L Annexe A de l ISO 27001:2022 contient 93 contrôles de sécurité répartis en 4 thèmes : organisationnels, humains, physiques et technologiques. Lors de l audit de certification, chaque contrôle retenu dans la Déclaration d Applicabilité (SOA) est vérifié par l auditeur. Cette checklist exhaustive couvre les 93 contrôles avec les preuves attendues, les points de vigilance et les critères de conformité. Utilisable comme outil d audit interne ou de préparation à la certification, elle constitue un support terrain indispensable pour tout RSSI, consultant ISO 27001 ou auditeur. Un modèle Excel téléchargeable avec scoring automatique et tableau de bord est disponible en fin d article pour structurer vos campagnes d audit.
En bref
- 93 contrôles répartis en 4 thèmes (vs 114 en 14 domaines dans la version 2013)
- 11 nouveaux contrôles introduits par la version 2022
- Checklist Excel avec scoring automatique téléchargeable
- Chaque contrôle est détaillé avec les preuves attendues par l auditeur
Structure de l Annexe A ISO 27001:2022
La version 2022 de l ISO 27001 a profondément restructuré l Annexe A. Les 114 contrôles de la version 2013 (14 domaines) ont été consolidés en 93 contrôles organisés en 4 thèmes :
| Thème | Référence | Nombre de contrôles | Périmètre |
|---|---|---|---|
| Organisationnels | A.5 | 37 | Politiques, rôles, classification, conformité |
| Humains | A.6 | 8 | Screening, sensibilisation, fin de contrat |
| Physiques | A.7 | 14 | Locaux, équipements, supports amovibles |
| Technologiques | A.8 | 34 | Accès, crypto, développement, monitoring |
Nouveauté 2022
Chaque contrôle de l Annexe A est désormais catégorisé selon 5 attributs : type de contrôle (préventif, détectif, correctif), propriétés de sécurité (CIA), concepts de cybersécurité, capacités opérationnelles et domaines de sécurité. Ces attributs facilitent le mapping avec d autres référentiels (NIST CSF, CIS Controls).
Les 11 nouveaux contrôles de l ISO 27001:2022
La version 2022 introduit 11 contrôles entièrement nouveaux qui reflètent l évolution du paysage de la cybersécurité :
| Contrôle | Intitulé | Thème | Objectif |
|---|---|---|---|
| A.5.7 | Threat Intelligence | Organisationnel | Collecte et analyse de renseignements sur les menaces |
| A.5.23 | Sécurité cloud | Organisationnel | Sécurisation des services cloud acquis |
| A.5.30 | Préparation TIC pour la continuité | Organisationnel | Continuité d activité spécifique aux TIC |
| A.7.4 | Surveillance physique | Physique | Monitoring des accès physiques |
| A.8.9 | Gestion de la configuration | Technologique | Standardisation des configurations |
| A.8.10 | Suppression des informations | Technologique | Effacement sécurisé des données |
| A.8.11 | Masquage des données | Technologique | Data masking pour environnements non-prod |
| A.8.12 | Prévention des fuites de données | Technologique | DLP sur les canaux de communication |
| A.8.16 | Activités de monitoring | Technologique | Supervision continue de la sécurité |
| A.8.23 | Filtrage web | Technologique | Contrôle de l accès aux sites web |
| A.8.28 | Codage sécurisé | Technologique | Pratiques de développement sécurisé |
Checklist Thème A.5 : Contrôles Organisationnels (37)
Les contrôles organisationnels constituent le socle de gouvernance du SMSI. Voici les contrôles clés avec les preuves attendues :
| Réf | Contrôle | Preuves attendues | Points de vigilance |
|---|---|---|---|
| A.5.1 | Politiques de sécurité | PSSI signée, politiques dérivées | Date de révision, communication aux parties |
| A.5.2 | Rôles et responsabilités | Fiches de poste, matrice RACI | RSSI formellement nommé |
| A.5.3 | Séparation des tâches | Matrice d incompatibilité | Admin != auditeur, dev != prod |
