ISO 27001 dans l'Écosystème de Conformité : Cartes d'Alignement NIST CSF, SOC 2, RGPD, NIS2, DORA et ISO 27002
« La conformité n'est pas la sécurité, mais la sécurité sans conformité n'est pas durable. »
- Axiome du praticien GRC
Introduction : Le Problème de la Multiplication des Conformités
L'organisation moderne n'opère pas dans un seul univers de conformité. Elle opère dans plusieurs simultanément. Une entreprise de services financiers traitant des données clients de l'UE et opérant une infrastructure cloud peut être soumise aux attentes ISO 27001 de ses clients d'entreprise, aux exigences DORA de ses régulateurs financiers, aux obligations RGPD des autorités de protection des données, aux exigences NIS2 en tant qu'entité importante, aux attentes SOC 2 de ses clients américains, et aux exigences PCI DSS pour son infrastructure de paiement par carte - tout à la fois, avec des exigences partiellement chevauchantes et partiellement contradictoires, toutes exigeant des preuves, une documentation et une préparation à l'audit.
L'approche naïve est de gérer chaque programme de conformité indépendamment - équipes séparées, documentation séparée, contrôles séparés, audits séparés. Le résultat est la multiplication de la conformité : chaque cadre exige son propre ensemble de preuves, son propre langage de politique, sa propre piste d'audit. L'équipe de sécurité passe son temps à générer des artefacts de conformité plutôt qu'à gérer la sécurité.
L'approche sophistiquée est l'intégration de la conformité - concevoir un programme de sécurité unique et cohérent qui satisfait simultanément les exigences de plusieurs cadres, en utilisant un SMSI ISO 27001 bien mis en œuvre comme épine dorsale de gouvernance à partir de laquelle les exigences spécifiques aux cadres sont traitées comme des extensions plutôt que des programmes parallèles.
Ce chapitre construit la boîte à outils intellectuelle et pratique pour l'intégration de la conformité. Il cartographie ISO 27001 par rapport aux six cadres et réglementations les plus significatifs que les organisations rencontrent couramment en parallèle - NIST CSF, SOC 2, RGPD, NIS2, DORA et ISO 27002.
Partie 1 - ISO 27001 et ISO 27002 : La Relation Parent-Enfant
1.1 Comprendre la Famille ISO 27000
ISO 27001 ne se tient pas seul. C'est la norme certifiable au centre de la famille ISO/CEI 27000 - une suite de normes qui traitent collectivement différents aspects du management de la sécurité de l'information.
| Norme | Titre | Objectif |
|---|---|---|
| ISO/CEI 27000 | Vue d'ensemble et vocabulaire | Définitions et concepts |
| ISO/CEI 27001 | Exigences | La norme SMSI certifiable - définit ce qui doit être fait |
| ISO/CEI 27002 | Code de bonnes pratiques pour les contrôles de sécurité de l'information | Guidance sur la mise en œuvre des contrôles de l'Annexe A |
| ISO/CEI 27003 | Guidance sur la mise en œuvre d'ISO 27001 | Guidance d'implémentation |
| ISO/CEI 27004 | Surveillance, mesure, analyse et évaluation | Guidance sur la mesure des performances du SMSI |
| ISO/CEI 27005 | Management du risque de sécurité de l'information | Guidance sur l'évaluation et le traitement des risques |
| ISO/CEI 27017 | Code de bonnes pratiques pour les services cloud | Contrôles de sécurité spécifiques au cloud |
| ISO/CEI 27018 | Protection des DCP dans les clouds publics | Contrôles de confidentialité dans le cloud |
| ISO/CEI 27701 | Management des informations relatives à la vie privée | Extension pour les programmes RGPD et vie privée |
| ISO/CEI 27035 | Management des incidents | Guidance sur la gestion des incidents de sécurité |
1.2 ISO 27001 vs ISO 27002 : La Distinction Critique
ISO 27001 contient les exigences - les déclarations « doit » auxquelles un SMSI doit se conformer. L'Annexe A de l'ISO 27001 est une référence normative aux contrôles qui doivent être considérés dans le traitement des risques.
ISO 27002 est la norme de guidance d'implémentation - le compagnon « devrait » de l'Annexe A. Pour chacun des 93 contrôles référencés dans l'Annexe A de l'ISO 27001:2022, l'ISO 27002:2022 fournit :
- Un énoncé de finalité
- Une guidance sur la mise en œuvre
- D'autres informations - contexte, exemples, normes connexes
La relation est essentielle à comprendre : ISO 27001 exige que les contrôles de l'Annexe A soient considérés. ISO 27002 explique comment les mettre en œuvre. Une organisation est certifiée par rapport à ISO 27001, pas ISO 27002.
Les praticiens qui traitent ISO 27002 comme une liste de contrôle des exigences - mettant en œuvre chaque recommandation de guidance comme si c'était une exigence obligatoire - sur-ingénient leurs SMSI. Les praticiens qui ignorent totalement ISO 27002 manquent la profondeur d'implémentation qui distingue les contrôles qui existent des contrôles qui fonctionnent.
