Qu’est-ce qu’ISO/IEC 27001 ?
ISO/IEC 27001 est la norme la plus connue au monde en matière de systèmes de management de la sécurité de l’information (SMSI). Elle définit les exigences auxquelles un SMSI doit répondre.
La norme ISO/IEC 27001 fournit aux entreprises de toutes tailles, quel que soit leur secteur d’activité, des lignes directrices pour l’établissement, la mise en œuvre, la tenue à jour et l’amélioration continue d’un système de management de la sécurité de l’information.
La conformité à ISO/IEC 27001 signifie qu’une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité de ses données ou des données qu’elle est amenée à traiter, et que ce système est conforme aux bonnes pratiques et principes énoncés dans cette Norme internationale.
Pourquoi ISO/IEC 27001 est-elle essentielle ?
Face à l’essor de la cybercriminalité et à l’émergence constante de nouvelles menaces, il peut paraître difficile, voire impossible, de gérer les cyber-risques. ISO/IEC 27001 aide les organisations à prendre conscience des risques et à identifier et traiter de manière proactive les lacunes.
ISO/IEC 27001 préconise une approche holistique de la sécurité de l’information, fondée sur des procédures de contrôle applicables aux personnes, aux politiques et aux technologies. Un système de management de la sécurité de l’information mis en œuvre conformément à cette norme est un outil à l’appui de la gestion des risques, de la cyber-résilience et de l’excellence opérationnelle.
Recevoir des informations par e-mail
Inscrivez-vous pour obtenir des ressources et des informations additionnelles, en commençant par une liste de contrôle concernant la maturité du dispositif de sécurité de l’information.
Comment vos données seront utilisées
Veuillez consulter notre avis de confidentialité. Ce site est protégé par reCAPTCHA et les conditions d'utilisation de la politique de confidentialité de Google s'appliquent.
Avantages
- Résilience face aux cyberattaques
- Préparation face aux nouvelles menaces
- Intégrité, confidentialité et disponibilité des données
- Sécurité à tous les niveaux de support
- Protection à l’échelle de l’organisation
- Réduction des coûts
FAQ
Désormais, le vol de données, la cybercriminalité et la question de la responsabilité lors de fuites de données confidentielles représentent un risque que toutes les organisations se doivent de prendre en compte. Toute entreprise doit envisager en termes stratégiques ses besoins en matière de sécurité de l’information, et en quoi ces derniers sont indissociables de ses propres objectifs et processus, de sa taille et de sa structure. La norme ISO/IEC 27001 permet aux organisations de mettre en place un système de management de la sécurité de l’information et d’appliquer un processus de gestion des risques adapté à leur taille comme à leurs besoins, mais aussi d’adapter ce système en fonction de l’évolution de ces facteurs.
Si le secteur des technologies de l’information (TI) est le secteur qui compte le plus grand nombre de certificats selon ISO/IEC 27001 (selon l’Étude ISO 2021, près d’un cinquième de l’ensemble des certificats valides), les avantages offerts par cette norme ont su séduire les entreprises, tous secteurs économiques confondus (qu’elles soient spécialisées dans la production ou les services de tous types, mais aussi les entreprises du secteur primaire comme les organisations privées, publiques ou à but non lucratif).
En adoptant l’approche holistique décrite dans ISO/IEC 27001, les entreprises pourront s’assurer que la sécurité de l’information fait partie intégrante de leurs processus organisationnels, systèmes d’information et contrôles de gestion. Elles gagnent en efficacité et bon nombre se positionnent en chefs de file dans leur secteur.
La mise en œuvre du cadre définit dans la norme ISO/IEC 27001 pour la sécurité de l’information vous aide à :
- Limiter votre vulnérabilité face à la menace croissante des cyberattaques
- Répondre à l’évolution des risques en termes de sécurité
- Assurer l’intégrité, la confidentialité et la disponibilité d’actifs tels que les états financiers, la propriété intellectuelle, les données des employés et les informations confiées par des tiers
- Fournir un cadre géré de manière centralisée qui sécurise toutes les informations en un seul endroit
- Préparer les personnes, processus et technologies de l’ensemble de l’organisation à faire face aux risques technologiques et autres menaces
- Sécuriser les informations sous toutes leurs formes, y compris les données numériques, sur papier ou hébergées sur le Cloud
- Économiser de l’argent grâce à des gains d’efficacité et une réduction des dépenses consacrées à des technologies de défense inefficaces
- Confidentialité
→ Signification : Seules les bonnes personnes ont accès aux informations détenues par l’organisation.
