ISO 27001 : Le référentiel international de management de la sécurité de l’information

La cybersécurité est devenue un enjeu stratégique majeur pour toutes les organisations. Avec la multiplication des cyberattaques – qui ont augmenté de 38% en France entre 2022 et 2023 (source : ANSSI, 2023) – et le durcissement des réglementations européennes comme NIS 2 et le Cyber Resilience Act, la mise en place d’un système de management de la sécurité de l’information (SMSI) robuste n’est plus optionnelle. La norme ISO/IEC 27001 s’impose comme le référentiel international de référence pour structurer et déployer une démarche de sécurité de l’information efficace et reconnue.

La norme ISO 27001 appartient à la famille ISO 27000, un ensemble cohérent de standards internationaux couvrant tous les aspects de la gestion de la sécurité de l’information. Adoptée par plus de 60 000 organisations dans 190 pays (source : ISO Survey, 2023), ISO 27001 permet de protéger les actifs informationnels critiques, de répondre aux exigences réglementaires croissantes et de rassurer les partenaires commerciaux. Pour les industriels français et les fabricants de produits numériques, cette norme constitue un socle fondamental pour démontrer leur conformité aux nouvelles obligations européennes tout en protégeant leurs environnements IT et OT/IoT.

Qu’est-ce que la norme ISO 27001 ?

Historique et évolution de la norme

La norme ISO/IEC 27001 trouve ses origines dans le standard britannique BS 7799, publié en 1995. Ce référentiel pionnier a été internationalisé en 2005 sous la désignation ISO/IEC 27001:2005, marquant la reconnaissance mondiale de l’importance d’un cadre structuré pour la sécurité de l’information. Une révision majeure est intervenue en 2013 avec ISO/IEC 27001:2013, qui a introduit une structure harmonisée avec les autres normes de systèmes de management et renforcé l’approche par les risques.

La version actuellement en vigueur, ISO/IEC 27001:2022, publiée en octobre 2022, a profondément remanié l’annexe A, réduisant le nombre de mesures de sécurité de 114 à 93 contrôles mieux organisés et plus alignés avec les menaces contemporaines. Les modifications reflètent l’évolution du paysage des menaces cyber, l’émergence du cloud computing, la généralisation du télétravail et l’importance croissante de la cybersécurité des environnements OT et IoT. La version française officielle NF EN ISO/IEC 27001:2022 est disponible auprès de l’AFNOR (source : AFNOR, 2023).

Objectifs et périmètre du SMSI

Un Système de Management de la Sécurité de l’Information (SMSI) est une approche systématique permettant de gérer les informations sensibles d’une organisation de manière à en garantir la confidentialité, l’intégrité et la disponibilité. Ces trois piliers, appelés triade CIA, constituent le fondement de tout dispositif de sécurité de l’information.

L’objectif premier d’ISO 27001 est de fournir un cadre méthodologique permettant aux organisations d’identifier leurs actifs informationnels critiques, d’évaluer les risques de sécurité auxquels ils sont exposés, et de mettre en œuvre des mesures de protection appropriées et proportionnées. Le SMSI adopte une vision holistique englobant les aspects organisationnels, humains, juridiques et technologiques de la sécurité.

Le périmètre du SMSI est défini par l’organisation elle-même en fonction de son contexte, de ses activités et de ses enjeux. Pour les industriels, il est fréquent de définir un périmètre incluant à la fois les systèmes d’information traditionnels (IT) et les systèmes de contrôle industriel (OT), reconnaissant ainsi la nécessité d’une gouvernance unifiée de la cybersécurité – approche explicitement encouragée par la directive NIS 2 (source : Directive NIS 2, 2022).

Structure de la norme ISO/IEC 27001:2022

La norme ISO 27001 est structurée en deux parties complémentaires. Les chapitres 4 à 10 constituent le corps normatif et énoncent les exigences obligatoires pour établir, mettre en œuvre, maintenir et améliorer continuellement un SMSI. Ces chapitres suivent la logique du cycle PDCA (Plan-Do-Check-Act), principe fondamental des systèmes de management ISO. Ils couvrent le contexte de l’organisation, le leadership, la planification avec l’appréciation des risques, le support, les activités opérationnelles, l’évaluation des performances et l’amélioration continue.

