Checklist ISO 27001:2022 — 93 Contrôles Annexe A (PDF Gratuit)

Cette checklist ISO 27001:2022 couvre l'intégralité des 93 contrôles de l'Annexe A, réorganisés en 4 thèmes (organisationnels, personnes, physiques, technologiques) conformément à la version 2022 de la norme. Utilisez-la pour votre auto-évaluation, votre audit interne ou pour préparer votre certification. Chaque contrôle dispose d'une case à cocher et d'une colonne statut (Conforme / Partiellement Conforme / Non Conforme / Non Applicable).

Contenu de la checklist

• A.5 — 37 contrôles organisationnels (politiques, rôles, fournisseurs, incidents, continuité)
• A.6 — 8 contrôles liés aux personnes (recrutement, formation, confidentialité)
• A.7 — 14 contrôles physiques (locaux, matériel, environnement)
• A.8 — 34 contrôles technologiques (accès, chiffrement, réseau, développement)

Comment utiliser cette checklist

Nouveautés ISO 27001:2022 vs 2013

La version 2022 a réduit le nombre de contrôles de 114 à 93, mais en a ajouté 11 nouveaux :

• A.5.7 — Renseignement sur les menaces (Threat Intelligence)
• A.5.23 — Sécurité pour les services cloud
• A.5.30 — Préparation TIC pour la continuité
• A.7.4 — Surveillance de la sécurité physique
• A.8.9 — Gestion de la configuration
• A.8.10 — Suppression de l'information
• A.8.11 — Masquage des données
• A.8.12 — Prévention de la fuite de données (DLP)
• A.8.16 — Activités de surveillance
• A.8.23 — Filtrage web
• A.8.28 — Codage sécurisé

Téléchargement

Le PDF est gratuit, sans inscription requise. Imprimez-le en A4 pour vos réunions d'audit ou utilisez-le en version numérique.

Ressources complémentaires

• ISO 27001 : Guide Complet de Certification
• Checklist détaillée avec explications par contrôle
• Feuille de route ISO 27001 en 12 étapes
• Conformité NIS2 : Guide Complet

Comment utiliser la checklist des 93 contrôles dans votre démarche de certification

La checklist des 93 contrôles de l'Annexe A ISO 27001:2022 est un outil opérationnel, pas un exercice administratif. Son utilité dépend entièrement de la rigueur avec laquelle vous évaluez chaque contrôle et de la cohérence que vous maintenez avec votre analyse de risques. Voici comment l'intégrer efficacement dans votre démarche.

Les 4 thèmes de l'Annexe A 2022 — Logique et répartition

La restructuration de l'Annexe A en 4 thèmes (contre 14 domaines en 2013) reflète une vision plus opérationnelle de la sécurité. Comprendre la logique de chaque thème aide à évaluer les contrôles avec pertinence :

• Contrôles organisationnels (37 contrôles, 5.1 à 5.37) : gouvernance, politiques, gestion des risques, sécurité des ressources humaines, relations fournisseurs, gestion des incidents, conformité. C'est le socle managérial du SMSI — sans ces contrôles, les contrôles techniques n'ont pas de cadre pour fonctionner.
• Contrôles personnes (8 contrôles, 6.1 à 6.8) : sélection du personnel, engagement des collaborateurs, sensibilisation et formation, discipline, télétravail. Ces contrôles sont souvent sous-estimés mais sont à l'origine d'une grande proportion des incidents de sécurité (phishing, erreurs humaines, menaces internes).
• Contrôles physiques (14 contrôles, 7.1 à 7.14) : périmètres physiques, contrôle des accès physiques, protection des équipements, sécurité des bureaux et des zones de livraison. Moins médiatisés que les contrôles techniques, ces contrôles couvrent des risques réels : vol d'équipement, accès non autorisé aux salles serveurs, écoute dans les espaces de travail partagés.
• Contrôles technologiques (34 contrôles, 8.1 à 8.34) : endpoint protection, gestion des accès, chiffrement, journalisation, sécurité réseau, gestion des vulnérabilités, DLP, sauvegarde, développement sécurisé. C'est le thème le plus technique et généralement le mieux couvert dans les organisations disposant d'une équipe IT.

Évaluation des contrôles : les critères de notation

Pour que la checklist soit exploitable en audit, chaque contrôle doit être évalué selon des critères cohérents. Voici le référentiel de notation recommandé :

• Conforme : le contrôle est implémenté, la pratique est systématique et documentée, une preuve vérifiable est disponible. L'implémentation couvre l'intégralité du périmètre SMSI.
• Partiellement Conforme : le contrôle est partiellement implémenté (couverture incomplète du périmètre, documentation insuffisante, pratique non systématique) ou en cours de déploiement. Un plan d'action avec échéance doit être associé.
• Non Conforme : le contrôle n'est pas implémenté ou est implémenté de façon inefficace. Les non-conformités sur des contrôles applicables constituent des écarts à traiter avant la certification.
• Non Applicable (NA) : le contrôle n'est pas pertinent pour le contexte de l'organisation. La justification de non-applicabilité doit être documentée dans la SoA. Attention : NA ne signifie pas "on ne l'a pas fait" — c'est une décision documentée et justifiée.

