L Annexe A de l ISO 27001:2022 contient 93 contrôles de sécurité répartis en 4 thèmes : organisationnels, humains, physiques et technologiques. Lors de l audit de certification, chaque contrôle retenu dans la Déclaration d Applicabilité (SOA) est vérifié par l auditeur. Cette checklist exhaustive couvre les 93 contrôles avec les preuves attendues, les points de vigilance et les critères de conformité. Utilisable comme outil d audit interne ou de préparation à la certification, elle constitue un support terrain indispensable pour tout RSSI, consultant ISO 27001 ou auditeur. Un modèle Excel téléchargeable avec scoring automatique et tableau de bord est disponible en fin d article pour structurer vos campagnes d audit.
En bref
- 93 contrôles répartis en 4 thèmes (vs 114 en 14 domaines dans la version 2013)
- 11 nouveaux contrôles introduits par la version 2022
- Checklist Excel avec scoring automatique téléchargeable
- Chaque contrôle est détaillé avec les preuves attendues par l auditeur
Structure de l Annexe A ISO 27001:2022
La version 2022 de l ISO 27001 a profondément restructuré l Annexe A. Les 114 contrôles de la version 2013 (14 domaines) ont été consolidés en 93 contrôles organisés en 4 thèmes :
| Thème | Référence | Nombre de contrôles | Périmètre |
|---|---|---|---|
| Organisationnels | A.5 | 37 | Politiques, rôles, classification, conformité |
| Humains | A.6 | 8 | Screening, sensibilisation, fin de contrat |
| Physiques | A.7 | 14 | Locaux, équipements, supports amovibles |
| Technologiques | A.8 | 34 | Accès, crypto, développement, monitoring |
Nouveauté 2022
Chaque contrôle de l Annexe A est désormais catégorisé selon 5 attributs : type de contrôle (préventif, détectif, correctif), propriétés de sécurité (CIA), concepts de cybersécurité, capacités opérationnelles et domaines de sécurité. Ces attributs facilitent le mapping avec d autres référentiels (NIST CSF, CIS Controls).
Les 11 nouveaux contrôles de l ISO 27001:2022
La version 2022 introduit 11 contrôles entièrement nouveaux qui reflètent l évolution du paysage de la cybersécurité :
| Contrôle | Intitulé | Thème | Objectif |
|---|---|---|---|
| A.5.7 | Threat Intelligence | Organisationnel | Collecte et analyse de renseignements sur les menaces |
| A.5.23 | Sécurité cloud | Organisationnel | Sécurisation des services cloud acquis |
| A.5.30 | Préparation TIC pour la continuité | Organisationnel | Continuité d activité spécifique aux TIC |
| A.7.4 | Surveillance physique | Physique | Monitoring des accès physiques |
| A.8.9 | Gestion de la configuration | Technologique | Standardisation des configurations |
| A.8.10 | Suppression des informations | Technologique | Effacement sécurisé des données |
| A.8.11 | Masquage des données | Technologique | Data masking pour environnements non-prod |
| A.8.12 | Prévention des fuites de données | Technologique | DLP sur les canaux de communication |
| A.8.16 | Activités de monitoring | Technologique | Supervision continue de la sécurité |
| A.8.23 | Filtrage web | Technologique | Contrôle de l accès aux sites web |
| A.8.28 | Codage sécurisé | Technologique | Pratiques de développement sécurisé |
Checklist Thème A.5 : Contrôles Organisationnels (37)
Les contrôles organisationnels constituent le socle de gouvernance du SMSI. Voici les contrôles clés avec les preuves attendues :
| Réf | Contrôle | Preuves attendues | Points de vigilance |
|---|---|---|---|
| A.5.1 | Politiques de sécurité | PSSI signée, politiques dérivées | Date de révision, communication aux parties |
| A.5.2 | Rôles et responsabilités | Fiches de poste, matrice RACI | RSSI formellement nommé |
| A.5.3 | Séparation des tâches | Matrice d incompatibilité | Admin != auditeur, dev != prod |
| A.5.4 | Responsabilités de la direction | PV de revue de direction | Engagement budgétaire documenté |
| A.5.5 | Contact avec les autorités | Annuaire ANSSI, CNIL, gendarmerie | Procédure de notification d incident |
| A.5.7 | Threat Intelligence | Sources CTI, rapports d analyse | Nouveau 2022 - Souvent mal implémenté |
| A.5.8 | Sécurité dans la gestion de projet | Checklist sécurité dans les projets | Analyse de risques par projet |
| A.5.9 | Inventaire des actifs | CMDB, registre des actifs | Propriétaire assigné à chaque actif |
| A.5.10 | Utilisation acceptable des actifs | Charte informatique | Signée par tous les collaborateurs |
| A.5.23 | Sécurité cloud | Politique cloud, contrats fournisseurs | Nouveau 2022 - Clauses de sécurité contractuelles |
| A.5.24 | Planification gestion des incidents | Procédure de gestion d incidents | Critères de classification, escalade |
| A.5.31 | Exigences légales | Registre réglementaire | RGPD, NIS 2, DORA, LPM selon contexte |
Point d audit critique
Les contrôles A.5.1 (politiques) et A.5.9 (inventaire des actifs) sont vérifiés en priorité par l auditeur car ils conditionnent l ensemble du SMSI. Un inventaire des actifs incomplet ou une PSSI non révisée depuis plus d un an génèrent systématiquement des non-conformités majeures.