L’annexe A liste 93 mesures de sécurité organisées en 4 thématiques : organisationnel (37 mesures), personnes (8 mesures), physique (14 mesures) et technologique (34 mesures). Ces contrôles ne sont pas tous obligatoires : chaque organisation doit produire une Déclaration d’Applicabilité (SoA) qui justifie, pour chaque mesure, son application ou sa non-application en fonction de l’analyse de risques menée. Cette approche flexible permet d’adapter le référentiel à des contextes très variés, du digital à l’industriel OT/IoT (source : ISO/IEC 27001:2022).

Comment fonctionne la famille ISO 27000 ?

Vue d’ensemble de la suite ISO 27000

La famille ISO 27000 regroupe plus d’une cinquantaine de normes internationales couvrant l’ensemble des aspects de la gestion de la sécurité de l’information. ISO/IEC 27000 constitue le glossaire fondamental. ISO/IEC 27001, la seule norme certifiable, établit les exigences pour un SMSI. ISO/IEC 27002 fournit des recommandations pour la mise en œuvre des 93 mesures de sécurité. ISO/IEC 27005 traite de la gestion des risques.

Les normes sectorielles adaptent les contrôles à des contextes spécifiques : ISO/IEC 27017 pour le cloud computing, ISO/IEC 27018 pour la protection des données personnelles dans le cloud, et surtout ISO/IEC 27019 pour les systèmes de contrôle de processus industriels. Cette dernière ajoute 41 contrôles spécifiques couvrant la segmentation réseau IT/OT, la gestion des accès physiques aux équipements industriels, ou encore les procédures de patch management adaptées aux contraintes de disponibilité des environnements OT (source : ISO, 2023).

Les 93 mesures de sécurité de l’annexe A

L’annexe A organise les 93 mesures selon quatre thématiques. Les contrôles organisationnels (37 mesures) couvrent la gouvernance de la sécurité, incluant les politiques, la gestion des risques, les relations avec les fournisseurs, la conformité réglementaire et la continuité d’activité. Les contrôles relatifs aux personnes (8 mesures) traitent du facteur humain : screening, sensibilisation et formation, processus disciplinaires.

Les contrôles physiques (14 mesures) encadrent la sécurité physique des locaux et équipements : périmètres de sécurité, contrôles d’accès, protection contre les menaces environnementales, destruction sécurisée des supports. Les contrôles technologiques (34 mesures) couvrent les aspects techniques : gestion des identités et des accès, chiffrement, sécurité des réseaux et segmentation, protection contre les malwares, gestion des vulnérabilités, journalisation et monitoring, sauvegarde, développement sécurisé.

La révision 2022 a introduit 11 nouveaux contrôles absents de la version 2013 : 5.7 « Threat intelligence », 5.23 « Sécurité dans le cloud », 5.30 « Continuité TIC », 8.9 « Gestion de la configuration », 8.11 « Data masking », 8.12 « Prévention des fuites de données » (DLP), 8.16 « Monitoring », 8.23 « Web filtering » et 8.28 « Secure coding », répondant notamment aux exigences du Cyber Resilience Act (source : ISO/IEC 27001:2022).

Quelles sont les étapes de mise en œuvre d’ISO 27001 ?

Phase 1 : Analyse de contexte et appréciation des risques

La première phase consiste à établir les fondations du SMSI en définissant le contexte organisationnel et en réalisant une appréciation des risques méthodique. L’analyse de contexte impose de déterminer les enjeux externes et internes pertinents : environnement réglementaire (NIS 2, RGPD, CRA), contexte concurrentiel, évolutions technologiques, culture organisationnelle, processus métier critiques, architecture technique IT et OT.

L’appréciation des risques suit une méthodologie structurée : identification des actifs informationnels (bases de données, applications, équipements OT, propriété intellectuelle), identification des menaces (cyberattaques, pannes, erreurs humaines), identification des vulnérabilités exploitables, et évaluation du risque combinant probabilité et impact. Pour les environnements industriels, cette analyse doit couvrir les risques OT : compromission d’automates, manipulation de paramètres de production, atteintes à la sécurité physique des personnes (source : ANSSI, EBIOS Risk Manager, 2019).

Phase 2 : Traitement des risques et plan d’action

L’organisation définit sa stratégie de traitement des risques en choisissant pour chaque risque : modification (mise en œuvre de mesures de sécurité), évitement, partage (cyberassurance), ou acceptation. Le plan de traitement détaille les contrôles sélectionnés parmi les 93 mesures de l’annexe A, complétés si nécessaire par ISO 27019 ou IEC 62443 pour les industriels.

