• Pourquoi ISO 27001
  • Conforme à la norme ISO 27001
  • Télécharger le guide

Appliquer la norme
ISO/IEC 27001 de sécurité
de l’information

Réduisez le risque, renforcez l’état de sécurité et inspirez la confiance des clients.

Qu’est-ce que la norme
ISO/IEC 27001 ?

What is the ISO/IEC 27001 standard?

La norme ISO/IEC 27001:2022 appartient à la série ISO/IEC 27000:2018 de normes et de contrôles en matière de sécurité de l’information. Ces normes ont été élaborées conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

La série ISO/IEC 27000 fournit aux entreprises des exigences indépendantes de la technologie et basées sur les risques pour la mise en œuvre d’un système de management de la sécurité de l’information (SMSI).

La norme ISO/IEC 27001:2022, en particulier, définit les exigences relatives à la mise en œuvre d’un SMSI, avec des contrôles visant à garantir la sécurité de l’information, la cybersécurité et la protection de la confidentialité.

Pourquoi l’entreprise doit-elle se certifier
ISO 27001 ?

L’entreprise doit obtenir la certification ISO 27001 si elle gère des données sensibles de tout type. Cela englobe les données personnelles, confidentielles, médicales ou de propriété intellectuelle.

La certification selon cette norme aide à établir la fiabilité de l’entreprise en matière de gestion des données et de sécurité. Des clients internationaux peuvent aussi demander cette certification comme preuve de solides pratiques de sécurité informatique.

ISO 27001 certification

L’application de la norme ISO 27001 permet de :

  • Identify risks

    Identifier les risques résultant des processus, de l’activité et de l’utilisation d’actifs logiciels ou matériels.

  • Mitigate these risks

    Prévenir ces risques avec une série complète d’exigences couvrant les processus, les stratégies et les actifs informatiques.

  • Improve business processes

    Améliorer les processus métier grâce à des exigences opérationnelles et des bonnes pratiques.

  • Enhance security posture

    Renforcer l’état de sécurité via des contrôles sectoriels et indépendants de la technologie qui s’appliquent aux entreprises de toutes tailles.

  • Ensure easier compliance

    Faciliter la conformité avec d’autres normes ou cadres réglementaires, comme les contrôles CIS, le RGPD, etc.

  • Earn customer trust

    Gagner la confiance des clients dans vos pratiques de sécurité des données en démontrant la conformité avec une norme de sécurité de l’information internationalement reconnue.

Comment mon entreprise peut-elle assurer
avec la norme ISO 27001 ?

La norme ISO 27001 contient dix clauses : sept clauses applicables et trois qui définissent la portée et les termes utilisés dans la norme.

AEn outre, le tableau A.1 de l’annexe A contient 93 contrôles répartis en quatre domaines clés : les contrôles organisationnels, les contrôles humains, les contrôles physiques et les contrôles technologiques. Ces contrôles proviennent des clauses 5 à 8 énumérées dans la norme ISO/IEC 27002:2022.

Pour sa certification selon cette norme, l’entreprise doit :
  • Remplir les exigences exposées dans les sept clauses de la norme.
  • Mettre en place tous les contrôles applicables énumérés dans l’annexe.

Si certains des contrôles exposés dans le tableau A.1 ne s’appliquent pas à votre entreprise, vous pouvez les ignorer. Cependant, vous devez expliquer pourquoi vous les avez ignorés dans un document de déclaration d’applicabilité qui sera communiqué à l’auditeur de certification.

La norme ISO 27001:2022 a été publiée en octobre 2022. Sa version antérieure, la norme ISO 27001:2013, comportait 114 contrôles dans 14 catégories énumérées à l’annexe A.

Si votre entreprise est conforme ISO 27001:2013, nous avons préparé une courte infographie qui associe les contrôles de la norme ISO 27001:2022 à ceux de la norme ISO 27001:2013.