1.3 ISO 27701 : L'Extension Vie Privée
ISO 27701:2019 est une norme de système de management des informations relatives à la vie privée (SMVI) qui étend ISO 27001 et ISO 27002 avec des exigences et une guidance traitant spécifiquement du management des données à caractère personnel (DCP). Elle est conçue pour être intégrée avec un SMSI ISO 27001 existant.
Pour les organisations soumises au RGPD, ISO 27701 fournit une approche structurée pour démontrer la conformité avec les exigences de management de la sécurité et de la vie privée du RGPD. Une organisation certifiée à la fois ISO 27001 et ISO 27701 dispose d'un système de management de la vie privée formellement évalué et indépendamment audité.
La relation entre ISO 27701 et le RGPD n'est pas un mappage direct - ISO 27701 ne garantit pas la conformité RGPD, et la conformité RGPD n'exige pas la certification ISO 27701. Mais l'alignement est substantiel, et les organisations investissant dans ISO 27001 avec des obligations RGPD devraient sérieusement évaluer l'investissement marginal requis pour étendre à ISO 27701.
Partie 2 - ISO 27001 et NIST CSF : Des Architectures Complémentaires
2.1 Le Cadre de Cybersécurité NIST
Le Cadre de Cybersécurité NIST (CSF) - publié par le National Institute of Standards and Technology des États-Unis - est un cadre volontaire pour la gestion du risque de cybersécurité. Publié initialement en 2014 et significativement mis à jour dans CSF 2.0 (2024), il organise les activités de cybersécurité en six Fonctions :
| Fonction | Description |
|---|---|
| Gouverner (nouveau dans 2.0) | Établir et surveiller la stratégie, les attentes et la politique de gestion du risque de cybersécurité |
| Identifier | Développer la compréhension organisationnelle du risque de cybersécurité pour les systèmes, personnes, actifs, données et capacités |
| Protéger | Développer et mettre en œuvre des mesures de protection appropriées |
| Détecter | Développer et mettre en œuvre des activités pour identifier les événements de cybersécurité |
| Répondre | Développer et mettre en œuvre des activités pour agir sur les événements détectés |
| Récupérer | Développer et mettre en œuvre des activités pour maintenir la résilience et restaurer les capacités |
Chaque Fonction est organisée en Catégories et Sous-catégories fournissant des descriptions d'activités de plus en plus spécifiques.
2.2 Où ISO 27001 et NIST CSF s'Alignent
L'alignement entre ISO 27001 et NIST CSF est substantiel - les deux sont des cadres de management basés sur les risques qui adoptent une vision complète de la sécurité de l'information :
Gestion des risques : Les Clauses 6.1 à 6.1.3 d'ISO 27001 et la Fonction Identifier du NIST CSF traitent des objectifs de gestion des risques substantiellement identiques.
Gouvernance organisationnelle : La Clause 5 (Leadership) d'ISO 27001 et la nouvelle Fonction Gouverner du NIST CSF 2.0 exigent tous deux un engagement au plus haut niveau.
Mise en œuvre des contrôles : L'Annexe A d'ISO 27001 (contrôles orientés Protéger) s'aligne étroitement avec la Fonction Protéger du NIST CSF.
Détection et réponse : Les contrôles de gestion des incidents d'ISO 27001 (Annexe A 5.24 à 5.28) et les contrôles de surveillance technologique (8.15 à 8.16) s'alignent avec les Fonctions Détecter et Répondre du NIST CSF.
Récupération et résilience : Les contrôles de continuité des activités d'ISO 27001 (5.29 à 5.30) et les contrôles de redondance (8.14) s'alignent avec la Fonction Récupérer du NIST CSF.
2.3 Où Ils Divergent
Profondeur vs. étendue : ISO 27001 est plus prescriptif sur les exigences du système de management - documentation, audit interne, revue de direction, amélioration continue. NIST CSF est plus prescriptif sur les activités de sécurité spécifiques au sein de chaque fonction.
Certification : ISO 27001 est certifiable - une évaluation tierce indépendante produit un certificat formel. NIST CSF n'a pas de mécanisme de certification équivalent.
Spécificité technique : Les Sous-catégories NIST CSF sont plus spécifiques sur les activités techniques que la plupart des contrôles de l'Annexe A d'ISO 27001.
Alignement réglementaire américain : NIST CSF a été conçu avec les contextes réglementaires et gouvernementaux américains à l'esprit. Pour les organisations opérant principalement dans l'environnement réglementaire américain, NIST CSF peut être le cadre principal le plus pertinent.
2.4 Stratégie d'Intégration : Utiliser les Deux Ensemble
Pour les organisations opérant dans des contextes à la fois européens et américains :
Utiliser ISO 27001 comme épine dorsale du système de management. Les exigences du système de management d'ISO 27001 fournissent l'infrastructure de gouvernance. Celles-ci ne sont pas dupliquées dans NIST CSF.
Mapper les contrôles de l'Annexe A aux Catégories NIST CSF. NIST a publié un mappage entre les contrôles ISO 27001 et les Catégories NIST CSF.
Traiter les lacunes NIST CSF comme des améliorations du SMSI. Pour les exigences NIST CSF non traitées par le jeu de contrôles ISO 27001 - généralement dans les Fonctions Détecter, Répondre et Récupérer où NIST CSF est plus prescriptif - ajoutez des contrôles spécifiques ou des procédures améliorées.
Produire un Profil NIST CSF comme artefact de reporting. Documentez les états actuel et cible pour chaque Fonction et Catégorie. Ce profil sert d'artefact de preuve pour les revendications d'alignement NIST CSF.
Partie 3 - ISO 27001 et SOC 2 : Le Cadre des Critères de Confiance
3.1 Qu'est-ce que SOC 2
SOC 2 (Service Organization Control 2) est une norme d'audit développée par l'American Institute of Certified Public Accountants (AICPA) pour les organisations de services - entreprises fournissant des services impliquant des données clients. Contrairement à ISO 27001, SOC 2 n'est pas une norme de système de management - c'est un cadre d'audit qui produit un rapport d'attestation.
Les rapports SOC 2 évaluent si les contrôles d'une organisation de services satisfont les Critères des Services de Confiance (TSC) dans jusqu'à cinq catégories :
| Catégorie | Description |
|---|---|
| Sécurité (CC) | La catégorie fondamentale - requise pour tous les rapports SOC 2 |
| Disponibilité | Engagements de disponibilité du système envers les utilisateurs |
| Intégrité du traitement | Traitement complet, valide, précis, ponctuel et autorisé |
| Confidentialité | Protection des informations confidentielles |
| Vie privée | Collecte, utilisation, conservation, divulgation et élimination des informations personnelles |
La plupart des organisations poursuivent des rapports SOC 2 Type II couvrant la Sécurité plus une ou deux catégories supplémentaires.
Type I vs. Type II :
- SOC 2 Type I : Évalue si les contrôles sont convenablement conçus pour satisfaire les Critères des Services de Confiance à un moment donné. Plus rapide à obtenir ; moins précieux commercialement.
- SOC 2 Type II : Évalue si les contrôles ont fonctionné efficacement sur une période définie (généralement 6 à 12 mois). Prend plus de temps ; fournit substantiellement plus d'assurance.
3.2 Où ISO 27001 et SOC 2 s'Alignent
Les domaines d'alignement les plus significatifs :
Critères communs (CC) - Contrôles d'accès : Les critères de contrôle d'accès logique et physique de SOC 2 mappent directement aux contrôles de l'Annexe A d'ISO 27001 dans le domaine du contrôle des accès (5.15 à 5.18) et de la sécurité physique (7.1 à 7.2).
Gestion des changements : Les critères de gestion des changements de SOC 2 s'alignent avec l'Annexe A d'ISO 27001 8.32 (Gestion des changements).
Évaluation des risques : SOC 2 exige des preuves de processus d'évaluation des risques. Le cadre d'évaluation des risques d'ISO 27001 satisfait cette exigence.
Réponse aux incidents : Les critères de réponse aux incidents de SOC 2 s'alignent avec les contrôles de gestion des incidents d'ISO 27001 (5.24 à 5.28).
Surveillance : Les critères de surveillance de SOC 2 s'alignent avec les exigences de surveillance et de mesure d'ISO 27001 (Clause 9.1) et les contrôles de surveillance technologique (8.15 à 8.16).
3.3 Où Ils Divergent
Périmètre et audience : SOC 2 est spécifiquement conçu pour les organisations de services. Un rapport SOC 2 est une attestation orientée clients ; la certification ISO 27001 est une accréditation orientée marché.
Type d'auditeur : ISO 27001 est audité par des auditeurs d'OC accrédités. SOC 2 est audité par des CPA agréés - spécifiquement des cabinets d'audit membres de l'AICPA.
Rapport vs. certificat : ISO 27001 produit un certificat - une affirmation simple et vérifiable publiquement. SOC 2 produit un rapport détaillé généralement partagé sous accord de confidentialité avec les clients.
Catégorie Disponibilité : Si le rapport SOC 2 inclut la catégorie Disponibilité, il impose des exigences spécifiques autour du temps de disponibilité, de la notification des incidents et de la surveillance des performances.
3.4 Stratégie d'Intégration : ISO 27001 comme Fondation SOC 2
Pour les organisations poursuivant à la fois la certification ISO 27001 et la conformité SOC 2 Type II :
Alignez soigneusement les périmètres. Le périmètre ISO 27001 et le périmètre SOC 2 peuvent différer - SOC 2 est délimité aux services fournis aux clients.