La Déclaration d’Applicabilité (SoA) documente, pour chacun des 93 contrôles, son applicabilité et sa justification. La priorisation s’appuie sur la criticité des risques, les contraintes budgétaires, les dépendances techniques et les fenêtres de maintenance disponibles, particulièrement contraignantes pour les environnements OT.

Phase 3 : Implémentation et sensibilisation

Le déploiement des contrôles organisationnels passe par la rédaction de la documentation du SMSI : politique de sécurité validée par la direction, procédures de gestion des incidents, de gestion des changements, de sauvegarde. Pour les industriels, cette documentation doit couvrir les spécificités OT : procédures d’accès aux zones de production, coordination IT/OT, cybersécurité OT/IoT.

Les contrôles techniques nécessitent des projets d’infrastructure : segmentation réseau IT/OT selon le modèle Purdue, firewalls industriels, diodes unidirectionnelles, déploiement de SIEM adaptés aux environnements hybrides IT/OT, solutions de monitoring des protocoles industriels.

La sensibilisation et formation (contrôle 6.3) constitue un facteur critique : 82% des violations impliquent un facteur humain (source : Verizon DBIR, 2023). Le programme doit couvrir tous les collaborateurs sur les bonnes pratiques cyber, les équipes IT sur les nouvelles solutions, et les équipes OT/maintenance sur les spécificités de la cybersécurité industrielle (source : Directive NIS 2, Article 20, 2022).

Phase 4 : Audit et certification

La certification ISO 27001 est menée par un organisme certificateur accrédité (AFNOR Certification, Bureau Veritas, SGS…) selon la norme ISO/IEC 27006. L’audit de phase 1 (documentaire) vérifie l’existence et la complétude de la documentation. L’audit de phase 2 (implémentation) se déroule sur site et vérifie la mise en œuvre effective des contrôles : entretiens, inspections des locaux techniques, examen des configurations, tests de processus.

En cas de non-conformités majeures, l’organisation doit mettre en œuvre des actions correctives vérifiées lors d’un audit complémentaire. Le certificat ISO 27001 est délivré pour 3 ans, avec des audits de surveillance annuels. Le coût total varie de 15 000 à 50 000 euros pour une PME, jusqu’à 100 000-300 000 euros pour un grand groupe industriel avec sites multiples et environnements OT complexes (source : estimations marché français, 2023).

ISO 27001 pour les environnements industriels et OT/IoT

Spécificités de la cybersécurité OT vs IT

La cybersécurité OT présente des caractéristiques fondamentalement différentes de la sécurité IT. La première différence concerne les priorités de sécurité : alors que la sécurité IT privilégie la confidentialité, puis l’intégrité et la disponibilité, la sécurité OT inverse cette hiérarchie. La disponibilité est absolument critique (un arrêt coûte entre 50 000 et 500 000 euros par heure selon les secteurs, source : ARC Advisory Group, 2022), suivie de l’intégrité des processus, la confidentialité n’arrivant qu’en troisième position.

Les architectures techniques diffèrent radicalement : environnements IT standardisés avec cycles de renouvellement courts (3-5 ans), versus OT hétérogènes avec équipements propriétaires et durées de vie dépassant 15-25 ans. De nombreux équipements OT fonctionnent sous systèmes d’exploitation non supportés (Windows XP présent dans 28% des environnements industriels français, source : Kaspersky ICS CERT, 2023), sans possibilité de mise à jour.

Les protocoles industriels historiques (Modbus, Profinet, OPC) n’ont pas été conçus avec des exigences de cybersécurité : absence de chiffrement, pas d’authentification forte. Les compétences humaines constituent un défi majeur : dichotomie entre équipes OT (expertise industrielle, formation cyber limitée) et équipes IT/sécurité (maîtrise cyber, méconnaissance des contraintes opérationnelles et risques safety). L’ANSSI propose un guide complet sur la cybersécurité des systèmes industriels pour accompagner cette convergence (source : ANSSI, 2022)..

Adapter les mesures ISO 27001 aux contraintes industrielles

La segmentation réseau IT/OT (contrôle 8.20) constitue la mesure fondamentale. L’architecture s’appuie sur le modèle Purdue : niveaux 0 à 5 (processus physique → contrôle intelligent → SCADA → MES → ERP → réseau entreprise). La segmentation crée des zones de sécurité séparées par des firewalls industriels, diodes unidirectionnelles pour flux critiques, avec règles deny-by-default et principe de défense en profondeur (source : IEC 62443-3-2, 2020).