Checklist Thème A.6 : Contrôles Humains (8)
| Réf | Contrôle | Preuves attendues | Points de vigilance |
|---|---|---|---|
| A.6.1 | Sélection des candidats | Procédure de screening, vérifications | Casier judiciaire pour postes sensibles |
| A.6.2 | Conditions d emploi | Clauses de confidentialité, charte | Signées avant l accès au SI |
| A.6.3 | Sensibilisation et formation | Plan de sensibilisation, attestations | Programme annuel avec évaluation |
| A.6.4 | Processus disciplinaire | Procédure de sanctions | Échelle graduée documentée |
| A.6.5 | Fin ou changement de contrat | Procédure de départ | Révocation des accès sous 24h |
| A.6.6 | Accords de confidentialité | NDA signés | Inclure prestataires et stagiaires |
| A.6.7 | Travail à distance | Politique télétravail | VPN, chiffrement, environnement sécurisé |
| A.6.8 | Signalement d événements | Procédure de signalement | Canal accessible à tous, non punitif |
Checklist Thème A.7 : Contrôles Physiques (14)
| Réf | Contrôle | Preuves attendues |
|---|---|---|
| A.7.1 | Périmètres de sécurité physique | Plans des zones, niveaux d accès |
| A.7.2 | Contrôles d entrée physique | Badges, registre des visiteurs, vidéosurveillance |
| A.7.3 | Sécurisation des bureaux et locaux | Clean desk policy, armoires fermées |
| A.7.4 | Surveillance de la sécurité physique | Système de surveillance, alertes (nouveau 2022) |
| A.7.5 | Protection contre les menaces environnementales | Détection incendie, inondation, climatisation |
| A.7.8 | Emplacement et protection des équipements | Salle serveur sécurisée, onduleurs |
| A.7.10 | Supports de stockage | Procédure de destruction, chiffrement |
| A.7.14 | Mise au rebut sécurisée | Certificats de destruction, procédures |
Checklist Thème A.8 : Contrôles Technologiques (34)
Les contrôles technologiques sont les plus nombreux et les plus techniques. Voici les contrôles critiques :
| Réf | Contrôle | Preuves attendues | Points de vigilance |
|---|---|---|---|
| A.8.1 | Terminaux utilisateurs | MDM, politique BYOD | Chiffrement obligatoire |
| A.8.2 | Droits d accès privilégiés | PAM, comptes admin séparés | Revue trimestrielle |
| A.8.5 | Authentification sécurisée | MFA déployé, politique mots de passe | MFA sur tous les accès critiques |
| A.8.7 | Protection contre les malwares | EDR/XDR déployé, logs | Couverture 100% des endpoints |
| A.8.8 | Gestion des vulnérabilités | Scanner déployé, SLA remédiation | Critiques sous 72h |
| A.8.9 | Gestion de la configuration | Baselines, SCCM/GPO (nouveau 2022) | Durcissement documenté |
| A.8.12 | Prévention des fuites de données | DLP déployé, règles (nouveau 2022) | Email, USB, cloud monitoring |
| A.8.15 | Journalisation | SIEM, politique de logs | Conservation 12 mois minimum |
| A.8.16 | Activités de monitoring | SOC ou supervision (nouveau 2022) | Alertes et escalade 24/7 |
| A.8.20 | Sécurité des réseaux | Pare-feu, segmentation, IDS/IPS | Règles documentées et révisées |
| A.8.24 | Utilisation de la cryptographie | Politique crypto, certificats | TLS 1.2+ obligatoire |
| A.8.25 | Cycle de vie du développement | S-SDLC, revues de code | Dev sécurisé ISO 27001 |
| A.8.28 | Codage sécurisé | Standards OWASP, SAST/DAST (nouveau 2022) | Formation développeurs |
Préparer l audit de certification : méthodologie
Pour utiliser cette checklist efficacement en préparation de l audit, suivez cette approche :