Afficher l’infographie
  • Clause 4: Contexte de l’organisation
  • Clause 5: Leadership
  • Clause 6: Planification
  • Clause 7: Support
  • Clause 8: Réalisation
  • Clause 9: Évaluation des performances
  • Clause 10: Amélioration
Clause 4: Contexte de l’organisation

Cette clause couvre le contexte dans lequel le SMSI est mis en œuvre. Vous devez décrire l’activité de votre entreprise, les exigences des différentes parties prenantes (internes et externes) et la portée du SMSI. Cette information aide les auditeurs à comprendre l’objectif du SMSI, ce qui leur permet de bien l’évaluer.

Context of the organization
Clause 5: Leadership
Clause 6: Planification
Clause 7: Support
Clause 8: Réalisation
Clause 9: Évaluation des performances
Clause 10: Amélioration

Comment ManageEngine
help me comply with the
exigences ISO 27001 ?

La norme ISO 27001 exige une combinaison de politiques, de processus et de contrôles informatiques pour assurer la sécurité de l’information. Les équipes de conformité internes et la direction peuvent établir et intégrer une politique de sécurité de l’information adaptée aux processus de l’entreprise.

En parallèle, la suite complète de solutions de gestion informatique de ManageEngine aide à mettre en place de nombreux contrôles relatifs aux technologies de l’information exposés à l’annexe A pour créer un SMSI de pointe. Voici un résumé de la façon dont ManageEngine aide à remplir chacun de ces contrôles.

ISO 27001 requirements
  • Contrôles organisationnels
  • Contrôles humains
  • Contrôles physiques
  • Contrôles technologiques
Contrôles organisationnels

Cette catégorie couvre les contrôles qui ne relèvent pas des trois autres (contrôles humains, physiques et technologiques). Elle contient 37 contrôles.

Certains d’entre eux sont axés sur les processus et les politiques (par exemple, 5.1 Politiques de sécurité de l’information ou 5.4 Responsabilités de la direction). D’autres sont des contrôles liés à la technologie ou une combinaison des deux (comme 5.7 Veille sur les menaces, 5.15 Contrôle d’accès ou 5.34 Confidentialité et protection des données personnelles).

Répondez à ces contrôles avec ManageEngine en :

  • Détectant les anomalies et les incidents de sécurité en temps réel grâce à la détection des menaces à moteur IA et ML et des intégrations faciles à des flux de veille sur les menaces tiers.
  • Imposant l’accès à privilège minimum et la sécurité, la gestion et la surveillance de l’accès aux données, aux réseaux, aux appareils et aux autres ressources selon le besoin.
  • Dressant et tenant un inventaire de tous les actifs logiciels et matériels à travers l’organisation.
  • Créant et tenant un inventaire précis de tout le réseau.
  • Recensant, marquant et protégeant les données sensibles au repos, en cours d’utilisation et en transit.
  • Assurant le respect des exigences réglementaires informatiques avec des rapports réguliers et l’application de contrôles d’accès, de sécurité et autres.
  • Effectuant des sauvegardes régulières des données du réseau, d’annuaire et des terminaux pour assurer une reprise d’activité rapide.
Contrôles humains

Cette catégorie compte huit contrôles visant à garantir que les individus qui accèdent aux données opérationnelles ont été bien sélectionnés et formés aux pratiques et politiques de sécurité de l’information de l’entreprise.

Les contrôles sont principalement axés sur les processus et les politiques (par exemple, 6.1 Filtrage ou 6.4 Processus disciplinaire) avec quelques contrôles technologiques (par exemple, 6.7 Travail à distance).

Répondez à ces contrôles avec ManageEngine en :

  • Déployant des solutions pour activer, régir et surveiller des sessions d’accès à distance sécurisé pour le personnel en télétravail.
  • Cryptant les terminaux avec un chiffrement AES 256 bits et les utilisant en mode conforme FIPS 140-2 pour garantir des opérations à distance fiables et sécurisées.
  • Permettant au personnel de signaler les incidents via plusieurs canaux grâce à notre suite de gestion des services unifiée et son intégration à des outils de messagerie instantanée, de courrier électronique et autres.
  • Utilisant des intégrations à des outils de gestion informatique et de collaboration pour assurer une journalisation des incidents omnicanal.
  • Triant et résolvant tous les incidents avec des automatisations de workflow de bout en bout et une assistance à IA.
Contrôles physiques

Cette catégorie contient 14 contrôles liés à la sécurité de l’environnement physique de l’entreprise.