La gestion des vulnérabilités (contrôle 8.8) doit être repensée : veille spécifique OT (ICS-CERT, CERT-FR de l’ANSSI), évaluation contextuelle, validation constructeur obligatoire, tests en environnement isolé, déploiement lors d’arrêts planifiés. Pour les systèmes ne pouvant être patchés, déployer des mesures compensatoires : isolation renforcée, monitoring spécifique, restrictions d’accès, solutions de protection agentless.

Le contrôle d’accès (contrôles 5.15 à 5.18, 8.2, 8.3, 8.5) cumule dimensions logique et physique : gestion des identités (opérateurs, maintenance, constructeurs externes, comptes d’urgence), authentification multi-facteurs adaptée aux contraintes opérationnelles, contrôle d’accès physique strict (badges, vidéosurveillance, interdiction clés USB/smartphones personnels – vecteur d’introduction de malwares comme Stuxnet, source : Symantec, 2011).

Le monitoring (contrôle 8.16) nécessite des IDS/IPS industriels capables d’analyser le trafic Modbus, Profinet, OPC, de détecter comportements anormaux sans bloquer (trop risqué en production). Les plateformes de visibilité OT cartographient les équipements, identifient le shadow OT, détectent les vulnérabilités – prérequis indispensable confirmé par NIS 2 qui impose un inventaire exhaustif des actifs critiques (source : Directive NIS 2, Article 21.2, 2022).

Quelle articulation entre ISO 27001 et ISA/IEC 62443 ?

Complémentarité des deux référentiels

ISO 27001 et ISA/IEC 62443 constituent deux référentiels complémentaires. ISO 27001 fournit le cadre de management applicable à l’ensemble de l’organisation IT et OT, couvrant gouvernance, gestion des risques, aspects organisationnels/humains, conformité réglementaire. IEC 62443 est spécifiquement dédié à la cybersécurité des systèmes d’automatisation et de contrôle industriels (IACS), avec 13 documents fournissant des exigences techniques très détaillées sur l’ensemble du cycle de vie.

La complémentarité idéale : ISO 27001 comme référentiel de gouvernance global structurant le SMSI, et IEC 62443 comme référentiel technique définissant les exigences détaillées de sécurisation des zones OT. Cette approche est encouragée par NIS 2 qui cite explicitement ISO 27001 et IEC 62443 pour les industriels, et par le Cyber Resilience Act qui référence IEC 62443-4-1 et 4-2 pour les composants industriels (source : Cyber Resilience Act, Annexe II, 2024).

Cartographie des exigences communes

Les exigences de gestion des risques convergent : chapitre 6.1 d’ISO 27001 impose une appréciation des risques ; IEC 62443-3-2 définit une méthodologie spécifique pour les systèmes IACS avec détermination des niveaux de sécurité cibles. Une organisation peut conduire une analyse globale ISO 27001, puis approfondir pour les zones OT critiques avec IEC 62443-3-2.

La segmentation réseau : contrôle 8.20 d’ISO 27001 impose la ségrégation ; IEC 62443-3-3 fournit l’exigence SR 5.1 détaillant les mécanismes (séparation physique/logique, firewalls, deny by default, inspection protocoles). La gestion des identités : contrôles ISO 27001 5.15-5.18, 8.2-8.5 ; IEC 62443-3-3 détaille 7 exigences SR 1.1 à SR 1.13 (authentification, autorisation, traçabilité).

Le développement sécurisé : ISO 27001 contrôles 8.25 à 8.31 ; IEC 62443-4-1 détaille un processus complet pour les produits industriels. Pour les fabricants soumis au CRA, la conformité conjointe ISO 27001 (SMSI organisation) + IEC 62443-4-1 (développement) + IEC 62443-4-2 (composants) fournit une réponse cohérente (source : Cyber Resilience Act, Article 13, 2024).

Stratégie d’implémentation combinée

Approche top-down : établir d’abord le SMSI ISO 27001 global IT/OT, puis approfondir les exigences OT via IEC 62443. Pertinent pour organisations déjà engagées dans ISO 27001 ou devant démontrer rapidement leur conformité NIS 2. Approche bottom-up : démarrer par la sécurisation technique des systèmes OT critiques selon IEC 62443, puis étendre à un SMSI ISO 27001 global. Convient aux industriels avec risques OT critiques nécessitant traitement prioritaire.

