93 contrôles. 25 sont critiques.
Voici la carte.
L'Annexe A d'ISO 27001:2022 liste 93 contrôles. Beaucoup s'y noient. Bonne nouvelle : 25 contrôles couvrent 80 % des audits PME. Ce chapitre vous donne la carte des 4 thèmes, les 25 must-have, et les contrôles que vous pouvez raisonnablement exclure. Pour la fiche détaillée d'un contrôle, voir A.5.15 dans l'Annexe A.
« Plan de traitement validé : 67 contrôles inclus dans la SOA. Mon DSI me regarde : "On va vraiment implémenter 67 contrôles en 12 semaines ? On sort du software, là." Je lui montre la liste. La moitié est déjà partiellement en place (MFA, sauvegardes, antivirus). Sur les 67, il y a peut-être 25 vrais nouveaux chantiers. Le reste, c'est de la formalisation. »
Bonne intuition de Sandra. Sur 67 contrôles inclus, 25 sont des chantiers majeurs et 42 sont de la formalisation de pratiques existantes. Ce chapitre vous donne les 25.
1. Vue d'ensemble : les 4 thèmes (nouveauté ISO 27001:2022)
ISO 27001:2022 a réorganisé les contrôles : au lieu de 14 chapitres comme en 2013, la version 2022 les regroupe en 4 grands thèmes. C'est plus lisible, plus simple à mémoriser, et c'est ce que demandent les certificateurs.
Organisationnels
Politiques, procédures, gouvernance
A.5.15 Contrôle d'accès, A.5.23 Sécurité dans le cloud, A.5.30 PCA TIC
Personnel
RH, contrats, formation
A.6.3 Sensibilisation, A.6.5 Responsabilités après cessation, A.6.7 Télétravail
Physiques
Bureaux, accès physiques, équipements
A.7.4 Surveillance physique, A.7.7 Bureau et écran propres, A.7.14 Élimination
Technologiques
IT, infrastructure, dev sécurisé
A.8.5 Authentification, A.8.13 Sauvegardes, A.8.24 Cryptographie, A.8.28 Codage sécurisé
2. Thème A.5 — Contrôles organisationnels (37)
Le plus gros bloc. Couvre les politiques, les procédures, la gouvernance, la conformité. C'est essentiellement de la documentation. Voici les regroupements logiques + le top 10 critique.
3. Thème A.6 — Contrôles relatifs au personnel (8)
Le plus petit thème, mais essentiel pour passer l'audit. Couvre tout le cycle de vie du collaborateur — du recrutement au départ. Tous les 8 contrôles sont quasi-toujours inclus sauf cas exotiques (boîte unipersonnelle).
4. Thème A.7 — Contrôles physiques (14)
Couvre les locaux, l'accès physique, le matériel. Pour les PME 100 % cloud / full-remote, beaucoup de ces contrôles peuvent être légitimement exclus avec justification.
5. Thème A.8 — Contrôles technologiques (34)
Le 2e plus gros bloc. Couvre l'IT, les infrastructures, le dev sécurisé. C'est le terrain de jeu du DSI. La plupart des contrôles sont déjà partiellement en place dans une PME tech moderne — il s'agit de formaliser et documenter.
6. Top 25 contrôles must-have pour PME (à inclure systématiquement)
Récapitulatif : voici les 25 contrôles que 99 % des PME doivent incluredans leur SOA. C'est votre checklist de chantier sécurité priorisée.
| # | ID | Nom | Effort PME 30p |
|---|---|---|---|
| 1 | A.5.1 | Politiques de sécurité de l'information (PSSI) | 4 h rédaction |
| 2 | A.5.7 | Renseignements sur les menaces (veille) | 2 h setup CERT-FR |
| 3 | A.5.9 | Inventaire des actifs | 8 h initial + 1 h/mois |
| 4 | A.5.15 | Contrôle d'accès | 4 h + matrice mensuelle |
| 5 | A.5.16 | Gestion des identités | 8 h IAM léger |
| 6 | A.5.19 | Relations fournisseurs (DPA, contrats) | 6 h tour des fournisseurs |
| 7 | A.5.23 | Sécurité dans le cloud | 4 h politique cloud |
| 8 | A.5.24 | Plan de réponse à incident (PIC) | 8 h rédaction |
| 9 | A.5.31 | Exigences légales (NIS2, RGPD) | 4 h cartographie |
| 10 | A.6.3 | Sensibilisation et formation | 12 h initial + récurrent |
| 11 | A.6.5 | Offboarding | 2 h procédure + 30 min/départ |
| 12 | A.6.7 | Politique télétravail | 3 h rédaction |
| 13 | A.7.7 | Bureau et écran propres | 1 h politique + 0,5 j sensibilisation |
| 14 | A.7.9 | Sécurité du matériel hors site | 4 h chiffrement + politique BYOD |
| 15 | A.7.14 | Élimination sécurisée | 2 h procédure + bordereau |
| 16 | A.8.2 | Privilèges admin séparés | 4 h refonte AD/IAM |
| 17 | A.8.5 | MFA partout | 8 h déploiement |
| 18 | A.8.7 | EDR sur postes | 4 h déploiement Defender/équivalent |
| 19 | A.8.8 | Gestion vulnérabilités | 4 h setup scan + process |
| 20 | A.8.13 | Sauvegardes + tests restauration | 6 h validation + 2 h/trim test |
| 21 | A.8.15 | Journalisation | 4 h centralisation logs |
| 22 | A.8.16 | Monitoring activités | 6 h SIEM léger ou Datadog |
| 23 | A.8.20 | Sécurité réseau | 8 h audit + segmentation |
| 24 | A.8.24 | Cryptographie | 4 h politique + audit TLS |
| 25 | A.8.28 | Codage sécurisé (si dev) | 12 h formation + tooling |
7. Les contrôles skip-ables : à exclure légitimement à 95 %
Voici les contrôles qui peuvent être exclus de la SOA dans 95 % des cas pour une PME tech moderne. La justification reste obligatoire dans la SOA (voir chapitre 7).
8. Les 4 vérités tacites sur les 93 contrôles
Récapitulatif du chapitre 8
- 93 contrôles en 4 thèmes : 5 (37 organisationnels), 6 (8 personnel), 7 (14 physiques), 8 (34 technologiques).
- 25 contrôles must-have couvrent 80 % de l'audit pour une PME.
- 11 contrôles "nouveaux 2022" sont sur-testés (A.5.7, A.5.23, A.8.9, A.8.16, etc.).
- Une PME peut légitimement exclure 10-15 contrôles avec justification.
- 130-180 h + 8-15 k€/an d'outils pour les 25 must-have (PME 30p).
- ISO 27002 est obligatoire pour avoir le détail d'application — ou Kyrionn intégré.
Vérifiez votre compréhension
Vous avez la carte des 93 contrôles. Le chapitre 9 vous prépare à les vérifier vous-même via l'audit interne.