Les contrôles les plus fréquemment défaillants en audit

L'expérience des audits de certification révèle que certains contrôles concentrent la majorité des non-conformités. Les voici par ordre de fréquence :

• 5.10 — Politique d'utilisation des actifs : souvent absente ou non diffusée. Les règles d'utilisation des équipements professionnels et personnels (BYOD) sont rarement formalisées.
• 5.23 — Sécurité des services cloud (nouveau en 2022) : l'inventaire des services cloud est presque toujours incomplet. Le shadow IT cloud est la principale lacune.
• 6.3 — Sensibilisation, éducation et formation à la sécurité : les formations existent mais leur traçabilité est souvent insuffisante. Les auditeurs demandent les listes de participants, les supports et les attestations de réalisation.
• 8.8 — Gestion des vulnérabilités techniques : les scans de vulnérabilités sont parfois réalisés mais rarement de façon systématique, avec un suivi documenté des remédiations.
• 8.15 — Journalisation : les logs sont souvent collectés mais leur conservation, leur protection contre la modification et leur analyse régulière sont insuffisamment formalisées.
• 8.31 — Séparation des environnements de développement, de test et de production : dans les petites organisations, la séparation est souvent partielle ou inexistante, avec des données réelles utilisées en environnement de test.

Mise en œuvre concrète : prioriser les contrôles par risque

Face à 93 contrôles, la tentation est de tout traiter en parallèle — ce qui mène à une implémentation superficielle de tous les contrôles plutôt qu'une implémentation solide des contrôles critiques. La bonne approche consiste à prioriser selon trois critères :

1. Les risques élevés identifiés dans l'analyse de risques : les contrôles qui traitent vos risques les plus critiques passent en premier, quelle que soit leur complexité d'implémentation.
2. Les contrôles "bloquants" pour la certification : certains contrôles sont systématiquement vérifiés en Stage 1 et leur absence bloque la certification (5.2 — politique de sécurité, 6.1.2 — évaluation des risques, 9.2 — audit interne, 9.3 — revue de direction).
3. Les contrôles à fort impact opérationnel : les contrôles qui améliorent la résilience de l'organisation (8.13 — sauvegarde, 5.24 — planification de la gestion des incidents, 5.30 — continuité ICT) doivent être prioritaires indépendamment de leur criticité pour la certification.

Points de vigilance pour l'Annexe A 2022

Les organisations qui transitionnent de la version 2013 à la version 2022 doivent être attentives aux points suivants lors de l'utilisation de cette checklist :

• Les contrôles renommés ne sont pas forcément inchangés : certains contrôles ont été fusionnés ou renumérotés avec des modifications de scope. Vérifiez le contenu des contrôles plutôt que de supposer que votre implémentation 2013 couvre le contrôle 2022 correspondant.
• Les 5 attributs de catégorisation : utilisez-les pour filtrer les contrôles par type (préventif/détectif/correctif) et vérifier l'équilibre de votre couverture. Un SMSI sans contrôles détectifs est structurellement vulnérable.
• La colonne "Justification NA" : toute non-applicabilité doit être documentée de façon précise et justifiée dans la SoA. L'auditeur vérifiera systématiquement la cohérence entre les NA de la checklist et les justifications de la SoA.

Foire aux questions — Checklist Annexe A ISO 27001:2022

Faut-il implémenter les 93 contrôles pour être certifié ISO 27001 ?

Non. ISO 27001 n'impose pas d'implémenter tous les contrôles de l'Annexe A. Elle exige que vous évaluiez la pertinence de chaque contrôle au regard de votre analyse de risques et que vous documentiez vos décisions d'inclusion ou d'exclusion dans la SoA. En pratique, la quasi-totalité des contrôles sont applicables à la plupart des organisations, mais certains peuvent légitimement être exclus (ex : contrôles de développement sécurisé pour une organisation sans activité de développement).

Peut-on utiliser cette checklist pour une auto-certification ?

ISO 27001 ne permet pas l'auto-certification — la certification doit être délivrée par un organisme accrédité (en France, accrédité COFRAC). Cette checklist peut servir à une auto-évaluation préparatoire, à un audit interne ou à un diagnostic avant certification, mais ne constitue pas en elle-même une preuve de conformité.

Cette checklist est-elle compatible avec d'autres référentiels (NIS 2, RGPD, ISO 27002) ?

Oui. ISO 27001:2022 est conçue pour être compatible avec ISO 27002:2022 (qui fournit les lignes directrices d'implémentation de chaque contrôle), NIS 2 (qui partage de nombreuses exigences avec l'Annexe A) et le RGPD (article 32 sur les mesures de sécurité). Les organisations soumises à plusieurs référentiels peuvent utiliser la checklist comme socle commun et ajouter des colonnes pour tracker la conformité à chaque référentiel supplémentaire.