Cette fiche mémo recto-verso synthétise tout ce qu'il faut savoir sur la transition vers ISO 27001:2022 : les changements structurels (passage de 114 à 93 contrôles), les 11 nouveaux contrôles, les 5 attributs introduits, la timeline de transition (échéance octobre 2025) et les 7 actions clés à mener pour assurer votre conformité. Format compact A4 paysage, idéal à imprimer et afficher dans votre bureau.

CONFORMITÉ Fiche Mémo Transition ISO 27001:2022 PDF Gratuit ÉTAPES / CONTRÔLES 1 Ce que contient cette fiche 2 Pour qui ? 3 Ressources complémentaires EXIGENCES CLÉS fiche mémo recto-verso transition vers ISO 27001:2022 Tableau comparatif Liste des 11 nouveaux contrôles Timeline visuelle ayinedjimi-consultants.fr

Ce que contient cette fiche

  • Tableau comparatif 2013 vs 2022 (contrôles, thèmes, attributs)
  • Liste des 11 nouveaux contrôles avec leur thème
  • Timeline visuelle de la transition (2022 → 2025)
  • Les 5 attributs détaillés (type, propriété, concept cyber, capacité, domaine)
  • 7 actions clés pour réussir votre transition
  • 4 thèmes de la nouvelle Annexe A (remplacent les 14 domaines)

Pour qui ?

RSSI, auditeurs internes, consultants GRC, responsables qualité. Parfait comme aide-mémoire lors des comités de pilotage SMSI ou pour briefer rapidement la direction sur les impacts de la transition.

Échéance critique : Toutes les organisations certifiées ISO 27001:2013 doivent avoir transité vers la version 2022 avant le 31 octobre 2025. Les audits initiaux et de renouvellement se font exclusivement en version 2022 depuis avril 2024.

Accompagnement transition ISO 27001:2022

Gap analysis, mise à jour SoA, préparation audit — clé en main.

Découvrir la prestation ISO 27001

Ressources complémentaires

Besoin d'un accompagnement pour votre certification ISO 27001 ?

Gap analysis, documentation, mise en œuvre, préparation audit Stage 1 et Stage 2. Diagnostic initial offert.

Découvrir notre méthodologie →

Calendrier opérationnel de transition vers ISO 27001:2022

La transition vers ISO 27001:2022 est régie par des échéances précises. Le calendrier de transition défini par les organismes de certification accrédités COFRAC prévoyait une période de grâce jusqu'au 31 octobre 2025, après laquelle tous les certificats ISO 27001:2013 devaient être migrés ou arriver à expiration. Voici comment lire les échéances selon votre situation :

  • Certificat ISO 27001:2013 en cours de validité : toute demande de renouvellement de surveillance ou de recertification après octobre 2025 doit obligatoirement être réalisée sur la base de la version 2022. Votre organisme de certification vous aura notifié de la date de transition de votre certificat spécifique.
  • Première certification : si vous entamez votre démarche de certification, vous travaillez directement sur ISO 27001:2022. La version 2013 n'est plus disponible pour les nouvelles certifications depuis le début 2024.
  • Organisations en cours de démarche : si votre processus de certification a été initié sur la base de la version 2013 et n'est pas finalisé, vérifiez avec votre organisme certificateur les modalités de bascule.

Les 11 nouveaux contrôles en détail — Analyse opérationnelle

La fiche mémo identifie les 11 nouveaux contrôles introduits dans l'Annexe A 2022. Voici une analyse opérationnelle de ceux qui posent le plus de difficultés d'implémentation en pratique :

5.7 — Threat intelligence : mise en œuvre concrète

Ce contrôle exige que l'organisation collecte et analyse des informations sur les menaces pertinentes pour son secteur et sa taille. En pratique, cela ne signifie pas forcément disposer d'une plateforme de threat intelligence commerciale (MISP, ThreatConnect). Pour une PME, la conformité peut être atteinte en s'abonnant aux bulletins CERT-FR, en participant à des ISACs sectoriels et en documentant l'analyse des alertes reçues. La preuve d'implémentation est un processus documenté de veille sur les menaces avec un responsable désigné.

5.23 — Sécurité des services cloud : les pièges courants

Ce contrôle couvre la gestion de la sécurité des services cloud que vous utilisez (IaaS, PaaS, SaaS). Il implique d'inventorier les services cloud en production, d'évaluer les risques associés à chacun, et de définir des règles d'utilisation. Le piège le plus fréquent est de ne considérer que les solutions validées par la DSI et d'ignorer le shadow IT cloud (Dropbox personnels, outils SaaS non référencés utilisés par les métiers). Un contrôle 5.23 efficace commence par un inventaire complet des services cloud réellement utilisés.

8.12 — Prévention des fuites de données (DLP) : proportionnalité

Le contrôle 8.12 n'impose pas le déploiement d'une solution DLP commerciale pour toutes les organisations. Il exige que des mesures soient en place pour identifier et prévenir la divulgation non autorisée d'informations sensibles. Pour une PME, des mesures simples peuvent suffire : désactivation des clés USB non chiffrées, politique de partage externe dans Microsoft 365/Google Workspace, règles de transfert d'email. La proportionnalité est la clé : les mesures doivent être adaptées à la valeur des informations protégées et au niveau de risque.