Approche intégrée : déployer simultanément les deux référentiels avec documentation unifiée. Le SMSI ISO 27001 intègre explicitement les exigences IEC 62443 : politique référençant les niveaux de sécurité IEC 62443, appréciation des risques combinant ISO 27005 et IEC 62443-3-2, SoA établissant correspondances entre contrôles. Plus exigeante initialement, cette approche évite les remises en cause ultérieures et assure cohérence optimale (source : ANSSI, 2023).

ISO 27001 et conformité aux réglementations européennes

ISO 27001 comme socle pour NIS 2

La directive NIS 2, adoptée en décembre 2022 et devant être transposée en droit français avant octobre 2024, impose des obligations renforcées de cybersécurité aux opérateurs de services essentiels (OSE) et entités importantes (EI). ISO 27001 constitue une réponse structurée pour répondre à une large partie de ces exigences.

L’article 21 de NIS 2 détaille les mesures de gestion des risques : politiques d’analyse de risques, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, évaluation de l’efficacité, formation, cryptographie, sécurité RH, contrôle d’accès, authentification multi-facteurs. Ces exigences trouvent un écho direct dans les contrôles ISO 27001 : 6.1.1 (analyse risques), 5.24-5.27 (incidents), 5.29 (continuité), 5.19 (chaîne d’approvisionnement), section 8 (aspects techniques) (source : Directive NIS 2, Article 21, 2022).

Toutefois, NIS 2 introduit des exigences complémentaires : obligations de gouvernance (article 20, approbation par direction, responsabilité personnelle dirigeants), obligations de notification (24h pour incident significatif, rapport 72h, rapport final 1 mois), et sanctions pouvant atteindre 10 millions d’euros ou 2% du CA mondial pour OSE. La certification ISO 27001 fournit une présomption de conformité facilitant les contrôles de l’ANSSI (source : Directive NIS 2, Article 32, 2022).

Cyber Resilience Act et Règlement Machines

Le Cyber Resilience Act (CRA), adopté en 2024 et applicable à partir de 2027, impose des exigences de cybersécurité obligatoires pour les fabricants de produits numériques commercialisant dans l’UE. Le CRA impose un processus de développement sécurisé (analyse risques, tests, gestion des vulnérabilités, support sur durée de vie), une politique CVD (Coordinated Vulnerability Disclosure), et publication de correctifs (24h pour vulnérabilités critiques exploitées).

Ces exigences correspondent aux contrôles ISO 27001 sur le développement sécurisé (8.25 à 8.31) et la gestion des vulnérabilités (8.8). Les fabricants de produits critiques (classe I) doivent obtenir une certification basée sur IEC 62443-4-2 pour les produits OT/IoT industriels. Complémentarité naturelle : ISO 27001 (SMSI organisation) + IEC 62443-4-1 (développement) + IEC 62443-4-2 (certification produit) (source : Cyber Resilience Act, Article 24, 2024).

Le Règlement Machines (2023, applicable 2027) intègre pour la première fois des exigences explicites de cybersécurité pour les machines incorporant des systèmes numériques. Les machines doivent prévenir les risques de corruption, perte, modification de données, et accès non autorisé. L’analyse de risques doit intégrer les aspects cybersécurité : risques de manipulation malveillante, compromission de fonctions de sécurité, indisponibilité. Cette approche cyber/safety combinée correspond à IEC 62443-3-2 (source : Règlement UE 2023/1230, 2023).

Pourquoi se faire certifier ISO 27001 ?

Avantages business et conformité

La certification ISO 27001 apporte des bénéfices multiples. La différenciation commerciale : 67% des grandes entreprises françaises intègrent des critères cybersécurité dans l’évaluation fournisseurs, 43% exigent ISO 27001 (source : OpinionWay pour CESIN, 2023). Augmentation de 30% des réponses positives à appels d’offres après certification (source : CLUSIF, 2022).

La réduction des coûts d’assurance : réductions de prime de 10-25% pour organisations certifiées, plafonds de garantie supérieurs avec franchises réduites. La conformité réglementaire simplifiée : ISO 27001 couvre une large part de NIS 2, RGPD, s’articule avec CRA et Règlement Machines. L’amélioration de la posture : diminution de 40% des incidents dans les 2 ans suivant certification, ROI positif en 18-24 mois (source : Ponemon Institute, 2022).

