— RéglementationISO 27001 : sécurité de l'information
Le référentiel international de la sécurité de l'information. Structurez votre SMSI, préparez votre certification, évaluez vos fournisseurs.
Contrôles Annexe A
Clauses normatives
Domaines SMSI
Préparation max.
ISO 27001 est le standard international de référence pour la gestion de la sécurité de l'information. Il définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et constitue la base de la certification reconnue mondialement.
Pour beaucoup d'organisations, la certification ISO 27001 est devenue un pré-requis commercial : les donneurs d'ordre l'exigent, les appels d'offres en font un critère, et les régulateurs la reconnaissent comme preuve de bonne gouvernance sécurité.
Mais la certification n'est que la partie visible. Ce qui compte, c'est la structuration réelle de votre SMSI : analyse de risques, contrôles de l'annexe A, documentation, amélioration continue. Et surtout : l'évaluation de vos fournisseurs, car ISO 27001 exige explicitement de maîtriser les risques liés aux tiers (contrôles A.5.19 à A.5.23).
Ce que couvre ISO 27001
Gouvernance
Politique de sécurité, rôles et responsabilités, implication de la direction.
Gestion des risques
Identification des menaces, analyse des vulnérabilités, traitement des risques. C'est le cœur du SMSI.
Contrôles de l'annexe A
93 contrôles organisationnels, humains, physiques et technologiques. De la gestion des accès à la continuité d'activité.
Documentation
Politiques, procédures, déclaration d'applicabilité (SoA), registres de risques. La certification exige un niveau de formalisation élevé.
Amélioration continue
Audits internes, revues de direction, actions correctives. ISO 27001 est un cycle PDCA, pas un exercice ponctuel.
Pourquoi évaluer aussi vos fournisseurs
ISO 27001 exige explicitement de maîtriser les risques liés aux fournisseurs et prestataires ayant accès à vos informations. Les contrôles A.5.19 à A.5.23 de l'annexe A couvrent la politique de sécurité fournisseurs, les exigences contractuelles, la gestion de la chaîne d'approvisionnement et le suivi des performances.
contrôles de l'annexe A
En pratique, cela signifie que vous devez évaluer la posture de sécurité de vos fournisseurs critiques, formaliser des exigences contractuelles, et suivre l'évolution de leur niveau de risque. L'auditeur de certification vérifiera que vous avez mis en place un processus structuré et proportionné. Conitiv fournit exactement les outils nécessaires : scoring cyber automatisé, questionnaires ISO 27001 et audits probants.
Comment Conitiv vous aide
Questionnaire ISO 27001
Structuré et aligné sur les exigences du standard, incluant l'annexe A. Mesure de maturité et préparation à la certification.
Cyber rating de vos fournisseurs
Scoring non intrusif de la posture cyber. Évaluation des contrôles A.5.19 à A.5.23 (relations fournisseurs).
Audit probant
Vérification sur pièces par des consultants experts. Rapports opposables pour les tiers stratégiques.
Analyse des écarts
Identification des failles, priorisation des actions, plan réaliste pour arriver à l'audit de certification en confiance.
Non. Conitiv vous prépare à la certification en évaluant votre maturité, en identifiant les écarts et en structurant votre plan d'action. L'audit de certification reste réalisé par un organisme accrédité (Bureau Veritas, AFNOR, etc.). Conitiv vous aide à y arriver en confiance.
Cela dépend de votre niveau de maturité actuel. En moyenne, comptez 6 à 12 mois pour structurer votre SMSI et vous préparer à l'audit initial. L'auto-évaluation Conitiv permet d'identifier rapidement les écarts et de prioriser les actions.
Oui. Le questionnaire est structuré pour couvrir les exigences du corps de la norme (clauses 4 à 10) et les 93 contrôles de l'annexe A. Il permet de mesurer votre maturité sur chaque domaine et d'identifier les contrôles non couverts.