Mappez les Critères des Services de Confiance aux contrôles ISO 27001. L'AICPA a publié une guidance de mappage entre les TSC SOC 2 et les contrôles ISO 27001.
Traitez les exigences spécifiques à SOC 2 comme des améliorations du SMSI. Les domaines de lacunes courants incluent : la gestion des fournisseurs avec des exigences spécifiques de notification clients, la documentation de description du système, la surveillance des accords de niveau de service.
Coordonnez le calendrier des audits. Les audits de surveillance ISO 27001 et les périodes d'audit SOC 2 peuvent souvent être alignés pour réduire les perturbations organisationnelles.
Utilisez la base de preuves du SMSI pour SOC 2. Les enregistrements opérationnels que le SMSI ISO 27001 génère - revues d'accès, enregistrements de changements, rapports de surveillance, enregistrements d'incidents, enregistrements de formation, évaluations des risques - sont également les preuves requises pour SOC 2.
Partie 4 - ISO 27001 et RGPD : L'Interface Sécurité-Vie Privée
4.1 Les Exigences de Sécurité du RGPD
Le Règlement Général sur la Protection des Données exige, en vertu de l'Article 32, que les responsables du traitement et les sous-traitants mettent en œuvre « des mesures techniques et organisationnelles appropriées » pour assurer un niveau de sécurité adapté au risque, notamment :
- La pseudonymisation et le chiffrement des données à caractère personnel
- La capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement
- La capacité à rétablir la disponibilité et l'accès aux données en temps voulu en cas d'incident physique ou technique
- Un processus visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles
L'Article 32 ne spécifie pas de contrôles particuliers. Il exige des mesures adaptées au risque.
4.2 ISO 27001 comme Preuve de l'Article 32 du RGPD
Un SMSI ISO 27001 bien mis en œuvre est la démonstration la plus complète disponible de la conformité à l'Article 32 du RGPD, pour deux raisons :
Premièrement, l'approche basée sur les risques reflète l'exigence du RGPD. Le RGPD exige que les mesures de sécurité soient appropriées au risque. Le cadre d'évaluation des risques d'ISO 27001 produit exactement ceci.
Deuxièmement, les exigences du système de management dépassent les attentes du RGPD. Le RGPD exige des mesures ; ISO 27001 exige un système géré, documenté et continuellement amélioré pour mettre en œuvre et maintenir ces mesures.
Dans les procédures d'application réglementaire et le contentieux des personnes concernées, un certificat ISO 27001 est une preuve solide que l'organisation a pris ses obligations de sécurité au sérieux.
4.3 Exigences du RGPD au-delà d'ISO 27001
Le RGPD impose des exigences significatives non traitées par ISO 27001 :
Droits des personnes concernées : Les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition nécessitent des processus opérationnels spécifiques.
Base légale et gestion du consentement : Le RGPD exige que le traitement ait une base légale.
Analyses d'impact relatives à la protection des données (AIPD) : L'Article 35 exige des AIPD pour les activités de traitement à haut risque.
Délégué à la Protection des Données (DPD) : Lorsqu'un DPD est requis, le rôle a des exigences légales spécifiques.
Registre des activités de traitement (RAT) : L'Article 30 exige que les responsables du traitement et les sous-traitants tiennent un registre des activités de traitement.
Approche d'intégration : L'intégration la plus efficace entre ISO 27001 et RGPD consiste à étendre le SMSI pour incorporer les éléments de management de la vie privée - en utilisant le cadre d'évaluation des risques pour les AIPD, en étendant le registre des actifs informationnels pour servir d'intrant au RAT. ISO 27701 fournit la structure formelle pour cette extension.
4.4 Notification des Violations de Données : L'Interface Opérationnelle
L'exigence de notification en 72 heures de l'Article 33 du RGPD est l'un des points d'intersection les plus exigeants sur le plan opérationnel entre ISO 27001 et le RGPD. Les contrôles de gestion des incidents d'ISO 27001 (Annexe A 5.24 à 5.28) doivent être conçus spécifiquement pour soutenir ce délai.
Les exigences opérationnelles clés :
Capacité de détection des violations : Le SMSI doit avoir des contrôles de détection capables d'identifier les violations de données à caractère personnel dans un délai permettant de respecter la fenêtre de notification de 72 heures.
Processus d'évaluation des violations : Toutes les violations de données à caractère personnel ne constituent pas une violation notifiable. Le RGPD exige une notification uniquement lorsque la violation est « susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. »
Préparation du contenu de notification : La notification de l'Article 33 doit inclure des informations spécifiques - la nature de la violation, le nombre approximatif de personnes concernées, les catégories de données impliquées, les conséquences probables, les mesures prises.
Contacts des autorités de contrôle : Les contacts des autorités de contrôle compétentes dans chaque État membre de l'UE où se trouvent les personnes concernées affectées doivent être identifiés à l'avance.
