ISO 27000 - Une famille de norme sur la sécurité informatique

Gabin P.
Date publication
January 19, 2024
time to read
5 min
ISO 27000 - Une famille de norme sur la sécurité informatique

Avec la multiplication des cyberattaques depuis la pandémie, la protection des données représente aujourd’hui l’une des préoccupations majeures pour les entreprises. Mais faute de méthodologie adéquate, elles peinent à sécuriser totalement leur système d’information. D’où l’importance de définir un cadre et des processus. C’est justement l’objectif de la famille de normes ISO 27000. Décryptage. 

Qu’est-ce que la famille de normes ISO 27000 ? 

Pour donner un cadre de référence en matière de sécurité de l’information, l'Organisation Internationale de Normalisation (ISO) et la Commission Électrotechnique Internationale (CEI) ont créé la famille de normes spécifiques : ISO 27000. Ces normes définissent une méthode de management de risques informatiques avec un ensemble de processus liés à la gestion des systèmes d'information. L’objectif : aider les entreprises à protéger leurs données. Ce peut être les données financières, les données clients, les données stratégiques, les secrets de fabrication, les données liées à la propriété intellectuelle, etc. 

Au-delà de la diversité des données, la famille de normes ISO/IEC 27000 s’applique à toutes les entreprises, quelle que soit leur taille ou leur secteur d'activité. 

Illustration d'un globe entouré de flux de données numériques, codes cryptés et barrières de protection, symbolisant la sécurité mondiale de l'information selon les normes ISO 27000.

Quelles sont les différentes normes ISO/CEI 27000 ? 

ISO 27000 est une famille de normes. Ce qui signifie qu’elle ne contient pas une seule norme, mais plusieurs. Il y a d’abord ISO 27000 qui est le socle de base avec un langage commun pour toutes les autres normes de la série.

Les normes ISO 27000

Parmi les normes ISO 27001 les plus importantes, vous retrouverez : 

  • ISO 27001 : c’est la norme de référence pour la mise en œuvre d’un Système de Management de Sécurité de l’Information (SMSI). Seule ISO 27001 débouche sur une certification pour l’entreprise (pour les autres, la certification se situe au niveau des compétences de l’expert cyber). 
  • ISO 27002 : elle fournit un code de bonnes pratiques pour aider les organisations à optimiser la gestion de leur SI. Ces lignes directrices s’articulent à travers 114 contrôles de sécurité, structurés en 14 domaines et 35 objectifs de contrôle.
  • ISO 27003 : il s’agit d’un guide pour mettre en œuvre le Système de Management de Sécurité de l’Information . 
  • ISO 27004 : elle se focalise sur la définition d’évaluation de performance du système de gestion de la sécurité de l’information. 
  • ISO 27005 : cette norme est relative à la gestion des risques liés aux systèmes de gestion de l’information, et plus précisément, la méthodologie à utiliser. Plus d’infos. 
  • ISO 27006 : elle regroupe les exigences à respecter pour obtenir l'accréditation ISO/IEC-27001.
  • ISO 27007 : ce  guide définit les procédures d’audits internes et externes pour la certification ISO 27001.  
  • ISO 27008 : cette norme se concentre sur les contrôles du SMSI et leur efficacité en termes d’atténuation des risques.
  • ISO 27010 : cette norme vous fournit des indications relatives au traitement des données en cas de partage.
  • ISO 27013 : ce sont les lignes directrices relatives aux normes 27001 (SGSI) et 20000 Système de gestion des services (SGS). 
  • ISO 27014 : l’objectif est d’aider les entreprises à évaluer et surveiller toutes les activités liées à la sécurité de l’information. 
  • ISO 27016 : c’est un guide visant à faciliter la prise de décision économique en matière de gestion de la sécurité de l’information. 
  • ISO 27017 : ce guide regroupe 37 contrôles spécifiques pour les services cloud. 
  • ISO 27018 : c’est un complément des normes 27001 et 27002. 

Les normes par secteur d’activité

Au-delà des normes assez généralistes, il y a des normes 27000 spécifiques à certains secteurs d’activités. Par exemple : 

  • ISO 27009 : c’est un complément de la norme 27001. Vous y trouverez de nouveaux contrôles relatifs à certains secteurs spécifiques. 
  • ISO 27011 : cette norme définit les principes de mise en œuvre, de maintien et de gestion d’un SMSI pour les organisations de télécoms. 
  • ISO 27015 : elle est spécifique aux entreprises proposant des services financiers. 
  • ISO 27019 : elle s’applique essentiellement aux industries liées au secteur de l’énergie. 

Divers logos stylisés représentant les certifications de la série ISO 27000, chacun symbolisant un aspect différent de la gestion de la sécurité de l'information, dans un design coloré et professionnel.

Pourquoi se certifier ISO 27000 ? 

Seules les entreprises ayant mis en œuvre les mesures reconnues par la communauté internationale peuvent obtenir la certification ISO 27000. Ce faisant, elles témoignent de leurs bonnes pratiques en matière de sécurité de l’information. Ce qui est bénéfique aussi bien en interne qu’en externe : 

  • Un renforcement de la protection des données : les entreprises sont capables d’identifier les menaces qui pèsent sur leur système d’information. Mais surtout, elles sont capables de les gérer efficacement. 
  • Une maîtrise des coûts : en améliorant leurs pratiques pour sécuriser leur SI, les entreprises limitent les coûts liés aux attaques éventuelles et suppriment les mesures inutiles. 
  • Une activité pérenne : les entreprises certifiées ISO 27000 sont capables de protéger leurs ressources les plus précieuses. À savoir  les données. 
  • Une amélioration de l’image de marque : grâce à la certification, la confiance des clients et partenaires envers la société est renforcée. Ce qui peut améliorer l’avantage concurrentiel. 
  • Une conformité à la réglementation : notamment le règlement général pour la protection des données (RGPD). 


Passez la certification ISO 27000 avec CyberUniversity 

Que vous soyez responsable de la sécurité et de la conformité de l’information, ingénieur cyber, analyste cyber, DevSecOps, consultant en sécurité... la certification ISO permet d’attester de vos compétences et connaissances en matière de sécurité de l’information.

Mais pour obtenir ce certificat, il est nécessaire de s’y préparer. C’est justement l’objectif de la CyberUniversity. Découvrez notre formation ISO 27000. 

Dans cet article :

Voir nos formations