Ces contrôles englobent des bonnes pratiques comme des politiques de bureau claires et diverses mesures physiques et technologiques. L’objectif consiste à limiter et surveiller l’accès aux zones et aux actifs contenant des données sensibles et à les protéger contre les menaces physiques, notamment les catastrophes naturelles.

Répondez à ces contrôles avec ManageEngine en :

  • Classant, gérant et surveillant les périphériques de stockage et les terminaux tout au long de leur cycle de vie.
  • Bloquant ou restreignant l’usage de périphériques conformément aux politiques de sécurité de l’information de l’entreprise.
  • Vérifiant que tous les logiciels sous licence et les données d’entreprise sont supprimés des terminaux et des dispositifs de stockage avant leur cession avec le site UEMS.
Contrôles technologiques

Cette catégorie contient 34 contrôles axés sur la sécurité de divers éléments technologiques d’une entreprise.

Ces contrôles couvrent tous les aspects de l’infrastructure informatique d’une entreprise, notamment la gestion et l’authentification de l’accès, la gestion des terminaux, la prévention de la perte de données, la surveillance du réseau, la sécurité informatique, etc.

Répondez à ces contrôles avec ManageEngine en :

  • Gérant et sécurisant les identités, les privilèges et l’accès des utilisateurs aux ressources matérielles et logicielles sensibles.
  • Surveillant, gérant et sécurisant tous les terminaux de l’organisation, dont les ordinateurs portables, les serveurs, les smartphones et les appareils endurcis.
  • Mettant en œuvre une sécurité proactive en temps réel avec une détection des menaces et des anomalies à moteur IA au moyen d’outils comme un antivirus nouvelle génération et l’analyse UEBA.
  • Assurant une surveillance constante de toute l’infrastructure réseau, du stockage aux applications.
  • Prévoyant les besoins futurs en ressources, licences et capacité réseau grâce à l’analyse prédictive.
  • Détectant et sécurisant les données sensibles comme celles personnelles, les brevets, les données de terminal et les identifiants privilégiés dans toute l’organisation.
  • Créant et adoptant de solides workflows de gestion des modifications, des incidents et des configurations.
Mapping ManageEngine products to ISO 27001 controls

Correspondance des produits ManageEngine
avec les contrôles ISO 27001

Vous voulez savoir exactement comment les offres de ManageEngine peuvent vous aider à respecter les contrôles ISO 27001 ? Consultez notre aide-mémoire pour un aperçu rapide ou téléchargez le guide pour de plus amples détails.

Obtenez la feuille de tricheTélécharger le
guide ISO 27001

Découvrir comment ManageEngine aide à se mettre en
conformité avec la norme ISO 27001

Téléchargez notre guide ISO 27001 pour obtenir une correspondance des produits ManageEngine avec les exigences de conformité de chaque contrôle.

Please enter the name

En cliquant sur Télécharger maintenant, vous acceptez le traitement de vos données à caractère personnel selon la Politique de confidentialité.

Avertissement :

Le plein respect de la norme ISO 27001:2022 exige une diversité de solutions, de procédures, de rôles et de technologies. Les moyens indiqués ci-dessus permettent de répondre à certains contrôles de la norme ISO 27001 avec des outils de gestion informatique. Ce document fourni à titre informatif uniquement ne constitue pas des conseils juridiques pour la mise en œuvre de la norme 27001:2022. Les entreprises doivent réaliser une étude indépendante quant aux fonctionnalités de ManageEngine et dans quelle mesure elles aident à respecter la norme. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, et décline toute responsabilité ou obligation quant aux informations contenues dans le présent document.

Téléchargez le guideDemander un devis
X

Demandez dès maintenant

Please enter your name
Please enter the phone number
Please enter the valid email

Please select country

#Sous réserve de la disponibilité de notre expert solution.

Please mention your requirement

En cliquant sur "Soumettre", vous acceptez le traitement de vos données personnelles conformément à la Politique de confidentialité.

popup closesuccess

Thank you for downloading our guide on complying with the ISO 27001 standard. It will open shortly.

We have also emailed you the download link.

popup closesuccess

Thank you for your interest in our solutions.

Our experts will get in touch with you soon.