Partie 5 - ISO 27001 et NIS2 : L'Exigence pour les Entités Essentielles
5.1 Qu'est-ce que NIS2
La Directive sur la sécurité des réseaux et des systèmes d'information 2 (NIS2) est une législation européenne exigeant que les entités essentielles et importantes mettent en œuvre des mesures de sécurité et signalent les incidents significatifs. Elle est entrée en vigueur en janvier 2023.
NIS2 s'applique aux entités dans des secteurs jugés critiques pour la société - énergie, transport, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace - plus un deuxième niveau d'« entités importantes » dans des secteurs incluant les services postaux, la gestion des déchets, la fabrication, la production alimentaire et les fournisseurs numériques.
5.2 Les Exigences de Sécurité de NIS2 et l'Alignement avec ISO 27001
L'Article 21 de NIS2 exige que les entités essentielles et importantes mettent en œuvre « des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » incluant :
| Exigence NIS2 | Alignement ISO 27001 |
|---|---|
| Politiques d'analyse des risques et de sécurité des systèmes d'information | Clauses 6.1 à 6.1.3 (Évaluation et traitement des risques) ; Politique de sécurité de l'information (5.2) |
| Gestion des incidents | Annexe A 5.24 à 5.28 (Contrôles de gestion des incidents) |
| Continuité des activités et gestion de crise | Annexe A 5.29 à 5.30 (Contrôles de continuité des activités) |
| Sécurité de la chaîne d'approvisionnement | Annexe A 5.19 à 5.23 (Contrôles des relations fournisseurs) |
| Sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes | Annexe A 8.25 à 8.31 (Contrôles de développement sécurisé) |
| Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques | Clause 9.1 (Surveillance et mesure) ; Clause 9.2 (Audit interne) |
| Pratiques de cyber-hygiène de base et formation en cybersécurité | Annexe A 6.3 (Sensibilisation, éducation et formation) |
| Politiques et procédures concernant l'utilisation de la cryptographie | Annexe A 8.24 (Utilisation de la cryptographie) |
| Politiques de sécurité des ressources humaines et de contrôle des accès | Annexe A 6.x (Contrôles relatifs aux personnes) ; 5.15 à 5.18 (Contrôles d'accès) |
| Utilisation de l'authentification multifacteur | Annexe A 8.5 (Authentification sécurisée) |
L'alignement est étendu. Une organisation disposant d'un SMSI ISO 27001 bien mis en œuvre satisfera la grande majorité des exigences de sécurité de l'Article 21 de NIS2.
5.3 Où NIS2 va au-delà d'ISO 27001
Délais de notification des incidents : Le régime de notification en trois étapes de NIS2 - alerte précoce dans les 24 heures, notification d'incident dans les 72 heures, rapport final dans un mois - impose des exigences opérationnelles spécifiques.
Responsabilité des dirigeants : L'Article 20 de NIS2 exige que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité, supervisent leur mise en œuvre et soient responsables des infractions. Cela va plus loin que les exigences d'engagement du leadership d'ISO 27001 - cela crée une responsabilité légale personnelle.
Cyber-hygiène et formation : NIS2 exige des pratiques de cyber-hygiène de base pour tout le personnel et une formation en cybersécurité pour les organes de direction spécifiquement.
Enregistrement et reporting : NIS2 exige que les entités s'enregistrent auprès de leur autorité nationale compétente et signalent les incidents significatifs.
Spécificités de la sécurité de la chaîne d'approvisionnement : L'Article 21(2)(d) de NIS2 exige que la sécurité de la chaîne d'approvisionnement traite des « vulnérabilités spécifiques de chaque fournisseur direct ou prestataire de services ».
5.4 Stratégie d'Intégration pour les Organisations Soumises à NIS2
Étendre les procédures de gestion des incidents pour traiter explicitement les exigences de notification NIS2 de 24 heures et 72 heures.
Mettre en œuvre la formation en cybersécurité des organes de direction comme ajout spécifique au programme de sensibilisation.
Améliorer la sécurité de la chaîne d'approvisionnement pour traiter l'exigence NIS2 d'évaluation des vulnérabilités individuelles des fournisseurs - en particulier pour les fournisseurs TIC.
Établir le processus d'enregistrement et de reporting NIS2 comme processus de conformité adjacent au SMSI.
Réaliser une évaluation des écarts NIS2 par rapport au SMSI pour identifier les domaines spécifiques où la mise en œuvre ISO 27001 actuelle ne traite pas pleinement les exigences NIS2.
Partie 6 - ISO 27001 et DORA : Résilience du Secteur Financier
6.1 Qu'est-ce que DORA
La Loi sur la résilience opérationnelle numérique (DORA) - Règlement (UE) 2022/2554 - est devenue directement applicable aux entités financières de l'UE à partir du 17 janvier 2025. Contrairement à NIS2 (une Directive nécessitant une transposition nationale), DORA est un Règlement de l'UE qui s'applique directement et uniformément dans tous les États membres.