Les 5 attributs de catégorisation : comment les utiliser

L'ISO 27001:2022 introduit 5 attributs permettant de filtrer et catégoriser les contrôles de l'Annexe A. Ces attributs n'ajoutent pas de nouvelles exigences mais facilitent l'utilisation de la SoA et la communication avec le management :

  • Type de contrôle (Préventif / Détectif / Correctif) : permet d'analyser l'équilibre de votre portfolio de contrôles. Un SMSI qui ne dispose que de contrôles préventifs sans détection ni réponse est structurellement fragile.
  • Propriétés de sécurité (Confidentialité / Intégrité / Disponibilité) : permet d'identifier si votre couverture est équilibrée sur les 3 piliers de la sécurité de l'information, ou si vous sur-investissez sur la confidentialité au détriment de la disponibilité.
  • Concepts de cybersécurité (Identifier / Protéger / Détecter / Répondre / Rétablir) : alignement avec le framework NIST CSF pour les organisations qui souhaitent une double lecture de leur SMSI.
  • Capacités opérationnelles : 14 catégories permettant de grouper les contrôles par fonction (gouvernance, gestion des actifs, protection de l'information, etc.).
  • Domaines de sécurité (Gouvernance et Ecosystème / Protection / Défense / Résilience) : vue macroscopique pour les présentations managériales.

7 actions clés pour réussir votre transition

La fiche mémo identifie les 7 actions incontournables. Voici le séquençage optimal et les ressources nécessaires pour chacune :

  1. Réaliser le gap analysis 2013 → 2022 : cartographiez les écarts entre vos contrôles actuels et les 93 contrôles 2022. Concentrez-vous sur les 11 nouveaux contrôles et les contrôles fusionnés/renommés. Durée estimée : 2 à 5 jours selon la taille de l'organisation.
  2. Mettre à jour la SoA : adaptez votre Déclaration d'Applicabilité pour refléter la nouvelle structure de l'Annexe A 2022. Vérifiez la cohérence avec votre registre des risques.
  3. Traiter les 11 nouveaux contrôles : pour chacun, décidez de l'applicabilité, définissez les mesures d'implémentation et documentez les preuves. Concentrez les efforts sur 5.7, 5.23, 8.12 et 8.16 qui sont les plus exigeants à implémenter.
  4. Mettre à jour la PSSI et les procédures : intégrez les nouvelles exigences dans votre documentation (politique de sécurité cloud, procédure de threat intelligence, règles DLP).
  5. Former les équipes aux changements : sensibilisez les responsables de domaine aux nouveaux contrôles qui les impactent. Une heure de formation ciblée suffit généralement.
  6. Conduire un audit interne sur la base de la version 2022 : votre prochain audit interne doit impérativement être conduit sur la base du référentiel 2022. Utilisez les 50 questions du kit d'audit mis à jour pour la version 2022.
  7. Planifier l'audit de transition avec votre organisme certificateur : contactez votre organisme 6 mois à l'avance pour planifier l'audit de transition. Préparez le dossier documentaire : SoA mise à jour, gap analysis, rapport d'audit interne, compte-rendu de revue de direction.

Erreurs fréquentes lors de la transition

Les retours d'expérience sur les premières transitions réalisées en 2023-2025 révèlent des patterns d'erreur récurrents :

  • Sous-estimer le travail sur les nouveaux contrôles : les 11 nouveaux contrôles ne sont pas des formalités. 5.7 (Threat intelligence), 5.23 (Sécurité cloud) et 8.12 (DLP) nécessitent souvent la création de processus nouveaux, pas seulement une mise à jour documentaire.
  • Mettre à jour la SoA sans revoir l'analyse de risques : la restructuration de l'Annexe A (de 14 domaines à 4 thèmes) doit s'accompagner d'une vérification de la cohérence risques → contrôles. Profitez de la transition pour actualiser votre registre des risques.
  • Oublier de mettre à jour les contrats fournisseurs : le contrôle 5.22 (Surveillance et revue des services des fournisseurs) a été renforcé. Vérifiez que vos contrats avec les fournisseurs critiques incluent des clauses de sécurité alignées sur la version 2022.
  • Ne pas documenter la transition elle-même : conservez une trace de votre démarche de transition : gap analysis, décisions prises, versions des documents. Ces éléments seront demandés par l'auditeur lors de l'audit de transition.

Foire aux questions — Transition ISO 27001:2022

Que se passe-t-il si la transition n'a pas été faite avant octobre 2025 ?

Les certificats ISO 27001:2013 qui n'ont pas été migrés vers la version 2022 avant l'échéance d'octobre 2025 sont arrivés à expiration. Si votre organisation se retrouve dans cette situation, elle doit entamer une nouvelle démarche de certification sur la base d'ISO 27001:2022, incluant un audit de Stage 1 et un audit de Stage 2. Il n'existe pas de "rattrapage" — le certificat doit être renouvelé depuis le début.

Les contrôles fusionnés dans la version 2022 nécessitent-ils de nouvelles preuves ?

Pas nécessairement. La fusion de plusieurs contrôles 2013 en un contrôle 2022 ne signifie pas que vous deviez recréer de la documentation. Vérifiez que votre documentation existante couvre bien les aspects du contrôle fusionné. Si c'est le cas, il suffit de mettre à jour la référence dans la SoA. Si des lacunes apparaissent, complétez la documentation.