Le contrôle A.8.7 ISO 27001:2022 (protection contre les logiciels malveillants) couvre antivirus, EDR/XDR et durcissement applicatif. Ce modèle Word lis.
TL;DR — En résumé
Template Word gratuit ISO 27001:2022 — Le contrôle A.8.7 ISO 27001:2022 (protection contre les logiciels malveillants) couvre antivirus, ED
Liens entre le contrôle A.8.7 et les autres contrôles ISO 27001:2022
Le contrôle A.8.7 (Protection contre les malwares) s'inscrit dans un ensemble cohérent de contrôles ISO 27001 qui se renforcent mutuellement. Il est directement lié au contrôle A.8.16 (Surveillance des activités) : sans surveillance des logs EDR centralisés, la protection anti-malware est aveugle. Le contrôle A.8.9 (Gestion des configurations) conditionne l'efficacité de l'EDR : un agent EDR non déployé sur tous les endpoints en raison d'une mauvaise gestion des configurations laisse des zones d'ombre dans la couverture. Le contrôle A.8.32 (Gestion des changements) s'applique aux mises à jour des politiques EDR, qui doivent suivre le processus de changement pour éviter des modifications non contrôlées affectant la posture de sécurité.
La politique anti-malware et EDR doit également s'articuler avec la clause 9.1 (Surveillance et mesure) : des indicateurs de performance doivent être définis pour mesurer l'efficacité des contrôles déployés. Les KPI typiques pour le contrôle A.8.7 incluent : le taux de couverture EDR (pourcentage d'endpoints avec agent actif et à jour), le délai moyen de déploiement des mises à jour de définitions, le nombre d'incidents malware détectés et bloqués par période, et le délai moyen entre la détection d'une menace et sa remédiation. Ces indicateurs sont reportés lors de la revue de direction ISO 27001 (clause 9.3).
Erreurs courantes dans la mise en oeuvre de la politique anti-malware ISO 27001
Plusieurs erreurs récurrentes sont observées lors des audits de certification sur le contrôle A.8.7. La première est une couverture incomplète : la politique énonce que "tous les endpoints doivent être équipés d'un EDR", mais en pratique les serveurs de développement, les postes des sous-traitants, ou les équipements IoT connectés au réseau ne sont pas couverts. L'auditeur vérifiera la liste des assets du périmètre SMSI et la comparera avec la liste des agents EDR déployés. La deuxième erreur est l'absence de processus de réponse défini pour les alertes EDR : l'EDR peut générer des alertes, mais si personne n'est désigné pour les traiter dans un délai défini, la détection n'a pas de valeur opérationnelle. La politique doit définir le processus de traitement des alertes et les délais de réponse selon la criticité.
Template gratuit · Word — Politiques
Le contrôle A.8.7 ISO 27001:2022 (protection contre les logiciels malveillants) couvre antivirus, EDR/XDR et durcissement applicatif. Ce modèle Word liste les exigences techniques minimales et les processus de surveillance, alerting et remédiation.
La politique anti-malware et EDR ISO 27001 formalise les exigences de protection contre les logiciels malveillants dans le cadre du contrôle A.8.7 — Protection contre les maliciels de l'Annexe A ISO/IEC 27001:2022. Les ransomwares, chevaux de Troie, malwares sans fichier (fileless), logiciels espions et autres codes malveillants représentent la première cause de compromission des systèmes d'information en France selon le panorama annuel de la cybermenace ANSSI. Sans politique anti-malware structurée, documentée et opérationnelle, aucune organisation n'est en mesure de démontrer la maîtrise de ce risque fondamental lors d'un audit de certification ISO 27001. La norme exige que des mesures de détection, de prévention et de récupération soient mises en œuvre pour protéger contre les maliciels, que les utilisateurs soient sensibilisés, et que la mise à jour des définitions et logiciels de détection soit assurée. Ce template Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, couvre l'architecture de protection anti-malware à plusieurs couches (endpoint, réseau, messagerie, web, cloud), les exigences minimales pour les solutions antivirus traditionnelles et EDR/XDR modernes, les règles de déploiement obligatoire sur tous les équipements du périmètre, les procédures d'alerting et de remédiation, les exceptions justifiées (systèmes legacy incompatibles), et les indicateurs de performance (taux de couverture, délai de mise à jour des signatures). Il s'adresse aux RSSI qui définissent la stratégie de protection des endpoints, aux équipes IT qui déploient et opèrent les solutions anti-malware, aux auditeurs internes qui vérifient la conformité technique des déploiements, et aux responsables achat qui sélectionnent les outils de protection. À lire en parallèle avec la politique de logging et monitoring (A.8.15-16) pour l'intégration des alertes EDR dans le SIEM, et avec la politique de sécurité réseau (A.8.20-22) pour la protection réseau complémentaire.
