ISO 27001 : préparer votre infrastructure à la certification

L'ISO/IEC 27001 est devenue la norme incontournable pour les organisations gérant des données sensibles. Pour les hébergeurs et prestataires IT, cette certification rassure les clients, valide votre posture de sécurité et renforce votre positionnement commercial. Cet article guide votre préparation étape par étape : cartographie des 93 contrôles, audit de conformité et déploiement du SMSI (Système de Management de la Sécurité de l'Information).

• Qu'est-ce que l'ISO 27001:2022 ?
• Les 93 contrôles de l'Annexe A
• Contrôles critiques pour l'hébergement et l'infrastructure
• Le parcours de certification (timeline)
• Préparer votre infrastructure
• Perspectives complémentaires
• Sources et ressources
• Conclusion

L'ISO/IEC 27001:2022 (remplace la version 2013) est la norme internationale de management de la sécurité de l'information. Elle définit un cadre structuré pour :

• Identifier les actifs informationnels
• Évaluer les risques et menaces
• Implémenter des contrôles de sécurité
• Auditer et maintenir la conformité

Évolutions majeures par rapport à 2013

La version 2022 apporte 11 nouveaux contrôles et réorganise les 114 anciens en 93 contrôles consolidés :

Les 4 thèmes de l'Annexe A

Organisationnel (37 contrôles)

Fondations du SMSI :

• A.5 : Politiques (5 contrôles)
  • Politique de sécurité écrite, distribution, révision
• A.6 : Planification (3 contrôles)
  • Objectifs et gestion des risques
  • A.6.2 : Threat intelligence et détection
• A.7 : Support (7 contrôles)
  • Ressources humaines et financières
  • Compétences et formation obligatoires
• A.8 : Opérations (12 contrôles)
  • Planification, changements, incidents, continuité
• A.9 : Évaluation performance (7 contrôles)
  • Audit interne, revues de management

Personnes (8 contrôles)

• A.6.5 : Contrôle d'accès et responsabilités
• A.6.6 : Télétravail et environnement mobile (nouveau focus 2022)
• A.6.7 : Gestion des employés et tiers
• A.6.8 : Discipline et gestion des incidents individuels

Physique (14 contrôles)

• A.7.1 : Périmètres de sécurité (bâtiment, salle)
• A.7.2 : Accès physique (badges, logs, visiteurs)
• A.7.3 : Sécurité du mobilier et ressources
• A.7.4 : Destruction sécurisée des supports
• A.7.5 : Câblage et équipements
• A.7.6 : Équipements off-site (risques)
• A.7.7 : État futur des ressources

Technologique (34 contrôles)

Domaine le plus dense pour infrastructure :

Accès logique (A.8.2-A.8.3) :

• Enregistrement et identité uniques
• Gestion du cycle de vie (création, modification, suppression)
• Droits d'accès basés sur le besoin
• Gestion des secrets (MFA obligatoire pour privé)

Chiffrement (A.8.4) :

• Clés cryptographiques
• Protocoles TLS 1.2+ pour transport
• Chiffrement au repos pour données sensibles

Intégrité et disponibilité (A.8.5-A.8.6) :

• Détection de modifications non autorisées
• Logs de tous les accès sensibles
• Sauvegarde régulière avec tests de récupération
• Business continuity et disaster recovery

Incident management (A.8.7-A.8.9) :

• Détection et escalade des incidents
• Réponse rapide (objectif < 24h)
• Post-mortem et amélioration continue

Priorisez ces domaines pour un hébergeur ou cloud provider :

1. Contrôle d'accès (A.8.2-A.8.3)

Critère : Zéro accès non autorisé aux données clients

Implémenter:
  - SSO/OIDC pour tous les administrateurs
  - MFA (TOTP ou clés U2F) obligatoire
  - Gestion des droits via RBAC (Role-Based Access Control)
  - Révocation d'accès < 1h après départ
  - Logs d'accès non répudiables (audit trail)

Contrôle : Audit trimestriel des comptes actifs, suppression des comptes dormants.