Coûts et ROI

Le coût total pour un industriel de taille moyenne (200-300 personnes, 2-3 sites, IT et OT) : mise en conformité 150 000-300 000 euros (accompagnement 40 000-80 000 euros, mobilisation interne 60 000-100 000 euros, investissements techniques 50 000-120 000 euros), audit initial 20 000-35 000 euros, audits surveillance annuels 10 000-18 000 euros, audit renouvellement 18 000-30 000 euros. Sur 3 ans : 190 000 à 380 000 euros (source : CLUSIF 2023).

Le ROI combine bénéfices quantifiables (réduction prime cyberassurance 5 000-15 000 euros/an, nouveaux contrats, réduction coût incidents – 50 000 euros/incident moyen PME selon ANSSI) et bénéfices stratégiques (réputation, gouvernance, compétences, assurance réglementaire vs sanctions NIS 2).

Checklist opérationnelle : 10 actions clés pour votre projet ISO 27001

Chaque action présentée ci-dessous doit faire l’objet d’une analyse de risque préalable spécifique à votre contexte organisationnel, technique et opérationnel. Les mesures de sécurité doivent être proportionnées aux risques identifiés et adaptées aux contraintes de votre environnement industriel.

Obtenir le sponsorship direction et définir le périmètre SMSI : engagement formel direction, budget dédié, périmètre précis incluant systèmes IT et OT critiques pour les industriels

Constituer équipe projet mixte IT/OT et nommer RSSI : pilote dédié avec autorité transverse, équipe représentant IT/OT/métier/juridique/RH, gouvernance projet claire

Réaliser analyse de contexte et appréciation des risques : identifier enjeux et parties intéressées, cartographier actifs (données, applications, équipements IT/OT), appréciation des risques (EBIOS, ISO 27005, ou IEC 62443-3-2 pour zones OT)

Élaborer plan de traitement et Déclaration d’Applicabilité : sélectionner mesures parmi 93 contrôles annexe A, compléter par ISO 27019/IEC 62443 pour OT, produire SoA justifiant chaque décision

Segmenter réseaux IT/OT selon modèle Purdue : cartographier architecture existante, concevoir architecture cible en zones de sécurité, déployer firewalls industriels/diodes unidirectionnelles, règles deny-by-default

Déployer monitoring IT/OT : SIEM capable d’ingérer logs IT et événements OT, détection d’anomalies protocoles industriels, cas d’usage prioritaires, procédures escalade et réponse incidents 24/7

Structurer gestion vulnérabilités et patchs OT : veille ICS-CERT/CERT-FR, évaluation criticité contextuelle, processus différencié IT (rapide) vs OT (validation constructeur, tests, déploiement lors arrêts planifiés), mesures compensatoires pour systèmes non patchables

Déployer programme sensibilisation multi-audiences : modules adaptés (généraliste tous collaborateurs, spécifique IT, critique équipes OT/maintenance sur cybersécurité industrielle), campagnes phishing simulé, exercices de crise cyber

Rédiger documentation SMSI et processus opérationnels : politique de sécurité validée direction couvrant IT et OT, procédures prioritaires (incidents, changements, contrôle d’accès, sauvegarde, continuité), appréciation risques, plan traitement, SoA

Réaliser audit à blanc et planifier certification : audit interne ou consultant externe pour identifier écarts résiduels, traiter non-conformités, sélectionner organisme certificateur accrédité COFRAC avec expertise industrielle, planifier audit officiel

Comment AKENATECH vous accompagne ?

AKENATECH dispose d’une expertise unique combinant cybersécurité industrielle OT/IoT et maîtrise des référentiels ISO/IEC 27001 et ISA/IEC 62443, permettant d’accompagner les industriels français dans leurs projets de certification ISO 27001 avec une compréhension approfondie des contraintes opérationnelles et réglementaires.

Nos consultants interviennent sur l’ensemble du cycle : diagnostic de maturité initial, accompagnement méthodologique pour la structuration du SMSI (analyse de contexte, appréciation des risques, plan de traitement, documentation complète), expertise technique pour l’architecture de sécurité IT/OT (segmentation selon modèle Purdue, solutions de monitoring, adaptation mesures aux spécificités industrielles), et préparation à la certification (audits à blanc, formation équipes).

