Les 42 mesures et la 27001
On pourra lui trouver des défauts : toutes les mesures ne sont pas applicables à tout le monde ou en totalité, beaucoup sont très largement interprétables, il reste de l’ordre du basique, etc. Oui, sauf que si tout un chacun appliquait au mieux ce qui est pertinent pour son domaine/secteur, le monde (cyber) et la sécurité (cyber) ne s’en porteraient que mieux. La question se pose toutefois de savoir comment articuler ce guide avec des démarches normatives telle la 27001. À multiplier les guides, les textes, les obligations réglementaires ou normatives et les bonnes pratiques, le RSSI finit par s’éparpiller sans fin, et on n’avance plus. Paradoxalement, la réponse à cette question de fond n’est pas dans la 27001, mais dans son annexe (déclinée en 27002).
Séparer en deux parties distinctes (27001 et annexe A) ce qui relève du système de management de la qualité (SMQ) des mesures techniques est une spécificité de la 27001 qui déroute les experts issus de la 9001. Certes, appréhender cette approche n’a rien de trivial, mais cette dernière confère un avantage absolument énorme : l’existence d’une déclaration d’applicabilité (DDA, et au demeurant il n’est pas obligatoire de prendre celle de l’annexe A même si c’est fortement conseillé dans un premier temps, mais ce seul sujet nécessiterait un article dédié).
Dans la liste de mesures de la DDA, il faut :
– en retenir la plupart et justifier celles qui ne sont pas retenues (Plan) ;
– mettre en place des mesures techniques pour couvrir celles qui sont retenues (Do) ;
– couvrir ces dernières par des contrôles : si une mesure est prise, un contrôle s’effectue pour vérifier qu’elle est bien déroulée (Check) ;
– améliorer tout le dispositif (Act).
L’idée est de considérer que la DDA est un onglet d’un fichier Excel auquel on va ajouter un onglet pour les 42 mesures d’hygiène de l’Anssi, un autre pour les mesures de la HAS 2024 et un autre pour chaque obligation normative ou réglementaire.
L’autre idée est d’externaliser le registre des mesures afin de disposer d’un catalogue autonome des mesures (MS001 : vérifier les comptes admin de domaine ; MS002 : scanner la DMZ ; MS003 : revoir les habilitations DPI, etc.). Cette démarche permet de factoriser les mesures et de faire pointer la DDA et chaque ligne des autres onglets vers un registre externalisé et mutualisé des mesures. Autant ne faire le boulot qu’une seule fois.
Troisième étape : externaliser les contrôles et faire pointer les mesures vers ce registre des contrôles. Dans certains cas, ce sont directement les lignes de la DDA qui pointent vers les contrôles quand la mesure n’a pas de sens (n’a pas à être documentée) ou constitue un contrôle en soi.
Considérer l’ensemble des obligations normatives ou réglementaires comme un onglet de plus dans la DDA facilite énormément le pilotage de l’ensemble par le RSSI.
Externaliser le registre de mesures permet de les factoriser et de ne faire le travail qu’une seule fois : beaucoup de mesures techniques se recoupent dans l’ensemble de ces obligations. Idem pour le registre des contrôles.
Et cerise sur le gâteau : il est très facile de construire des indicateurs opérationnels, comme le taux de couverture par les mesures de telle norme ou de tel texte, le taux de couverture des mesures par les contrôles, etc.
Et cerise sur la cerise : quand on commence à aborder la 27701 (sécurité des données personnelles), on percute immédiatement sur le fait que :
– à terme, il est probable qu’elle soit éclatée en deux (27701 et 27702) ;
– une bonne partie des mesures couvre déjà une bonne partie de la 27701 existante ;
– idem pour les contrôles.
On peut facilement s’épuiser dans ce qui est en train de devenir un maquis réglementaire : quand on n’a pas de tête, il faut avoir des jambes. Ou on peut poser les crayons deux minutes : travail organisé est à moitié fait.
De rien.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Comment quantifier un risque
31 mars 2026 - 08:06,
Tribune
-Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire
23 mars 2026 - 09:58,
Actualité
- Rédaction, DSIHEn validant l’autorisation donnée au Health Data Hub pour traiter des données de santé hébergées par Microsoft en France, le Conseil d’État consolide le cadre posé par la CNIL dans sa décision du 20 mars 2026, relative à l’autorisation CNIL 2025‑013 (délibération n° 2025‑013 du 13 février 2025, proj...
Imprivata lance Agentic Identity Management pour sécuriser et gouverner les agents IA dans le secteur de la santé
11 mars 2026 - 09:52,
Communiqué
- ImprivataImprivata, fournisseur leader de solutions de gestion des identités et des accès pour le secteur de la santé et les industries critiques, vient de dévoiler Agentic Identity Management, de nouvelles capacités conçues pour sécuriser et gouverner les agents IA dans les environnements de soins de santé ...