Contexte réglementaire et normatif
Le contrôle A.8.7 d'ISO/IEC 27001:2022 impose que des mesures de protection contre les maliciels soient mises en place, que les utilisateurs soient sensibilisés aux risques liés aux maliciels, et que les logiciels de détection soient maintenus à jour. Ce contrôle remplace et enrichit l'ancien contrôle A.12.2 de la version 2013.
- Guide ANSSI — Recommandations de sécurité relatives aux systèmes d'extrémité : fournit des recommandations détaillées sur le durcissement des endpoints et les exigences minimales pour les solutions anti-malware, directement alignées avec A.8.7.
- Directive NIS 2 (Article 21.2) : les mesures de sécurité des endpoints font partie des obligations des entités importantes et essentielles. EDR et XDR sont des outils recommandés pour atteindre le niveau de protection requis.
- Référentiel CIS Controls v8 : le contrôle CIS n°10 (Malware Defenses) est directement aligné avec A.8.7 et fournit un niveau de détail technique complémentaire à la norme ISO.
- RGPD (Article 32) : la protection contre les logiciels malveillants est une mesure de sécurité technique obligatoire pour protéger les données personnelles traitées par l'organisation.
Structure détaillée du template
Section 1 — Architecture de protection anti-malware
Présentation du modèle de protection en couches (defense in depth) : protection au niveau des postes de travail et serveurs (antivirus/EDR), protection au niveau de la messagerie (antispam, sandbox d'analyse des pièces jointes), protection au niveau du proxy Web (filtrage URL, analyse des téléchargements), protection au niveau du réseau (IPS, sandbox réseau), protection des environnements cloud (CASB, sécurité cloud workload). Aucune couche n'est suffisante seule — la complémentarité des niveaux de protection est le principe fondamental.
Section 2 — Exigences pour les solutions endpoint
Exigences techniques minimales pour les solutions de protection des endpoints : pour les antivirus traditionnels (NGAV) — mise à jour des signatures au moins toutes les 4 heures, scan en temps réel obligatoire, scan complet hebdomadaire planifié, protection des points de montage réseau, intégration avec le SIEM. Pour les EDR (Endpoint Detection and Response) — détection comportementale (pas uniquement par signatures), capacité d'investigation forensic (timeline d'activité), isolation automatique ou manuelle des postes compromis, collecte de télémétrie pour corrélation SIEM/SOC, mise à jour automatique des définitions et du moteur. Les EDR/XDR sont fortement recommandés pour les systèmes hébergeant des données sensibles.
Section 3 — Périmètre de déploiement obligatoire
Tous les équipements dans le périmètre SMSI doivent être protégés : postes de travail Windows, macOS et Linux, serveurs physiques et virtuels, serveurs de messagerie, serveurs Web exposés, systèmes de fichiers partagés (NAS, fileservers). Exceptions documentées : systèmes legacy incompatibles avec les agents modernes (solution alternative requise : isolation réseau renforcée, surveillance compensatoire), équipements OT/IoT avec contraintes de performance (alternative : réseau isolé, surveillance NDR dédiée).
Section 4 — Gestion des alertes et procédure de remédiation
Workflow de traitement des alertes anti-malware : alerte détectée → classification automatique (bénin/suspect/malveillant) → notification au SOC/IT → investigation (vrai positif ou faux positif ?) → si vrai positif : isolation du poste, analyse forensic, éradication, vérification de propagation, restauration depuis sauvegarde saine → rapport d'incident → RCA si incident significatif. Délais de traitement : alertes de ransomware — isolation immédiate (< 5 minutes), alertes de malware courant — investigation sous 2 heures.
