Checklist ISO 27001 : Les 93 contrôles de l'Annexe A expliqués

L'Annexe A d'ISO 27001:2022 — ce qui a changé

La mise à jour 2022 d'ISO 27001 a profondément restructuré l'Annexe A. L'ancienne version comptait 114 contrôles répartis en 14 domaines. La version 2022 contient 93 contrôles organisés en 4 thèmes, avec 11 nouveaux contrôles ajoutés.

Les 4 thèmes de l'Annexe A

Thème 1 : Contrôles organisationnels (37 contrôles)

Le plus gros bloc. Couvre la gouvernance, les politiques, les rôles, la gestion des actifs, le contrôle d'accès, la continuité d'activité et la conformité.

Contrôles clés pour les PME :

• A.5.1 Politiques de sécurité de l'information — votre document fondateur
• A.5.9 Inventaire des actifs informationnels — vous devez savoir ce que vous protégez
• A.5.10 Utilisation acceptable des actifs — règles pour les employés
• A.5.15 Contrôle d'accès — qui a accès à quoi et pourquoi
• A.5.23 Sécurité de l'information pour les services cloud — nouveau en 2022
• A.5.29 Sécurité de l'information en cas de perturbation — continuité d'activité
• A.5.30 Préparation TIC pour la continuité d'activité — nouveau en 2022

Thème 2 : Contrôles liés aux personnes (8 contrôles)

Couvre la sécurité RH de l'embauche au départ.

• A.6.1 Sélection — vérification des antécédents
• A.6.2 Conditions d'emploi — clauses de confidentialité dans les contrats
• A.6.3 Sensibilisation et formation — programme de formation obligatoire
• A.6.4 Processus disciplinaire
• A.6.5 Responsabilités à la fin du contrat — révocation des accès
• A.6.6 Accords de confidentialité
• A.6.7 Travail à distance — nouveau en 2022, très pertinent post-COVID
• A.6.8 Signalement des événements de sécurité

Thème 3 : Contrôles physiques (14 contrôles)

Sécurité des locaux, des équipements et des supports de stockage.

• A.7.1-7.4 Périmètre de sécurité physique et contrôle d'accès
• A.7.7 Bureau propre et écran verrouillé — simple mais souvent oublié
• A.7.9 Sécurité des actifs hors site
• A.7.10 Supports de stockage — destruction sécurisée
• A.7.14 Mise au rebut sécurisée des équipements

Pour les SaaS full-remote : beaucoup de contrôles physiques s'appliquent à votre hébergeur cloud. Documentez les certifications de votre provider (AWS, GCP, Azure sont tous certifiés ISO 27001).

Thème 4 : Contrôles technologiques (34 contrôles)

Le cœur technique : chiffrement, réseau, développement sécurisé, monitoring.

• A.8.1 Dispositifs endpoint des utilisateurs — MDM, chiffrement disque
• A.8.5 Authentification sécurisée — MFA
• A.8.9 Gestion de configuration — nouveau en 2022
• A.8.10 Suppression de l'information — politiques de rétention
• A.8.11 Masquage des données — nouveau en 2022
• A.8.12 Prévention des fuites de données (DLP) — nouveau en 2022
• A.8.15 Journalisation — logs d'activité
• A.8.16 Activités de surveillance — nouveau en 2022
• A.8.23 Filtrage web — nouveau en 2022
• A.8.24 Utilisation de la cryptographie
• A.8.25-8.31 Développement sécurisé — SDLC, tests, séparation des environnements
• A.8.28 Codage sécurisé — nouveau en 2022

Les 11 nouveaux contrôles de 2022

Ces contrôles reflètent l'évolution des menaces et des pratiques :

1. A.5.7 — Renseignement sur les menaces (Threat Intelligence)
2. A.5.23 — Sécurité cloud
3. A.5.30 — Préparation TIC pour la continuité
4. A.6.7 — Travail à distance
5. A.7.4 — Surveillance de la sécurité physique
6. A.8.9 — Gestion de configuration
7. A.8.10 — Suppression de l'information
8. A.8.11 — Masquage des données
9. A.8.12 — DLP
10. A.8.16 — Activités de surveillance
11. A.8.23 — Filtrage web

La Déclaration d'Applicabilité (SoA)

Vous n'êtes pas obligé d'implémenter les 93 contrôles. La Statement of Applicability (SoA) est le document où vous justifiez, pour chaque contrôle, s'il est applicable ou non et pourquoi. C'est un livrable clé de l'audit.

Automatisez votre checklist

Compli.st mappe automatiquement vos contrôles existants sur l'Annexe A et identifie les écarts à combler. Gagnez des semaines de travail manuel.

Commencez votre checklist ISO 27001 →