La version 2022 de la norme ISO/IEC 27001 a restructuré ses contrôles de sécurité en quatre thématiques (organisationnels, humains, physiques, technologiques). Parmi les nouveaux contrôles introduits, on trouve notamment celui sur la sécurité de l’information dans l’utilisation de services cloud ou celui sur le filtrage web.
Le texte couvre un périmètre large, ancré dans la protection de la confidentialité, de l’intégrité et de la disponibilité des données. Pour les équipes IT, maîtriser ce cadre conditionne la capacité à structurer un système de management de la sécurité de l’information (SMSI) opérationnel.
A lire en complément : Droits fondamentaux du RGPD : comprendre les 8 essentiels
ISO 27001 version 2022 face aux risques liés à l’IA générative
L’annexe A de la norme, même révisée, ne mentionne pas explicitement les modèles d’IA générative. Les contrôles technologiques couvrent la prévention des fuites de données, la surveillance des activités ou la gestion des configurations, mais ils n’adressent pas les vecteurs de risque propres aux grands modèles de langage : injection de prompt, exfiltration de données d’entraînement, hallucinations intégrées dans des processus décisionnels automatisés.
Certaines organisations complètent leur SMSI par des politiques dédiées. L’approche consiste à greffer sur l’analyse de risques ISO 27001 des scénarios spécifiques à l’IA générative, en s’appuyant sur des méthodes comme EBIOS Risk Manager pour modéliser les chemins d’attaque. Concrètement, cela passe par l’ajout de contrôles internes non prévus par l’annexe A : validation humaine obligatoire des sorties IA critiques, cloisonnement des données sensibles hors des pipelines d’entraînement, journalisation des requêtes adressées aux modèles.
A lire en complément : RSSI : Quel est le rôle et l'importance dans la sécurité des systèmes ?
Les retours terrain divergent sur l’efficacité de ces extensions. Certaines entreprises rapportent une meilleure traçabilité des usages IA, d’autres constatent que les politiques ajoutées restent déclaratives faute de moyens techniques pour les auditer. La norme fournit le cadre, pas les réponses sur l’IA. Le règlement européen sur l’intelligence artificielle (AI Act) pourrait à terme imposer des exigences que l’ISO 27001 devra intégrer, mais cette convergence n’existe pas encore dans le texte normatif.
Pour structurer cette montée en compétence sur le référentiel, la formation aux fondamentaux de l’ISO 27001 par Fidens permet aux équipes IT de maîtriser le socle avant d’envisager ces extensions spécifiques.
Analyse de risques et méthode EBIOS : le moteur du SMSI
Le SMSI repose sur un cycle d’amélioration continue (Plan-Do-Check-Act), mais son efficacité dépend presque entièrement de la qualité de l’analyse de risques initiale. La norme exige d’identifier les actifs informationnels, d’évaluer les menaces et les vulnérabilités, puis de définir un plan de traitement. Elle ne prescrit pas de méthode spécifique.
En France, la méthode EBIOS Risk Manager, portée par l’ANSSI, est fréquemment utilisée pour alimenter cette analyse. Elle structure le travail en cinq ateliers progressifs :
- Cadrage du périmètre et identification des valeurs métier, pour délimiter ce que le SMSI doit protéger en priorité
- Cartographie des sources de risque (attaquants, partenaires défaillants, erreurs internes) et de leurs objectifs visés
- Construction de scénarios stratégiques puis opérationnels, qui décrivent les chemins d’attaque plausibles jusqu’aux actifs critiques
- Évaluation du niveau de risque résiduel après application des mesures existantes, pour arbitrer les investissements de sécurité
EBIOS ne remplace pas l’ISO 27001 mais en opérationnalise l’exigence d’analyse de risques. Les deux cadres se complètent : la norme fixe le « quoi », la méthode fournit le « comment ». Les organisations certifiées qui utilisent EBIOS disposent généralement d’une documentation de risques plus granulaire, ce qui facilite les audits de surveillance.
Gouvernance IT et articulation avec NIS 2 et le RGPD
L’ISO 27001 ne fonctionne pas en vase clos. La directive NIS 2, transposée en droit national, élargit les obligations de cybersécurité à un nombre bien plus important d’entités (entreprises essentielles et importantes). Pour les organisations déjà certifiées ISO 27001, une part significative des exigences NIS 2 est déjà couverte par le SMSI. La gestion des incidents, la gouvernance des risques, la sécurité de la chaîne d’approvisionnement : ces thématiques figurent dans les deux référentiels.
En revanche, NIS 2 introduit des obligations de notification d’incidents dans des délais contraints et des sanctions financières que la norme ISO, volontaire par nature, ne prévoit pas. L’ISO 27001 démontre la conformité, NIS 2 l’impose.
Du côté du RGPD, le lien porte sur la protection des données personnelles. L’ISO 27001 traite la sécurité de l’information au sens large, pas uniquement les données à caractère personnel. L’ISO 27701, extension dédiée à la gestion de la vie privée, fait le pont entre les deux. Une organisation qui vise la conformité RGPD et la certification ISO 27001 a intérêt à cartographier les recouvrements dès le départ pour éviter de dupliquer les analyses de risques.
Ce que change concrètement la certification pour une DSI
La certification n’est pas un label passif. Elle engage l’organisation dans un cycle d’audits de surveillance annuels et un audit de renouvellement tous les trois ans. Pour une direction des systèmes d’information, cela signifie maintenir en permanence la documentation du SMSI, traiter les non-conformités identifiées et mesurer l’efficacité des contrôles déployés.
Le gain principal est la structuration des pratiques de sécurité. Sans certification, les mesures de protection existent souvent de manière fragmentée : un pare-feu ici, une politique de mots de passe là, sans vision consolidée des risques résiduels. Le SMSI force cette consolidation.
Le coût en ressources humaines est le frein le plus cité. Rédiger les politiques, conduire les analyses de risques, préparer les audits : ces activités mobilisent du temps que les équipes IT n’ont pas toujours. Les données disponibles ne permettent pas de quantifier un retour sur investissement universel, car il dépend de la taille de l’organisation, de son secteur et de son exposition réelle aux menaces.
La norme reste un outil. Sa valeur dépend de la rigueur avec laquelle l’analyse de risques est menée et de la capacité de l’organisation à faire vivre son SMSI au-delà de l’audit initial. Pour les équipes IT confrontées à la multiplication des référentiels (ISO 27001, NIS 2, RGPD, AI Act à venir), le socle normatif ISO 27001 structure la gouvernance avant d’empiler les conformités.