⚠ Exemple de risque : Des criminels s’emparent des identifiants de connexion de vos clients et les revendent sur le Darknet. - Intégrité de l’information
→ Signification : Les données utilisées par l’organisation dans le cadre de ses activités ou celles dont elle assure la sécurité pour d’autres sont stockées de manière fiable et ne sont ni effacées, ni endommagées.
⚠ Exemple de risque : Un employé supprime accidentellement une ligne lors du traitement d’un fichier. - Disponibilité des données
→ Signification : L’organisation et ses client ont accès aux informations à tout moment afin de répondre aux objectifs opérationnels et aux attentes des clients.
⚠ Exemple de risque : La base de données de votre entreprise est indisponible en ligne en raison de problèmes liés aux serveurs et de lacunes en termes de sauvegarde.
Un système de management de la sécurité de l’information conforme aux exigences d’ISO/IEC 27001 garantit la confidentialité, l’intégrité et la disponibilité de l’information au travers d’un processus de management du risque et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.
Bien que l’on fasse parfois référence à ISO 27001, ISO/IEC 27001 est en réalité l’abréviation officielle de la Norme internationale définissant les exigences relatives aux systèmes de management de la sécurité de l’information. En effet, cette norme a été publiée conjointement par l’ISO et la Commission électrotechnique internationale (IEC). Le numéro indique que cette norme est sous la responsabilité du sous-comité SC 27 (sécurité de l’information, cybersécurité et protection de la vie privée) du comité technique mixte ISO/IEC sur les technologies de l’information (ISO/IEC JTC 1).
La certification selon ISO/IEC 27001 permet de démontrer à vos parties prenantes et clients que vous avez pris l’engagement et êtes en mesure de gérer les informations de manière sûre et sécurisée. Un certificat délivré par un organisme d’évaluation de la conformité accrédité est un gage de confiance supplémentaire. En effet, cela signifie qu’un organisme d’accréditation a confirmé de manière indépendante la compétence de l’organisme de certification. Si vous souhaitez utiliser un logo pour indiquer que vous êtes certifié, il vous faut prendre contact avec l’organisme de certification qui a délivré votre certificat. Comme dans d’autres contextes, il convient de toujours faire référence à une norme en indiquant sa référence complète, par exemple « certifié ISO/IEC 27001:2022 » (et non « certifié ISO 27001 »). Plus de précisions sur l’utilisation du logo de l’ISO.
Comme pour d’autres normes de systèmes de management ISO, les entreprises qui appliquent ISO/IEC 27001 peuvent décider si elles souhaitent ou non se lancer dans une procédure de certification. Certaines organisations choisissent de mettre en œuvre ISO/IEC 27001 pour tirer parti des meilleures pratiques contenues dans la norme, tandis que d’autres cherchent à obtenir une certification pour rassurer leurs clients ou leurs utilisateurs.
ISO/IEC 27001 est largement appliquée dans le monde. Selon l’Étude ISO 2022, plus de 70 000 certificats valides ont été délivrés dans 150 pays, tous secteurs économiques confondus, de l’agriculture aux services sociaux en passant par l’industrie manufacturière.
Buy together
Information security - the basics
This bundle provides a holistic approach to managing information security, cybersecurity, and privacy protection.
- ISO/IEC 27001:2022
- ISO/IEC 27001:2022 Handbook
Informations générales
-
État actuel: PubliéeDate de publication: 2022-10Stade: Norme internationale publiée [60.60]
-
Edition: 3Nombre de pages: 21
-
Comité technique :ISO/IEC JTC 1/SC 27
- RSS mises à jour
Information Security Management Systems: A practical guide for SMEs
This handbook focuses on guiding SMEs in developing and implementing an information security management system (ISMS) in accordance with ISO/IEC 27001, in order to help protect yourselves from cyber-risks.
ISO/IEC 27001:2022 - Information Security Management Systems - A practical guide for SMEs
Amendements
Des amendements sont publiés lorsqu’il s’avère que de nouveaux éléments doivent être ajoutés à un document normatif existant. Ils peuvent également inclure des corrections d’ordre rédactionnel ou technique à appliquer au document en vigueur.
Cycle de vie
-
Précédemment
AnnuléeISO/IEC 27001:2013
AnnuléeISO/IEC 27001:2013/Cor 1:2014
AnnuléeISO/IEC 27001:2013/Cor 2:2015
-
Actuellement
-
00
Préliminaire
-
10
Proposition
-
20
Préparation
-
30
Comité
-
40
Enquête
-
50
Approbation
-
60
Publication
-
90
Examen
-
95
Annulation
Amendements
Proposent un contenu additionnel; disponibles à l’achat; non inclus dans le texte de la norme en vigueur.PubliéeISO/IEC 27001:2022/Amd 1:2024
-
00