Notre approche différenciante réside dans l’articulation systématique d’ISO 27001 avec les référentiels complémentaires : ISA/IEC 62443 pour les systèmes de contrôle industriel, ISO 27019 pour les environnements OT, et intégration des exigences NIS 2, Cyber Resilience Act et Règlement Machines selon votre secteur. Cette vision globale évite les démarches cloisonnées et assure la cohérence de votre dispositif de conformité.

AKENATECH propose également des services opérationnels pérennes : RSSI à temps partagé assurant le pilotage continu de votre cybersécurité, PSIRT semi-externalisé pour les fabricants devant gérer les vulnérabilités produits conformément au CRA, et accompagnement pour les audits de surveillance et renouvellement de certification.

FAQ : Questions fréquentes sur ISO 27001

Quelle est la différence entre ISO 27001 et ISO 27002 ?

ISO/IEC 27001 est la norme certifiable qui définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de management de la sécurité de l’information (SMSI). ISO/IEC 27002 est une norme de recommandations qui fournit des lignes directrices détaillées pour la mise en œuvre des 93 mesures de sécurité listées dans l’annexe A d’ISO 27001. Une organisation se fait certifier ISO 27001 (qui impose quoi faire) et s’appuie sur ISO 27002 (qui explique comment le faire) pour implémenter les contrôles efficacement. Les deux normes sont complémentaires et indissociables.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

La durée varie selon la taille de l’organisation, sa maturité initiale et la complexité du périmètre. Pour une PME de 50-100 personnes avec maturité moyenne : 12 à 18 mois entre lancement et obtention du certificat (analyse 2-3 mois, mise en œuvre 6-9 mois, stabilisation 2-3 mois, audit 1-2 mois). Pour les industriels avec environnements OT complexes ou périmètres multi-sites : 18 à 24 mois. Une organisation déjà mature peut viser 6 à 9 mois (source : retours organismes certificateurs français, 2023).

La certification ISO 27001 est-elle obligatoire pour NIS 2 ?

La certification ISO 27001 n’est pas juridiquement obligatoire pour NIS 2. Le texte impose des mesures de gestion des risques sans prescrire de référentiel spécifique. Toutefois, NIS 2 encourage l’utilisation de normes européennes et internationales. En pratique, la certification ISO 27001 constitue le moyen le plus efficace pour démontrer à l’ANSSI la conformité, avec une présomption de conformité pour une large partie des exigences, simplifiant considérablement les contrôles. Les opérateurs concernés peuvent consulter le guide officiel NIS 2 de l’ANSSI pour identifier leurs obligations spécifiques (source : ANSSI, 2024).

Comment adapter ISO 27001 aux environnements industriels OT ?

L’adaptation nécessite de reconnaître les différences IT/OT et d’ajuster les mesures : priorisation (disponibilité avant confidentialité pour systèmes OT critiques), segmentation IT/OT selon modèle Purdue avec firewalls industriels et diodes, patch management OT différencié avec validation constructeur et fenêtres planifiées, monitoring via solutions comprenant protocoles industriels (Modbus, Profinet, OPC), contrôles d’accès physiques renforcés aux zones production, formation spécifique équipes OT. L’articulation avec ISO 27019 et IEC 62443 apporte le détail technique nécessaire. La SoA doit documenter ces adaptations.

Peut-on combiner certification ISO 27001 et conformité IEC 62443 ?

Cette approche est fortement recommandée pour les industriels. Les deux référentiels sont complémentaires : ISO 27001 fournit le cadre de gouvernance global, IEC 62443 apporte les spécifications techniques détaillées pour les systèmes de contrôle industriel. Stratégie efficace : établir un SMSI ISO 27001 certifié couvrant IT et OT, puis approfondir les zones OT critiques selon IEC 62443. Nombreuses correspondances entre contrôles permettant d’optimiser les efforts. Les industriels soumis à NIS 2 et fabricants concernés par le CRA bénéficient particulièrement de cette approche intégrée répondant simultanément aux exigences réglementaires européennes.

Quelles sanctions en cas de non-conformité pour les organisations NIS 2 ?