2. Chiffrement (A.8.4)

Critère : Données confidentielles toujours protégées

Transmission:
  - TLS 1.2 minimum (recommandé 1.3+)
  - Certificats émis par AC reconnues
  - Clés d'au moins 2048 bits RSA (4096 recommandé)

Stockage:
  - AES-256 pour données sensibles (PII, contrats)
  - Gestion centralisée des clés (HSM si volume)
  - Destruction sécurisée à fin de vie (NIST SP 800-88)

Algorithmes interdits:
  - MD5, SHA-1 (déprécié 2017)
  - DES, RC4

3. Sauvegarde et récupération (A.8.6)

Critère : RTO < 4h, RPO < 1h pour données critiques

Stratégie 3-2-1:
  - 3 copies: originale + 2 backups
  - 2 types de media: disque + bande
  - 1 copie hors-site géographiquement distant

Exigences:
  - Sauvegarde différentielle quotidienne minimum
  - Test de récupération mensuel (restauration complète)
  - Rétention conforme légal (RGPD, CNIL)
  - Chiffrement des sauvegardes en transit et au repos

Outil recommandé : Veritas NetBackup, Commvault, ou Bacula (open source).

4. Incident management (A.8.7-A.8.9)

Critère : Détection < 1h, notification client < 24h

Processus: 1. Détection automatisée (SIEM, alertes)
  2. Escalade en 15 min
  3. Classification sévérité (P1-P4)
  4. Containment immédiat (isolation, révocation clés)
  5. Éradication (patch, reninitialisation)
  6. Recovery progressif
  7. Post-mortem 7j après (RCA)

Outils : Wazuh, Splunk, ELK Stack, SecurityOnion.

5. Gestion des changements (A.8.1)

Critère : Zéro change non autorisé

Process:
  - CAB (Change Advisory Board) obligatoire
  - Backout plan systématique
  - Fenêtre de change en basse activité
  - Rollback automatique en cas d'erreur
  - Communication 72h avant pour clients critiques

Documentation:
  - CMDB à jour (asset management)
  - Dépendances services cartographiées
  - Documentation architecture versionnée

6. Suppression et destruction sécurisée (A.7.4)

Critère : Aucune donnée récupérable

Supports réseau :
  - Overwrite 3 passes (DoD 5220.22-M)
  - Alternativement : chiffrement + clé détruite

Disques durs/SSD :
  - ATA Secure Erase
  - NVMe Secure Erase
  - Destruction physique si non réutilisable

Certificat de destruction obligatoire + photographie.

Timeline type : 9-18 mois

Mois 1-2    : Gap analysis
              └─> Écarts identifiés, priorités définies

Mois 3-4    : Planification SMSI
              ├─> Politiques écrites
              ├─> Organigramme sécurité
              └─> Budgets alloués

Mois 5-10   : Déploiement contrôles
              ├─> Accès logique durcis
              ├─> Chiffrement implémenté
              ├─> Sauvegarde testée
              ├─> Incident response opérationnelle
              └─> Formation équipe complète

Mois 11-12  : Audit interne
              ├─> Audit indépendant par équipe interne
              ├─> Non-conformités corrigées
              └─> Évidence recueillies (captures écran, logs, etc.)

Mois 13-14  : Audit stage 1
              ├─> Vérification documentation SMSI
              ├─> Entretiens avec stakeholders
              └─> Plan d'action si écarts mineurs

Mois 15-18  : Audit stage 2 (certification)
              ├─> Audit complet des contrôles
              ├─> Vérification sur site
              ├─> Tests techniques (pénétration partielle)
              └─> Certification ISO 27001 délivrée

Étapes détaillées

1. Gap Analysis (semaines 1-8)

Évaluez votre position actuelle contre 93 contrôles.

Matrice écarts (exemple):
  - A.5.1 Politique écrite: NON CONFORME (absence doc)
  - A.8.2 Identité unique: PARTIELLEMENT (SSH keys ok, mais ancien user)
  - A.8.4 Chiffrement: CONFORME (TLS 1.3, AES-256)
  - A.8.6 Sauvegarde: EN COURS (test en cours, pas formalisé)

Livrables : Rapport d'écarts par contrôle, timeline correction, budget.