DORA s'applique à un large éventail d'entités financières incluant les banques, les entreprises d'investissement, les compagnies d'assurance, les établissements de paiement, les émetteurs de monnaie électronique, les prestataires de services sur crypto-actifs, et les fournisseurs tiers de services TIC aux entités financières. Il établit des exigences sur cinq piliers :
- Gestion du risque lié aux TIC - cadre complet de gestion du risque TIC
- Gestion, classification et notification des incidents liés aux TIC - exigences spécifiques de classification et de notification
- Tests de résilience opérationnelle numérique - tests de pénétration axés sur les menaces (TLPT) pour les entités significatives
- Gestion du risque lié aux prestataires tiers de TIC - exigences renforcées pour les prestataires de services TIC
- Partage d'informations et de renseignements - arrangements de partage volontaires
6.2 Le Cadre de Gestion du Risque TIC de DORA et ISO 27001
Les exigences de gestion du risque TIC de DORA - Articles 5 à 16 - représentent le cadre de gestion du risque TIC le plus détaillé juridiquement contraignant applicable au secteur financier :
| Exigence DORA | Alignement ISO 27001 |
|---|---|
| Cadre de gestion du risque TIC | Cadre SMSI (Clauses 4 à 6) |
| Identification et évaluation du risque TIC | Évaluation des risques (Clause 6.1.2) |
| Protection et prévention TIC | Contrôles organisationnels et technologiques de l'Annexe A |
| Détection TIC | Annexe A 8.15 à 8.16 (Journalisation et surveillance) |
| Réponse et récupération TIC | Annexe A 5.24 à 5.30 (Gestion des incidents et continuité) |
| Politiques de sauvegarde TIC | Annexe A 8.13 (Sauvegarde des informations) |
| Continuité des activités TIC | Annexe A 5.30 (Préparation des TIC pour la continuité des activités) |
| Communication et apprentissage | Annexe A 5.27 (Apprentissage des incidents) ; Clause 7.4 (Communication) |
6.3 Où DORA Dépasse ISO 27001
Tests de Pénétration Axés sur les Menaces (TLPT) : L'Article 26 de DORA exige que les entités financières significatives réalisent des tests de pénétration avancés basés sur la menace selon le cadre TIBER-EU - une méthodologie de test en équipe rouge très sophistiquée réalisée sur des systèmes de production utilisant de véritables renseignements sur les menaces.
Prestataires Tiers de Services TIC (PPT TIC) : DORA introduit une exigence révolutionnaire - les grands prestataires de services TIC désignés comme critiques par les Autorités européennes de surveillance (AES) seront directement supervisés par ces autorités.
Exigences contractuelles pour les contrats TIC : L'Article 30 de DORA spécifie un contenu obligatoire détaillé pour les contrats avec les prestataires de services TIC - droits d'audit, SLA de performance, délais de notification des incidents, portabilité des données, dispositions de sortie.
Classification des incidents TIC : DORA établit un schéma de classification des incidents spécifique avec des critères de gravité définis. Les incidents majeurs doivent être signalés aux autorités compétentes dans les 4 heures suivant leur classification comme majeurs, avec un rapport intermédiaire dans les 72 heures et un rapport final dans un mois.
Registre d'informations sur les arrangements TIC : DORA exige que les entités financières maintiennent un registre complet de tous les arrangements contractuels avec les prestataires de services TIC.
6.4 Stratégie d'Intégration pour les Organisations Soumises à DORA
Étendre l'évaluation des risques pour traiter explicitement les risques TIC tels que définis par DORA. La définition DORA du risque TIC doit être incorporée dans la méthodologie de risque.
Améliorer les procédures de gestion des incidents pour accommoder le schéma de classification de DORA et l'exigence de notification en 4 heures pour les incidents majeurs.
Développer des procédures de gestion des fournisseurs spécifiques à DORA traitant les exigences de contenu obligatoire des contrats et les implications de la désignation des PPT TIC critiques.
Établir la capacité TLPT si l'organisation entre dans le périmètre des entités significatives de DORA pour les exigences TLPT. Cela nécessite d'engager un prestataire d'équipe rouge accrédité TIBER-EU.
Maintenir le registre des arrangements TIC comme document formel avec les éléments de données spécifiques requis par DORA.
Partie 7 - Construire le Programme de Conformité Intégré
7.1 La Carte de Consolidation des Contrôles
Le fondement d'un programme de conformité intégré est une carte de consolidation des contrôles - une matrice qui mappe chaque exigence de conformité de chaque cadre applicable aux contrôles qui la traitent.
Construire la carte de consolidation :
Étape 1 - Inventaire des cadres : Listez tous les cadres applicables et leurs exigences spécifiques. Pour chaque cadre, utilisez l'unité d'exigence la plus granulaire disponible.
Étape 2 - Mappage des contrôles : Pour chaque exigence, identifiez les contrôles du SMSI qui la traitent. Plusieurs exigences peuvent mapper au même contrôle.