Section 5 — Durcissement applicatif complémentaire
Mesures de durcissement complémentaires réduisant la surface d'attaque : liste blanche applicative (AppLocker/WDAC sur Windows), désactivation des macros Office non signées, blocage des scripts PowerShell non approuvés (Constrained Language Mode), désactivation de SMBv1 et autres protocoles legacy, politique de restriction logicielle (Software Restriction Policies). Ces mesures réduisent significativement l'efficacité des malwares fileless et des attaques de type "living off the land".
Guide d'utilisation étape par étape
Étape 1 — Inventaire de la couverture anti-malware existante
Réalisez un inventaire de l'état de déploiement des solutions anti-malware : liste de tous les équipements du périmètre, pour chacun : solution installée (nom, version), statut de la protection temps réel, date de dernière mise à jour des signatures, date du dernier scan complet, intégration avec le SIEM. Identifiez les équipements non protégés ou avec des agents obsolètes.
Étape 2 — Définir les exigences minimales
Définissez les exigences minimales selon les catégories d'équipements (postes de travail, serveurs, serveurs critiques). Les serveurs critiques (DC, serveurs de bases de données, serveurs de fichiers) justifient une solution EDR plutôt qu'un simple antivirus NGAV. Documentez les critères de sélection des solutions dans la politique.
Étape 3 — Déployer sur 100% du périmètre
Atteindre 100% de couverture est l'objectif principal. Priorisez les équipements à risque élevé (serveurs exposés, postes des administrateurs) et traitez les exceptions documentées séparément (systèmes legacy avec mesures compensatoires). Configurez un tableau de bord de couverture dans votre console de gestion centralisée pour suivre le taux de couverture en temps réel.
Étape 4 — Intégrer les alertes dans le SIEM
Configurez le flux d'alertes de votre solution anti-malware vers le SIEM. Définissez les règles de corrélation : une alerte malware sur plusieurs postes simultanément déclenche une alerte critique (propagation en cours), une alerte sur un serveur critique déclenche une escalade immédiate, une détection de ransomware déclenche l'isolation automatique si la console le permet.
Étape 5 — Former les utilisateurs
La clause A.8.7 impose explicitement la sensibilisation des utilisateurs. Couvrez dans vos formations : comment reconnaître un malware (comportements suspects du poste), que faire en cas de détection (ne pas éteindre le poste, appeler immédiatement le helpdesk), les risques liés aux supports amovibles et aux téléchargements non autorisés, les règles concernant les logiciels personnels (interdits sur les postes professionnels).
Étape 6 — Mesurer et reporter
Indicateurs clés : taux de couverture de déploiement (objectif : 100%), délai moyen de mise à jour des signatures (objectif : < 4 heures), nombre de détections par semaine par catégorie, délai de remédiation des incidents malware, taux de faux positifs des solutions EDR. Ces indicateurs sont reportés mensuellement au RSSI et présentés en revue de direction.
Étape 7 — Réaliser des tests d'efficacité
Testez régulièrement l'efficacité de vos solutions : simulation avec EICAR test file pour vérifier la détection antivirale, tests de penetration incluant des scenarii de bypass antivirus, purple team exercises pour évaluer l'EDR. Documentez les résultats et les ajustements de configuration effectués.
Étape 8 — Réviser annuellement et après incidents
La politique anti-malware doit être révisée annuellement et après tout incident malware significatif. Les nouvelles techniques d'attaque (malwares fileless, LOLBins, supply chain attacks) nécessitent des ajustements réguliers des mesures de protection. Les rapports ANSSI et les bulletins d'alerte CERT-FR sont vos sources d'information pour maintenir la politique à jour.
Tableau des contrôles / checklist complète
| Contrôle | Clause ISO | Statut | Responsable | Preuve | Commentaire |
|---|---|---|---|---|---|
| Politique anti-malware formalisée et approuvée | A.8.7 | À vérifier | RSSI | Document approuvé | |
| Solution anti-malware déployée sur 100% des postes de travail | A.8.7 | À vérifier | DSI | Rapport couverture console | |
| Solution anti-malware déployée sur tous les serveurs | A.8.7 | À vérifier | DSI | Inventaire serveurs vs déploiement | |
| Protection temps réel activée sur tous les équipements | A.8.7 | À vérifier | DSI | Rapport status console AV | |
| Signatures mises à jour automatiquement (max 4h de délai) | A.8.7 | À vérifier | DSI | Config mise à jour console | |
| Moteur anti-malware à jour (version récente) | A.8.7 | À vérifier | DSI | Version moteur vérifiée | |
| Scan complet hebdomadaire planifié et exécuté | A.8.7 | À vérifier | DSI | Planification scan console | |
| Console de gestion centralisée déployée et opérationnelle | A.8.7 | À vérifier | DSI | Accès console | |
| Alertes malware intégrées dans le SIEM | A.8.7 + A.8.15 | À vérifier | SOC / DSI | Config SIEM sources AV/EDR | |
| EDR déployé sur les serveurs critiques | A.8.7 | À vérifier | DSI | Inventaire déploiement EDR | |
| Protection messagerie anti-spam et sandbox active | A.8.7 + A.8.23 | À vérifier | DSI | Config gateway email | |
| Macros Office non signées bloquées | A.8.7 | À vérifier | DSI | GPO macros Office | |
| Exceptions anti-malware documentées et approuvées (systèmes legacy) | A.8.7 | À vérifier | RSSI | Register exceptions | |
| Utilisateurs sensibilisés aux malwares et au phishing | A.8.7 + A.6.3 | À vérifier | RSSI | Attestations formation | |
| Procédure de remédiation malware documentée | A.8.7 + A.5.24 | À vérifier | RSSI | Procédure incidents malware | |
| Test EICAR réalisé pour vérifier l'efficacité de détection | A.8.7 | À vérifier | RSSI / DSI | Rapport test EICAR | |
| Supports amovibles analysés automatiquement à la connexion | A.8.7 | À vérifier | DSI | Config GPO autorun | |
| Taux de couverture suivi et reporté mensuellement | A.8.7 + 9.1 | À vérifier | DSI | Rapport mensuel couverture | |
| Politique révisée annuellement | A.8.7 | À vérifier | RSSI | Historique versions | |
| Isolation automatique des postes compromis configurée (EDR) | A.8.7 + A.5.24 | À vérifier | SOC / DSI | Config isolation EDR | |
| Plan de continuité post-ransomware testé (restauration sauvegarde) | A.8.7 + A.8.13 | À vérifier | DSI / RSSI | Rapport test restauration | |
| Alertes CERT-FR et bulletins ANSSI suivis pour MAJ signatures | A.8.7 | À vérifier | RSSI | Abonnement alertes CERT-FR | |
| KPI malware présentés en revue de direction | 9.3 | À vérifier | RSSI | PV revue direction | |
| Postes avec agents AV/EDR désactivés identifiés et corrigés sous 24h | A.8.7 | À vérifier | DSI | Alerte console AV | |
| Politique d'installation logicielle restreignant les téléchargements non autorisés | A.8.7 | À vérifier | RSSI / DSI | GPO installation logiciels |
Points de vigilance pour l'audit de certification
Piège 1 — Taux de couverture inférieur à 100% sans justification
Chaque équipement sans protection anti-malware est une vulnérabilité documentée pour l'auditeur. Un taux de couverture de 95% signifie que 5% du parc est exposé — l'auditeur demandera la liste des équipements non protégés et la justification. Remédiation : maintenez un tableau de bord de couverture en temps réel et traitez chaque équipement non protégé comme une non-conformité prioritaire.
Piège 2 — Signatures obsolètes sur les serveurs
Les serveurs ont souvent des fenêtres de maintenance restrictives qui peuvent retarder les mises à jour des signatures anti-malware. Un serveur avec des signatures vieilles de plusieurs semaines est une non-conformité. Remédiation : configurez les mises à jour automatiques avec des fenêtres de maintenance planifiées et alertes en cas d'échec de mise à jour.
Piège 3 — Protection en place mais agents désactivés par les utilisateurs
Certains utilisateurs désactivent les agents anti-malware pour améliorer les performances ou contourner les restrictions. Remédiation : protégez par mot de passe l'accès à la configuration de l'agent (mot de passe administrateur requis pour désactiver), configurez des alertes sur la console centrale pour chaque désactivation d'agent, et traitez ces alertes comme des incidents de sécurité.
Piège 4 — Absence de protection des supports amovibles
Les clés USB et autres supports amovibles sont un vecteur d'infection fréquent, encore plus dans les environnements où les postes ne sont pas tous connectés à Internet. Remédiation : bloquez les supports amovibles non autorisés (GPO) ou configurez le scan automatique à la connexion. Documentez la politique de gestion des supports amovibles dans la politique anti-malware.
Intégration dans le SMSI
- Politique Logging et Monitoring (A.8.15-16) : les alertes EDR alimentent le SIEM pour corrélation et détection d'incidents.
- Politique Sauvegarde (A.8.13) : la restauration depuis sauvegarde est la réponse post-ransomware — les deux politiques sont complémentaires.
- Registre des risques : les risques malware (ransomware, espionnage, sabotage) doivent figurer dans le registre avec les mesures A.8.7 comme traitement.
Bonnes pratiques terrain
Migrez vers un EDR si vous utilisez encore uniquement un antivirus traditionnel : les antivirus basés uniquement sur les signatures sont insuffisants contre les malwares modernes (fileless, polymorphiques). L'EDR, avec sa détection comportementale, offre une protection significativement supérieure pour un coût de plus en plus accessible. Les solutions comme Microsoft Defender for Endpoint, CrowdStrike Falcon Go ou Bitdefender GravityZone proposent des options adaptées aux PME.
Testez votre réponse aux ransomwares au moins une fois par an : organisez un exercice de simulation ransomware (tabletop ou exercice technique) pour vérifier que votre procédure de réponse fonctionne, que les sauvegardes sont restaurables dans les délais requis, et que les équipes connaissent leurs rôles. Cet exercice est une excellente démonstration de maturité pour les auditeurs ISO 27001.
FAQ
Antivirus traditionnel ou EDR : comment choisir pour une PME ?
Pour une PME avec des ressources limitées, le choix dépend de son profil de risque et de sa maturité. Un antivirus Next-Gen (NGAV) comme Windows Defender ATP (inclus dans Windows 10/11 Pro) ou ESET Endpoint Security offre un bon niveau de protection de base à faible coût. L'EDR (Endpoint Detection and Response) ajoute la détection comportementale, l'investigation forensic et l'isolation automatique — il est fortement recommandé si votre organisation : traite des données sensibles ou soumises à réglementation, a déjà subi des incidents malware, est soumise à NIS 2, ou a une équipe IT/sécurité capable de traiter les alertes EDR. Pour les PME sans équipe sécurité dédiée, un NGAV bien configuré avec une bonne politique de sauvegarde est un compromis acceptable. Pour les organisations avec des données très sensibles ou soumises à NIS 2, l'EDR (voire le MDR — Managed Detection and Response via un MSSP) est indispensable.
Comment gérer les faux positifs de l'EDR sans perturber la production ?
Les faux positifs des solutions EDR sont une réalité opérationnelle — des applications légitimes peuvent déclencher des alertes comportementales. La gestion des faux positifs est un processus continu qui nécessite du temps au démarrage. Meilleures pratiques : déployez d'abord en mode "détect-only" (sans blocage automatique) pour identifier les faux positifs dans votre environnement, avant de passer en mode "protect" (avec blocage actif). Créez des exclusions justifiées pour les applications légitimes bien connues (logiciels de gestion, outils de monitoring). Documentez chaque exclusion avec la justification business. Pour les applications nouvelles ou peu connues, demandez la vérification par votre prestataire EDR ou validez via VirusTotal. Le tuning initial d'un EDR demande généralement 2 à 4 semaines de travail.
Points clés à retenir
- A.8.7 impose une protection multi-couches : endpoint, messagerie, web, réseau, cloud
- 100% de couverture est l'objectif — chaque équipement non protégé est une non-conformité documentée
- Migrez vers l'EDR pour les serveurs critiques — l'antivirus traditionnel est insuffisant contre les menaces modernes
- Signatures à jour toutes les 4 heures maximum — configurez des alertes sur les échecs de mise à jour
- Les alertes EDR/AV doivent être intégrées dans le SIEM pour corrélation et réponse rapide
- Testez votre réponse aux ransomwares annuellement avec un exercice de simulation
- Sensibilisez les utilisateurs — la protection technique ne suffit pas sans conscience humaine
- Documentez les exceptions (systèmes legacy) avec mesures compensatoires formalisées
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Mise en conformité NIS 2 et ISO 27001
Accompagnement sur mesure pour les PME et ETI soumises à NIS 2 ou engagées dans une démarche ISO 27001. Gap analysis, plan d'action, audit interne.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire