ISO/IEC 27001
Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.
ISO/IEC 27001 est la norme internationale décrivant un Système de Management de la Sécurité de l’Information (SMSI), copubliée par l’ISO (International Organization for Standardization) et la CEI (Commission électrotechnique internationale). Contrairement à SOC 2, il s’agit d’une véritable certification : un organisme accrédité audite le SMSI et délivre un certificat valable trois ans, avec audits de surveillance intermédiaires.
La révision en vigueur — ISO/IEC 27001:2022 — a restructuré le catalogue de 114 contrôles en 93, répartis en quatre thèmes : Organisationnel, Humain, Physique et Technologique. La norme d’accompagnement ISO/IEC 27002:2022 détaille la mise en œuvre de chacun.
Ce qui compte côté risque humain :
- Le contrôle A.6.3 de l’Annexe A (ex-A.7.2.2 de la version 2013) exige une sensibilisation, une formation et une qualification adaptées au rôle de la personne — et la preuve que cela se produit réellement.
- A.6.8 (signalement des événements de sécurité) suppose que les personnes savent comment signaler — c’est un comportement, pas une connaissance.
- La Déclaration d’Applicabilité (SoA) liste les contrôles Annexe A retenus ; l’auditeur demandera la preuve opérationnelle pour chacun.
- L’amélioration continue (Clause 10) impose au SMSI de démontrer que les contrôles progressent dans le temps — un instantané « 100 % formés » plafonne et ne renseigne en rien l’auditeur sur cette progression.
Là où la norme rencontre la sécurité comportementale : un auditeur qui voit défiler le même export LMS chaque année depuis dix ans accueille de plus en plus volontiers une preuve comportementale — une courbe de comportements à risque observés puis corrigés — au titre de l’efficacité opérationnelle d’A.6.3. La norme n’impose aucun format ; le choix du livrable revient à l’organisation.
La plupart des éditeurs SaaS qui adressent le mid-market et l’entreprise en Europe poursuivent ISO 27001 en parallèle de SOC 2, car le recouvrement des contrôles est élevé et un même cabinet peut souvent porter les deux missions.
Termes liés
- SOC 2Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.
- HIPAALoi fédérale américaine sur les données de santé protégées — la Security Rule impose explicitement un programme de sensibilisation et de formation du personnel.
- PCI-DSSNorme de sécurité des données de cartes bancaires maintenue par le PCI Security Standards Council — l'exigence 12.6 impose un programme formel de sensibilisation.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.