Étape 3 - Identification des lacunes : Les exigences non traitées par aucun contrôle SMSI actuel représentent des lacunes.
Étape 4 - Identification des redondances : Les contrôles ne traitant que des exigences d'un seul cadre sont des candidats à la réduction de périmètre si ce cadre n'est plus applicable.
7.2 L'Architecture de Réutilisation des Preuves
Le bénéfice opérationnel le plus significatif d'un programme de conformité intégré est la réutilisation des preuves - une seule activité de contrôle produit des preuves satisfaisant simultanément les exigences de plusieurs cadres.
Exemple : Revue des accès Une revue des accès réalisée trimestriellement produit :
- Des preuves pour l'Annexe A 5.18 d'ISO 27001 (Gestion des droits d'accès)
- Des preuves pour SOC 2 CC6.2 (Contrôles d'accès logique et physique)
- Des preuves pour l'Article 21 de NIS2 (Politiques de contrôle des accès)
- Des preuves pour l'Article 9 de DORA (Protection et prévention)
- Des preuves pour l'Article 32 du RGPD (mesures techniques appropriées)
Une seule activité opérationnelle, correctement documentée, satisfait cinq exigences de cadres.
Exemple : Évaluation des risques L'évaluation annuelle des risques SMSI produit :
- Des preuves pour la Clause 6.1.2 d'ISO 27001 (Évaluation des risques) et la Clause 8.2
- Un apport à la Fonction Identifier du NIST CSF (ID.RA)
- Des preuves pour SOC 2 CC9.1 (Processus d'évaluation des risques)
- Des preuves pour l'Article 32 du RGPD (mesures adaptées au risque)
- Des preuves pour l'Article 21 de NIS2 (politiques d'analyse des risques)
- Des preuves pour l'Article 6 de DORA (cadre de gestion du risque TIC)
La base de preuves de l'évaluation des risques est l'artefact le plus utile du programme de conformité intégré.
7.3 L'Intégration du Calendrier de Conformité
Le programme de conformité intégré devrait avoir un calendrier de conformité unique et consolidé.
Points d'intégration clés du calendrier :
Évaluation annuelle des risques : Programmée pour précéder la revue de direction annuelle et fournir des apports à la revue de la DdA ISO 27001, au calendrier AIPD RGPD, à la mise à jour de l'évaluation du risque TIC DORA et à la revue de gestion des risques NIS2.
Audit interne : Le programme d'audit interne devrait être conçu pour couvrir les exigences ISO 27001 tout en produisant des preuves pertinentes pour les Critères des Services de Confiance SOC 2.
Revues des fournisseurs : Un processus unique de revue des fournisseurs, avec des niveaux calibrés à l'exigence la plus élevée applicable (DORA pour les prestataires de services TIC, NIS2 pour les chaînes d'approvisionnement en infrastructure critique, ISO 27001 pour tous les autres).
Revue de direction : L'ordre du jour de la revue de direction devrait inclure des points permanents pour les exigences de gouvernance de chaque cadre applicable.
7.4 Exigences de Documentation Spécifiques aux Cadres
Bien que l'architecture de documentation principale du SMSI satisfasse les exigences de documentation de la plupart des cadres, plusieurs cadres imposent des exigences de documentation supplémentaires spécifiques :
Documentation spécifique au RGPD :
- Registre des activités de traitement (RAT) - Article 30
- Analyses d'impact relatives à la protection des données (AIPD) - Article 35
- Enregistrements de consentement (lorsque le consentement est la base légale)
- Enregistrements de demandes des personnes concernées et délais de réponse
- Enregistrements de transferts de données (pour les transferts internationaux)
Documentation spécifique à NIS2 :
- Documentation d'enregistrement NIS2
- Enregistrements de notification des incidents (alerte précoce 24h, notification 72h, rapport final 1 mois)
- Enregistrements d'évaluation de la sécurité de la chaîne d'approvisionnement spécifiques à NIS2
- Enregistrements de formation en cybersécurité des organes de direction
Documentation spécifique à DORA :
- Politique de gestion du risque TIC (format DORA spécifique)
- Registre des arrangements TIC (registre contractuel avec les éléments de données requis par DORA)
- Enregistrements de classification des incidents TIC
- Documentation de planification et de résultats TLPT (pour les entités significatives)
- Enregistrements de notification des incidents majeurs (4 heures, 72 heures, un mois)
Documentation spécifique à SOC 2 :
- Description du système (la description du système de l'organisation de services faisant partie du rapport SOC 2)
- Contrôles complémentaires des entités utilisatrices (CCEU)
- Documentation de gestion des fournisseurs répondant aux critères spécifiques SOC 2
7.5 Propriété et Gouvernance de la Conformité
Un programme de conformité intégré nécessite une propriété et une gouvernance claires pour éviter de se fragmenter en programmes parallèles gérés par différentes équipes.