2. Planification SMSI

Rédigez la Déclaration d'Applicabilité (SoA) : pour chaque contrôle, déclarez :

• ✓ Applicable → justification d'implémentation
• ✗ Non applicable → justification d'exclusion

Exemple SoA partielle :

3. Déploiement des 93 contrôles

Priorité stratégique pour infrastructure :

Indispensables (mois 5-6) :

• Contrôle d'accès (MFA, RBAC)
• Chiffrement (TLS, AES-256)
• Gestion des incidents (alertes SIEM)

Importants (mois 7-9) :

• Sauvegarde et DR
• Gestion des changements (CAB)
• Formation obligatoire

Essentiels (mois 10-12) :

• Audit logging systématique
• Séparation des environnements (prod/dev)
• Politique de sécurité formelle

4. Audit interne

Simulez l'audit du certifier avant le vrai audit.

Checklist :

• Tous les contrôles implémentés et documentés
• Preuves collectées (captures, logs, certificats)
• Personnel formé et compétent
• Incidents gérés via processus formalisé
• Sauvegarde testée (restore complet)
• Accès auditables (logs non répudiables)

5. Audit stage 1

Premier audit du certifier. Durée : 2-3 jours. Vérification documentaire et de maturité.

6. Audit stage 2

Audit complet sur 5-7 jours. Tests techniques, interviews, observations.

Checklist gap analysis

Scannez vos systèmes contre chaque thème :

Accès logique ✓

• SSO/OIDC centralisé (Keycloak, Azure AD)
• MFA activée pour tous les admin
• Audit trail (logs d'accès non modifiables)
• Révocation < 1h après départ
• Comptes de service sans accès interactif

Chiffrement ✓

• TLS 1.2+ pour tous les services
• Certificats valides et renouvelés auto
• AES-256 pour stockage sensible
• Gestion des clés cryptographiques centralisée
• Destruction sécurisée des clés décommissionnées

Sauvegarde ✓

• 3 copies (originale + 2 backups)
• Test mensuel de récupération complète
• Rétention politique formalisée
• Sauvegarde chiffrée et hors-site
• RTO/RPO définis et mesurés

Incidents ✓

• Processus incident formalisé
• SIEM en place (détection < 1h)
• Escalade opérationnelle définie
• Post-mortem obligatoire 7j après
• Notification client < 24h en cas de breach

Opérations ✓

• CAB (Change Advisory Board) établi
• Runbooks pour incidents critiques
• Séparation dev/staging/prod
• Monitoring 24/7 (uptime, perf, logs)
• Formation obligatoire pour l'équipe

Documentation SMSI minimale

Préparez ces documents :

SMSI/
├── Politique de sécurité générale (A.5.1)
├── Charte d'utilisation IT
├── Procédure gestion des incidents
├── Plan de continuité de service
├── Politique de sauvegarde
├── Procédure contrôle d'accès
├── Charte télétravail
├── Registre des risques (Risk Register)
├── Matrice de traçabilité (audit trail)
└── SoA (Statement of Applicability)

Chaque document : titre, date, version, approbation direction.

Outils recommandés

ISO 27001 s'intègre naturellement avec d'autres normes et cadres :

• RGPD compliance : Sécurité des données personnelles (A.8 critiques)
• CIS Benchmark : Durcissement Linux/Windows (contrôles A.8.2-A.8.4)
• Wazuh SIEM : Incident detection et logging (A.8.7-A.8.9)

Combinaison optimale pour infra : ISO 27001 (cadre global) + CIS (systèmes) + RGPD (données) + Wazuh (monitoring).

• ISO 27001:2022 Standard - ISO official
• ANSSI Recommandations de sécurité - France
• NIST Cybersecurity Framework - Alignement NIST
• CIS Controls - Implémentation
• CloudSecurityAlliance - Cloud-specific guidance

L'ISO 27001:2022 n'est pas qu'une certification : c'est une fondation structurée pour gouverner la sécurité informatique. Pour les hébergeurs et prestataires IT, elle rassure les clients, déverrouille des marchés réglementés et force la discipline des équipes.

Clés du succès :

1. Commencez par l'audit : Ne sous-estimez pas la durée réelle de conformité
2. Impliquez l'équipe : La sécurité n'est pas qu'IT, c'est organisationnel
3. Documentez tout : Les auditeurs adorent les traces écrites
4. Testez vos contrôles : Une sauvegarde non testée n'existe pas
5. Maintenez la conformité : Audits de surveillance annuels obligatoires

SHPV accompagne les infrastructures IT dans cette démarche en mettant en place des contrôles robustes sur les serveurs, la sauvegarde, l'accès et la détection d'incidents. Nous vous aidons à structurer votre SMSI et préparer vos audits de certification.