NIS 2 introduit des sanctions renforcées. En France, sanctions maximales : pour les opérateurs de services essentiels (secteurs hautement critiques), jusqu’à 10 millions d’euros ou 2% du CA annuel mondial ; pour les entités importantes (secteurs critiques), jusqu’à 7 millions d’euros ou 1,4% du CA mondial. Sanctions pour non-respect des obligations de cybersécurité, défaut de notification d’incidents, fourniture d’informations inexactes, entrave aux contrôles. Responsabilité personnelle des dirigeants possible. Un SMSI ISO 27001 robuste constitue la meilleure protection contre ces risques (source : Directive NIS 2, Article 32, 2022).

ISO 27001 couvre-t-il la protection des données personnelles (RGPD) ?

ISO 27001 et le RGPD sont complémentaires mais distincts. ISO 27001 est un standard de cybersécurité couvrant toutes les informations sensibles, le RGPD est une réglementation spécifique à la protection des données personnelles. Nombreux contrôles ISO 27001 contribuent au RGPD : mesures de sécurité (article 32), AIPD (article 35), gestion des violations (articles 33-34), sécurité sous-traitants (article 28), privacy by design (article 25). Toutefois, ISO 27001 seule ne suffit pas : bases légales, droits des personnes, transferts hors UE, désignation DPO nécessitent démarches complémentaires. Approche optimale : structurer la gouvernance dans le SMSI, compléter avec exigences RGPD (source : CNIL, 2023).

Combien coûte une certification ISO 27001 pour un industriel ?

Pour un industriel taille moyenne (200-300 personnes, 2-3 sites, IT et OT) : mise en conformité 150 000-300 000 euros (accompagnement 40 000-80 000 euros, mobilisation interne 60 000-100 000 euros, investissements techniques 50 000-120 000 euros), audit initial 20 000-35 000 euros, audits surveillance 10 000-18 000 euros/an, renouvellement 18 000-30 000 euros. Sur 3 ans : 190 000-380 000 euros. Variations selon maturité initiale (-30 à -40% si déjà structurée), complexité OT (+20 à +50% si legacy/multi-sites), choix internalisation/externalisation. ROI positif en 2-3 ans via gains commerciaux, réduction assurance, diminution incidents (source : CLUSIF 2023).

Conclusion

La norme ISO/IEC 27001 et la famille ISO 27000 constituent le référentiel international de référence pour structurer un système de management de la sécurité de l’information robuste et reconnu. Face à l’intensification des cybermenaces – qui ont progressé de 38% en France entre 2022 et 2023 – et au durcissement des réglementations européennes (NIS 2, Cyber Resilience Act, Règlement Machines), la mise en place d’un SMSI ISO 27001 s’impose comme une nécessité stratégique.

Pour les industriels français évoluant dans des environnements complexes combinant IT et systèmes OT/IoT, l’articulation d’ISO 27001 avec ISO 27019 et ISA/IEC 62443 permet de concilier gouvernance globale et spécificités techniques de la cybersécurité industrielle. Cette vision intégrée IT/OT optimise les efforts de conformité en répondant simultanément aux multiples exigences réglementaires européennes.

Les bénéfices d’une certification ISO 27001 dépassent la seule conformité : différenciation commerciale, réduction des primes cyberassurance, amélioration de la posture de sécurité (diminution de 40% des incidents), et structuration d’une gouvernance cybersécurité pérenne. Avec plus de 60 000 organisations certifiées dans 190 pays, ISO 27001 démontre sa pertinence universelle.

Le moment est opportun pour les industriels français d’engager leurs démarches ISO 27001 : obligations NIS 2 (octobre 2024), Cyber Resilience Act (application progressive dès 2027), et valorisation croissante de la maturité cybersécurité comme critère de compétitivité. Les organisations qui structurent dès aujourd’hui leur SMSI en anticipant ces évolutions bénéficieront d’un avantage concurrentiel durable.

Pour aller plus loin

ISO/IEC 27001:2022 – Norme officielle en français https://www.iso.org/fr/standard/27001

ANSSI – Sécurité des systèmes industriels https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/securite-des-systemes-industriels/

ANSSI – Guide de la méthode EBIOS Risk Manager https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/

Commission Européenne – Directive NIS 2 (texte officiel) https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Commission Européenne – Cyber Resilience Act https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

IEC 62443 – Industrial Automation and Control Systems Security https://www.iec.ch/cyber-security

AFNOR – Catalogue des normes ISO 27000 https://www.afnor.org/themes/cybersecurite/iso-27001-management-securite-information/

ENISA – Guidelines for securing the supply chain https://www.enisa.europa.eu/publications/guidelines-for-securing-the-supply-chain-for-iot