Le modèle du responsable de la conformité : Un seul responsable de la conformité - généralement le RSSI ou le Directeur de la Conformité - est redevable du programme intégré. Ce responsable maintient la carte de consolidation des contrôles, gère le calendrier de conformité et supervise la collecte des preuves.
Le modèle d'expert en la matière : Chaque cadre a un expert en la matière désigné qui maintient une connaissance actuelle des exigences du cadre et surveille les changements.
Le modèle d'escalade de gouvernance : Les problèmes de conformité dépassant l'autorité de la fonction de conformité - non-conformité réglementaire significative, investissement matériel requis - doivent avoir des voies d'escalade claires vers la direction générale et le conseil d'administration.
Partie 8 - Résumé Comparatif des Cadres
8.1 La Matrice de Décision
Pour les organisations prenant des décisions sur les cadres à prioriser :
| Dimension | ISO 27001 | NIST CSF | SOC 2 | RGPD | NIS2 | DORA |
|---|---|---|---|---|---|---|
| Type | Norme de système de management | Cadre volontaire | Norme d'audit | Règlement | Directive | Règlement |
| Certifiable | Oui | Non | Rapport d'attestation | Non | Non (conformité attendue) | Non (conformité réglementaire) |
| Périmètre géographique | Mondial | Principalement États-Unis | Mondial (origine américaine) | UE + EEE + pays adéquats | UE | Secteur financier UE |
| Moteur principal | Exigence client/marché | Fédéral/sectoriel américain | Exigence client B2B | Obligation légale (données personnelles UE) | Obligation légale (entités essentielles/importantes) | Obligation légale (entités financières) |
| Application | Marché/contrat | Aucune | Marché/contrat | Réglementaire (autorités de contrôle) | Réglementaire (autorités compétentes) | Réglementaire (AES/ANC) |
| Amende/pénalité | Aucune (conséquences marché) | Aucune | Aucune | Jusqu'à 20 M€ / 4 % CA mondial | Jusqu'à 10 M€ / 2 % CA mondial | Jusqu'à 1 % du CA journalier moyen mondial |
| Fréquence de mise à jour | Tous les ~10 ans | 2014, 2024 | Périodique | 2018 (guidance CEPD continue) | 2023 | 2025 RTS continus |
| Chevauchement ISO 27001 | - | ~70-80 % | ~60-70 % | ~50-60 % (Art. 32) | ~70-80 % | ~65-75 % |
8.2 L'Argument de ROI pour l'Intégration
Pour les professionnels GRC présentant le cas d'une approche de conformité intégrée par rapport aux programmes parallèles :
Réduction des coûts : Un programme intégré nécessite moins d'ETP que des programmes parallèles parce que les preuves sont réutilisées plutôt que dupliquées. Une étude d'organisations opérant quatre cadres de conformité ou plus a révélé que les programmes intégrés nécessitaient environ 40 % moins d'ETP de conformité que les programmes parallèles pour une couverture équivalente.
Réduction de la fatigue d'audit : Les programmes parallèles génèrent des audits parallèles. Les programmes intégrés coordonnent les calendriers d'audit et partagent les bases de preuves.
Amélioration de la cohérence : Les programmes parallèles produisent fréquemment des contrôles incohérents. Les programmes intégrés produisent une description unique et cohérente des contrôles dans tous les cadres.
Résumé : Ce que le Chapitre 9 a Établi
Le paysage de conformité moderne exige l'intégration - un programme de sécurité unique et cohérent satisfaisant simultanément les exigences de plusieurs cadres plutôt qu'une collection de programmes parallèles qui dupliquent les efforts.
ISO 27001 comme épine dorsale : Le cadre du système de management ISO 27001 - sa méthodologie d'évaluation des risques, son architecture documentaire, ses exigences de gouvernance et son jeu de contrôles de l'Annexe A - fournit le fondement unique le plus complet à partir duquel les exigences d'autres cadres peuvent être traitées comme des extensions.
La carte d'alignement : NIST CSF s'aligne à 70-80 % avec ISO 27001. SOC 2 s'aligne à 60-70 %. Les exigences de sécurité de l'Article 32 du RGPD sont substantiellement satisfaites par un SMSI bien mis en œuvre. NIS2 s'aligne à 70-80 % pour les entités essentielles et importantes. DORA s'aligne à 65-75 % pour les entités financières.
La stratégie d'intégration : La cartographie de consolidation des contrôles, l'architecture de réutilisation des preuves, le calendrier de conformité intégré, la gestion de documentation spécifique aux cadres et la gouvernance unifiée de la conformité sont les mécanismes opérationnels par lesquels le programme intégré réalise ses avantages en termes de coût, d'efficacité et de cohérence.
Suivant : Chapitre 10 - Livres de Jeu Sectoriels : ISO 27001 Appliqué à la Finance, à la Santé, aux Fournisseurs Cloud et aux Infrastructures Critiques - Avec Listes de Contrôle d'Implémentation
© ISO 27001 Wiki - Pour les RSSI, Analystes de Sécurité et Professionnels GRC