Conformité

ISO 27001 Annexe A 2022 : ce que les nouveaux contrôles changent

L'Annexe A 2022 a remplacé 114 contrôles par 93, dont 11 nouveaux. Threat intelligence, cloud security, secure coding : ce que ça change concrètement pour les certifiés.

Aroua Biri 8 min

L'Annexe A d'ISO/IEC 27001:2022 a profondément restructuré le catalogue de contrôles. Les 114 contrôles répartis en 14 domaines de l'édition 2013 sont devenus 93 contrôles en 4 thèmes — avec 11 nouveaux contrôles spécifiquement adaptés aux pratiques 2024-2026. Voici ce qui change concrètement, surtout pour les organisations qui renouvellent leur certification cette année.

La nouvelle structure

4 thèmes au lieu de 14 domaines

  • A.5 Organizational controls (37 contrôles).
  • A.6 People controls (8).
  • A.7 Physical controls (14).
  • A.8 Technological controls (34).

C'est plus simple, plus aligné avec une lecture "qui fait quoi" plutôt que "quel sujet".

Mapping avec ISO 27002:2022

ISO 27002:2022 (le guide d'implémentation) a été republié en parallèle, avec les mêmes 93 contrôles détaillés. C'est désormais le document de référence à lire en priorité, pas l'Annexe A elle-même.

Les 11 nouveaux contrôles

A.5.7 — Threat intelligence

Vous devez collecter et analyser de l'information sur les menaces pertinentes pour votre organisation, et l'utiliser pour adapter vos contrôles.

Implications pratiques :

  • Abonnements à des sources de threat intel (commerciales : Recorded Future, Mandiant ; gratuites : ANSSI, CERT-FR, MISP).
  • Process documenté pour transformer les indicateurs en actions (mise à jour de règles SIEM, blocages préventifs).
  • Reporting régulier au comité sécurité.

A.5.23 — Information security for use of cloud services

Politique et procédures spécifiques pour l'usage des services cloud.

Implications pratiques :

  • Inventaire des services cloud utilisés.
  • DDQ et DPA pour chaque fournisseur cloud.
  • Procédure d'onboarding/offboarding des services cloud.
  • Configuration sécurité documentée par service.
  • Monitoring centralisé.

A.5.30 — ICT readiness for business continuity

Préparation TIC pour la continuité d'activité, au-delà des sauvegardes.

Implications pratiques :

  • Plans de continuité TIC documentés et testés.
  • Architectures redondantes pour les services critiques.
  • Tests de bascule réguliers (chaos engineering).
  • RTO/RPO mesurés et tenus.

A.7.4 — Physical security monitoring

Surveillance physique active des sites.

Implications pratiques :

  • Caméras, contrôle d'accès avec logs.
  • Si bureau commercial uniquement avec data center cloud : mention dans la SoA que le contrôle est applicable côté fournisseur cloud (qui le couvre via SOC 2 ou équivalent).

A.8.9 — Configuration management

Gestion des configurations de manière systématique.

Implications pratiques :

  • IaC (Terraform, Ansible) pour toutes les configurations sensibles.
  • Versioning Git de toute config production.
  • Revue de configuration baseline trimestrielle.
  • Détection des dérives de config (drift detection).

A.8.10 — Information deletion

Suppression sécurisée et certifiée des informations.

Implications pratiques :

  • Procédure documentée de suppression.
  • Implémentation sécurité (overwrite physique, crypto-shredding).
  • Certification de suppression pour les clients.

A.8.11 — Data masking

Masquage des données sensibles dans les environnements non-production.

Implications pratiques :

  • Anonymisation/pseudonymisation des dumps DB pour staging et dev.
  • Outils dédiés (Faker, Snaplet, Tonic.ai).
  • Pas de PII de production en dev/staging.

A.8.12 — Data leakage prevention

Mesures de prévention des fuites de données.

Implications pratiques :

  • DLP (Data Loss Prevention) sur email et endpoints.
  • Classification des données (labels Microsoft, équivalent).
  • Restrictions sur copy/paste, screenshots, USB pour les données classifiées.

A.8.16 — Monitoring activities

Surveillance active des systèmes pour détecter des comportements anormaux.

Implications pratiques :

  • SIEM avec règles de détection.
  • Logs centralisés.
  • Alerting sur anomalies.
  • Threat hunting régulier.

A.8.23 — Web filtering

Filtrage de l'accès aux sites web malveillants ou inappropriés.

Implications pratiques :

  • Solution de filtrage DNS ou proxy (Zscaler, Cloudflare Gateway, OpenDNS).
  • Politique d'usage acceptable.
  • Logs et review périodique.

A.8.28 — Secure coding

Pratiques de développement sécurisé documentées.

Implications pratiques :

  • Standards de code sécurisé documentés.
  • Formation obligatoire des développeurs.
  • SAST en CI/CD (voir DevSecOps quality gates).
  • Code review systématique avec critères sécurité.
  • Pen test régulier.

Les contrôles fusionnés ou supprimés

Certains contrôles 2013 ont disparu, fusionnés, ou ont changé de catégorie. Notable :

  • A.10 (Cryptographie) → fusionné dans technological controls.
  • A.13 (Communications security) et A.14 (Acquisition) → reorganisés.
  • A.18 (Compliance) → réparti entre les nouveaux thèmes.

Le mapping détaillé est fourni en annexe d'ISO 27002:2022.

Pour qui ?

Renouvellement de certification 2026

Si votre certification actuelle est sur la version 2013, votre prochain audit de surveillance ou de renouvellement va se faire sur la 2022. Période de transition fixée par les organismes de certification : généralement jusqu'à octobre 2025 ou octobre 2026 selon l'organisme.

Première certification

Vous démarrez directement sur la version 2022. Pas de migration à faire.

La roadmap de migration (si vous étiez sur 2013)

Mois 1 — Diagnostic

  • Mapper vos 114 contrôles actuels vers les 93 nouveaux.
  • Identifier les 11 nouveaux contrôles à ajouter.
  • Mettre à jour le SoA (Statement of Applicability).

Mois 2-4 — Mise à niveau

  • Adresser les nouveaux contrôles avec le moins de gap (typiquement secure coding, configuration management, monitoring).
  • Roadmap pour les chantiers structurels (DLP, data masking).

Mois 5-6 — Audit de transition

  • Audit interne avec les nouveaux contrôles.
  • Audit de transition avec votre organisme certificateur.
  • Mise à jour de votre certificat.

Coût de migration

Pour une organisation déjà ISO 27001:2013 :

  • Ajustement documentaire : 5-15 k€ (consulting + temps interne).
  • Mise en place des nouveaux contrôles : 30-100 k€ selon ce qui manque.
  • Audit de transition : 5-15 k€.

Total typique : 40-130 k€ pour une scale-up.

Le piège — voir 2022 comme cosmétique

Beaucoup d'organisations qui font la transition se contentent de mapper l'ancien et de changer les références dans les docs. Erreur. Les 11 nouveaux contrôles introduisent des vraies pratiques nouvelles (threat intelligence, secure coding documenté, DLP, data masking) qui demandent du temps et du budget pour être implémentées sérieusement.

Posture saine : la transition est une opportunité pour rehausser la posture sécurité réelle, pas seulement le dossier audit.

Voir ISO 27001 audit : ce que les auditeurs vérifient pour la vue auditeur.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéISO 27001 SaaS B2B ConformitéAudit ISO 27001 ConformitéISO 42001

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt