) à suivre :

  • Nombre d’anomalies détectées concernant des comptes non désactivés après le départ d’un employé.
  • Nombre de comptes sans trace de demande de création formelle.

Fréquence : Trimestrielle

Du document à la réalité

La rédaction de procédures et de contrôles n’est que la première étape.

Les politiques doivent ensuite être diffusées aux parties concernées, et il faut être en mesure de prouver que chacun a bien eu accès à la dernière version en vigueur.

Pour le contrôle interne, il est impératif d’assurer un suivi régulier en instaurant des comités de pilotage dédiés à l’analyse des indicateurs de performance clés (KPI). Ces comités, en évaluant périodiquement les KPI, garantissent que les processus restent efficaces et conformes aux objectifs fixés .

Il est normal de ne pas atteindre une conformité totale dès le départ ; l’important est de s’engager dans une démarche d’amélioration continue.

Pour cet exemple lors de la préparation à un audit de certification, assurez-vous de pouvoir fournir :

  • La politique de gestion des comptes utilisateurs.
  • Les preuves de sa diffusion aux parties concernées.
  • Les rapports de contrôle interne signés par le Responsable de la Sécurité des Systèmes d’Information (RSSI) pour la période concernée.

Comment Keepya simplifie la mise en œuvre et le suivi de ce contrôle

Keepya a été conçu pour répondre à ce type de besoin opérationnel, où disposer d’une politique bien rédigée ne suffit pas : encore faut-il pouvoir prouver son application, tracer les actions dans le temps et piloter. L’outil structure votre démarche de bout en bout, de manière simple et concrète.

Dans le cas d’un contrôle comme A.9.2.1, voici ce que vous pouvez faire avec Keepya :

  • Centraliser vos politiques

    Vous stockez votre politique directement sur la plateforme, vous la versionnez, la diffusez aux personnes concernées, et gardez une preuve de lecture pour chaque utilisateur. Vous savez précisément qui a accédé à quelle version et à quel moment.

  • Définir vos contrôles internes

    Vous créez un contrôle périodique en définissant son périmètre, les étapes à suivre, les responsables, les documents à fournir et les échéances. Le contrôle n’est plus un fichier dans un coin : il devient un processus structuré, assigné et suivi.

  • Collecter et archiver les preuves

    Lors de chaque revue, le département IT peut importer la liste des comptes, les tickets associés, les exports RH, etc. Le RSSI valide la revue directement dans Keepya, signe électroniquement, et tout est archivé.

  • Suivre les indicateurs clés

    Keepya vous permet de définir les KPI liés à chaque contrôle : nombre d’anomalies détectées, absence de tickets, comptes non désactivés… Ces indicateurs sont visibles dans le temps, et vous pouvez les exploiter pour déclencher des actions correctives.

  • Préparer vos audits sereinement

    Vous exportez la politique, les preuves de diffusion, les rapports signés, les indicateurs suivis : tout est centralisé, à jour, et accessible en quelques clics.

Avec Keepya, vos politiques et contrôles ne sont plus des documents statiques. Ils deviennent des processus vivants, traçables, maîtrisés et alignés avec les exigences de la norme ISO/IEC 27001.

Vous voulez voir comment Keepya peut structurer vos politiques et vos contrôles internes en quelques clics ?

Réservez une démo personnalisée et découvrez comment notre outil peut vous aider.