| A.5.4 | Responsabilités de la direction | PV de revue de direction | Engagement budgétaire documenté |
| A.5.5 | Contact avec les autorités | Annuaire ANSSI, CNIL, gendarmerie | Procédure de notification d incident |
| A.5.7 | Threat Intelligence | Sources CTI, rapports d analyse | Nouveau 2022 - Souvent mal implémenté |
| A.5.8 | Sécurité dans la gestion de projet | Checklist sécurité dans les projets | Analyse de risques par projet |
| A.5.9 | Inventaire des actifs | CMDB, registre des actifs | Propriétaire assigné à chaque actif |
| A.5.10 | Utilisation acceptable des actifs | Charte informatique | Signée par tous les collaborateurs |
| A.5.23 | Sécurité cloud | Politique cloud, contrats fournisseurs | Nouveau 2022 - Clauses de sécurité contractuelles |
| A.5.24 | Planification gestion des incidents | Procédure de gestion d incidents | Critères de classification, escalade |
| A.5.31 | Exigences légales | Registre réglementaire | RGPD, NIS 2, DORA, LPM selon contexte |
Point d audit critique
Les contrôles A.5.1 (politiques) et A.5.9 (inventaire des actifs) sont vérifiés en priorité par l auditeur car ils conditionnent l ensemble du SMSI. Un inventaire des actifs incomplet ou une PSSI non révisée depuis plus d un an génèrent systématiquement des non-conformités majeures.
Checklist Thème A.6 : Contrôles Humains (8)
| Réf | Contrôle | Preuves attendues | Points de vigilance |
|---|---|---|---|
| A.6.1 | Sélection des candidats | Procédure de screening, vérifications | Casier judiciaire pour postes sensibles |
| A.6.2 | Conditions d emploi | Clauses de confidentialité, charte | Signées avant l accès au SI |
| A.6.3 | Sensibilisation et formation | Plan de sensibilisation, attestations | Programme annuel avec évaluation |
| A.6.4 | Processus disciplinaire | Procédure de sanctions | Échelle graduée documentée |
| A.6.5 | Fin ou changement de contrat | Procédure de départ | Révocation des accès sous 24h |
| A.6.6 | Accords de confidentialité | NDA signés | Inclure prestataires et stagiaires |
| A.6.7 | Travail à distance | Politique télétravail | VPN, chiffrement, environnement sécurisé |
| A.6.8 | Signalement d événements | Procédure de signalement | Canal accessible à tous, non punitif |
Checklist Thème A.7 : Contrôles Physiques (14)
| Réf | Contrôle | Preuves attendues |
|---|---|---|
| A.7.1 | Périmètres de sécurité physique | Plans des zones, niveaux d accès |
| A.7.2 | Contrôles d entrée physique | Badges, registre des visiteurs, vidéosurveillance |
| A.7.3 | Sécurisation des bureaux et locaux | Clean desk policy, armoires fermées |
| A.7.4 | Surveillance de la sécurité physique | Système de surveillance, alertes (nouveau 2022) |
| A.7.5 | Protection contre les menaces environnementales | Détection incendie, inondation, climatisation |
| A.7.8 | Emplacement et protection des équipements | Salle serveur sécurisée, onduleurs |
| A.7.10 | Supports de stockage | Procédure de destruction, chiffrement |
| A.7.14 | Mise au rebut sécurisée | Certificats de destruction, procédures |
Checklist Thème A.8 : Contrôles Technologiques (34)
Les contrôles technologiques sont les plus nombreux et les plus techniques. Voici les contrôles critiques :
| Réf | Contrôle | Preuves attendues | Points de vigilance |
|---|---|---|---|
| A.8.1 | Terminaux utilisateurs | MDM, politique BYOD | Chiffrement obligatoire |
| A.8.2 | Droits d accès privilégiés | PAM, comptes admin séparés | Revue trimestrielle |
| A.8.5 | Authentification sécurisée | MFA déployé, politique mots de passe | MFA sur tous les accès critiques |
| A.8.7 | Protection contre les malwares | EDR/XDR déployé, logs | Couverture 100% des endpoints |
| A.8.8 | Gestion des vulnérabilités | Scanner déployé, SLA remédiation | Critiques sous 72h |
| A.8.9 | Gestion de la configuration | Baselines, SCCM/GPO (nouveau 2022) | Durcissement documenté |
| A.8.12 | Prévention des fuites de données | DLP déployé, règles (nouveau 2022) | Email, USB, cloud monitoring |
| A.8.15 | Journalisation | SIEM, politique de logs | Conservation 12 mois minimum |
| A.8.16 | Activités de monitoring | SOC ou supervision (nouveau 2022) | Alertes et escalade 24/7 |
| A.8.20 | Sécurité des réseaux | Pare-feu, segmentation, IDS/IPS | Règles documentées et révisées |
| A.8.24 | Utilisation de la cryptographie | Politique crypto, certificats | TLS 1.2+ obligatoire |
| A.8.25 | Cycle de vie du développement | S-SDLC, revues de code | Dev sécurisé ISO 27001 |
| A.8.28 | Codage sécurisé | Standards OWASP, SAST/DAST (nouveau 2022) | Formation développeurs |
Préparer l audit de certification : méthodologie
Pour utiliser cette checklist efficacement en préparation de l audit, suivez cette approche :
- Auto-évaluation initiale : parcourez les 93 contrôles et évaluez chacun (conforme, partiellement conforme, non conforme, non applicable)
- Collecte des preuves : pour chaque contrôle conforme, rassemblez les preuves documentaires
- Plan de remédiation : pour les non-conformités, définissez un plan d action avec responsable et échéance
- Audit interne : faites auditer par un tiers indépendant avant l audit de certification
- Revue de direction : présentez les résultats à la direction pour validation
Télécharger la checklist Excel complète
Checklist Audit ISO 27001 Annexe A
93 contrôles — Scoring automatique — Tableau de bord — Clauses 4 à 10 incluses
Télécharger la checklist (.xlsx)À retenir
L audit de certification ISO 27001 ne vérifie pas les 93 contrôles un par un. L auditeur se concentre sur les contrôles retenus dans votre SOA et vérifie par échantillonnage. Cependant, tout contrôle exclus de la SOA doit être justifié. Préparez vos justifications d exclusion avec autant de rigueur que vos preuves de conformité.
Ressources complémentaires
- ISO 27001:2022 — Guide complet de certification
- Analyse de risques ISO 27005 — Méthodologie
- SOA ISO 27001 — Guide Statement of Applicability
- ISO/IEC 27001:2022 — Norme officielle
- Modèle IA ISO 27001 Expert
Audit ISO 27001 : faites-vous accompagner
Préparation à la certification, audits techniques et pentests inclus
Demander un devis gratuitFAQ — Audit ISO 27001 Annexe A
Faut-il implémenter les 93 contrôles de l Annexe A ?
Non. L Annexe A est un catalogue de référence. Seuls les contrôles pertinents identifiés par votre analyse de risques doivent être implémentés. Les exclusions sont documentées et justifiées dans la Déclaration d Applicabilité (SOA). En pratique, la plupart des organisations retiennent 70 à 85 contrôles.
Combien de temps dure un audit ISO 27001 ?
La durée dépend de la taille de l organisme et du périmètre. Pour une PME de 50 à 200 personnes, comptez 5 à 8 jours d audit sur site (étape 2). L étape 1 (revue documentaire) prend 1 à 2 jours supplémentaires. Les audits de surveillance annuels sont plus courts (2 à 4 jours).
Que se passe-t-il en cas de non-conformité majeure ?
Une non-conformité majeure suspend la certification jusqu à sa résolution. L organisme dispose généralement de 90 jours pour proposer et mettre en oeuvre un plan d action correctif. L auditeur vérifie ensuite l efficacité de la correction lors d un audit complémentaire.
Article recommandé
Complétez votre préparation avec notre guide sur la Feuille de Route ISO 27001 en 12 Étapes pour planifier votre parcours de certification de bout en bout.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire