ISO/IEC 27001

Qu’est-ce qu’ISO/IEC 27001 ?

ISO/IEC 27001 est une norme internationale de l’Organisation internationale de normalisation (ISO) et de la Commission électrotechnique internationale (IEC), qui définit les exigences relatives à un Système de Management de la Sécurité de l’Information (SMSI). La version actuelle ISO/IEC 27001:2022 contient en Annexe A 93 contrôles de sécurité répartis en 4 thèmes (organisationnels, personnels, physiques, technologiques).

La certification ISO 27001 est volontaire, mais elle devient de facto obligatoire en B2B — la plupart des clients enterprise l’exigent lors de la sélection d’un fournisseur SaaS. Le processus de certification comprend :

1. Analyse des écarts par rapport aux exigences de la norme
2. Mise en œuvre du SMSI — politiques, procédures, contrôles
3. Audit interne
4. Audit de certification par un organisme accrédité (ex. Bureau Veritas, TÜV, AFNOR Certification)
5. Recertification tous les 3 ans, audit de surveillance chaque année

Principaux domaines de l’Annexe A 2022 :

• A.5 Contrôles organisationnels — politiques, rôles, fournisseurs
• A.6 Contrôles du personnel — vérification des antécédents, discipline
• A.7 Contrôles physiques — accès aux bâtiments, centres de données
• A.8 Contrôles technologiques — cryptographie, journalisation, accès

Quand l’utiliser ?

ISO 27001 est pertinente pour :

• Les fournisseurs SaaS — les clients l’exigent
• Les institutions financières et fintechs
• Les administrations publiques — obligatoire pour certains projets
• Le secteur de la santé et les infrastructures critiques

Termes associés

• RGPD — ISO 27001 aide considérablement à la conformité RGPD. Voir /fr/glossaire/gdpr.
• RBAC — contrôle technique de l’Annexe A. Voir /fr/glossaire/rbac.
• SSO — contrôle technologique fréquent. Voir /fr/glossaire/sso.

Dans Modulario

Modulario met en œuvre les contrôles ISO 27001 dans ses opérations cloud — chiffrement des données au repos et en transit, RBAC, journalisation d’audit, processus de réponse aux incidents. Les détails sur les certifications et les sous-traitants sont disponibles sur la page sécurité.

Modulario fournit à ses clients un reporting SOC 2 et ISO 27001 pour faciliter les audits de conformité. Les clients reçoivent la liste des sous-traitants avec hébergement dans l’UE, les tests de pénétration et la documentation des incidents de sécurité — tout est disponible dans le portail client.

En France et dans l’UE, d’autres certifications pertinentes existent — ISO/IEC 27701 (extension pour la protection des données personnelles), ISO 9001 (qualité) et SecNumCloud (qualification ANSSI pour le cloud souverain). Les entreprises SaaS modernes cumulent souvent plusieurs certifications pour réussir les appels d’offres enterprise et B2B public.