- Auto-évaluation initiale : parcourez les 93 contrôles et évaluez chacun (conforme, partiellement conforme, non conforme, non applicable)
- Collecte des preuves : pour chaque contrôle conforme, rassemblez les preuves documentaires
- Plan de remédiation : pour les non-conformités, définissez un plan d action avec responsable et échéance
- Audit interne : faites auditer par un tiers indépendant avant l audit de certification
- Revue de direction : présentez les résultats à la direction pour validation
Télécharger la checklist Excel complète
Checklist Audit ISO 27001 Annexe A
93 contrôles — Scoring automatique — Tableau de bord — Clauses 4 à 10 incluses
Télécharger la checklist (.xlsx)À retenir
L audit de certification ISO 27001 ne vérifie pas les 93 contrôles un par un. L auditeur se concentre sur les contrôles retenus dans votre SOA et vérifie par échantillonnage. Cependant, tout contrôle exclus de la SOA doit être justifié. Préparez vos justifications d exclusion avec autant de rigueur que vos preuves de conformité.
Ressources complémentaires
- ISO 27001:2022 — Guide complet de certification
- Analyse de risques ISO 27005 — Méthodologie
- SOA ISO 27001 — Guide Statement of Applicability
- ISO/IEC 27001:2022 — Norme officielle
- Modèle IA ISO 27001 Expert
Audit ISO 27001 : faites-vous accompagner
Préparation à la certification, audits techniques et pentests inclus
Demander un devis gratuitFAQ — Audit ISO 27001 Annexe A
Faut-il implémenter les 93 contrôles de l Annexe A ?
Non. L Annexe A est un catalogue de référence. Seuls les contrôles pertinents identifiés par votre analyse de risques doivent être implémentés. Les exclusions sont documentées et justifiées dans la Déclaration d Applicabilité (SOA). En pratique, la plupart des organisations retiennent 70 à 85 contrôles.
Combien de temps dure un audit ISO 27001 ?
La durée dépend de la taille de l organisme et du périmètre. Pour une PME de 50 à 200 personnes, comptez 5 à 8 jours d audit sur site (étape 2). L étape 1 (revue documentaire) prend 1 à 2 jours supplémentaires. Les audits de surveillance annuels sont plus courts (2 à 4 jours).
Que se passe-t-il en cas de non-conformité majeure ?
Une non-conformité majeure suspend la certification jusqu à sa résolution. L organisme dispose généralement de 90 jours pour proposer et mettre en oeuvre un plan d action correctif. L auditeur vérifie ensuite l efficacité de la correction lors d un audit complémentaire.
Article recommandé
Complétez votre préparation avec notre guide sur la Feuille de Route ISO 27001 en 12 Étapes pour planifier votre parcours de certification de bout en bout.
Besoin d'un accompagnement expert ?
Audit, conseil, mise en conformité — devis personnalisé sous 24h.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
RGPD et AI Act : Guide de Double Conformité 2026
Guide complet pour la double conformité RGPD et AI Act : cartographie des chevauchements, conflits potentiels, framework en 10 étapes, cas pratiques et checklist.
ISO 42001 : Guide Complet du Système de Management de l'Intelligence Artificielle
Guide complet ISO 42001 : architecture du SMIA, 38 contrôles Annexe A, évaluation d'impact IA, roadmap d'implémentation 12 mois, comparaison AI Act. Modèles gratuits inclus.
SOA ISO 27001 : Statement of Applicability Complet
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire