Pentest ISO 27001 — Tests d'Intrusion pour la Certification et la Conformité SMSI

La norme ISO/IEC 27001 définit les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un Système de Management de la Sécurité de l'Information (SMSI). Elle repose sur une approche par les risques : l'organisation doit identifier ses risques, les traiter, et prouver l'efficacité de ses traitements.

L'Annexe A de la norme ISO 27001 liste 93 contrôles de sécurité (dans la version 2022) que l'organisation peut choisir d'appliquer en fonction de son analyse de risque. Le contrôle 8.8 (anciennement A.12.6.1) porte sur la gestion des vulnérabilités techniques et exige que l'organisation obtienne en temps utile des informations sur les vulnérabilités techniques des systèmes d'information utilisés, évalue l'exposition de l'organisation à ces vulnérabilités, et prenne les mesures appropriées pour traiter les risques associés.

Le contrôle 8.9 porte sur la gestion de la configuration et implique des vérifications régulières que les systèmes sont correctement configurés. Le contrôle 5.37 couvre les procédures d'exploitation documentées. Le contrôle 8.25 adresse la sécurité du cycle de développement sécurisé. Pris ensemble, ces contrôles créent un cadre dans lequel les tests d'intrusion réguliers sont non seulement appropriés, mais attendus par les auditeurs de certification.

En pratique, lors d'un audit de certification ISO 27001, l'auditeur cherchera à vérifier que votre organisation a un processus documenté pour identifier et traiter les vulnérabilités techniques. Les rapports de tests d'intrusion, accompagnés de plans de remédiation documentés et de preuves de correction, constituent l'une des meilleures preuves de la mise en œuvre effective de ces contrôles.

Les auditeurs ISO 27001 ne prescrivent pas un format spécifique de test d'intrusion, mais ils évaluent la cohérence entre l'analyse de risque de l'organisation, les contrôles sélectionnés dans la Déclaration d'Applicabilité (DdA), et les preuves de leur efficacité.

Un pentest ISO 27001 efficace doit être aligné sur le périmètre du SMSI et les actifs identifiés comme critiques dans votre inventaire des actifs (contrôle 5.9). Le rapport doit permettre à l'auditeur de voir clairement quels actifs ont été testés, quelles vulnérabilités ont été identifiées, comment elles ont été traitées, et quel est le niveau de risque résiduel.

La traçabilité est essentielle : chaque vulnérabilité identifiée lors du pentest doit être enregistrée dans votre outil de suivi des risques ou des non-conformités, avec un responsable désigné, un plan d'action et une date de correction. Cette traçabilité démontre que votre SMSI fonctionne effectivement en cycle d'amélioration continue (PDCA) et non comme un simple exercice de conformité papier.

Pour les renouvellements de certification (audits de surveillance annuels et audit de renouvellement tous les 3 ans), l'évolution dans le temps est importante. L'auditeur comparera les résultats des tests d'intrusion successifs pour vérifier que les vulnérabilités identifiées précédemment ont bien été corrigées et que le niveau de risque technique de l'organisation s'améliore ou reste sous contrôle.

Atlas RedConsult a développé une méthodologie spécifique pour les tests d'intrusion réalisés dans le cadre de certifications ISO 27001. Notre approche maximise la valeur des tests pour votre SMSI tout en produisant un rapport directement exploitable par votre auditeur de certification.

Avant de démarrer les tests, nous analysons votre Déclaration d'Applicabilité (DdA) et votre registre des risques pour aligner le périmètre des tests sur les actifs et les risques que vous avez identifiés. Cette cohérence est précisément ce que recherche un auditeur ISO 27001 sérieux.

Notre rapport pentest ISO 27001 inclut des sections spécifiques : un mapping avec les contrôles ISO 27001 applicables, une évaluation de l'efficacité des contrôles existants avec référence à votre DdA, des recommandations de remédiation formatées pour intégration dans votre registre des risques, et une synthèse exécutive utilisable comme preuve dans votre dossier de certification.

Nous pouvons également intervenir comme conseil lors de votre audit de certification pour expliquer notre méthodologie à l'auditeur, clarifier les résultats des tests, et démontrer la cohérence entre notre travail et les exigences de la norme. Cette assistance lors de l'audit est particulièrement appréciée lors de la première certification.

Ces trois référentiels sont souvent comparés car ils adressent la sécurité de l'information, mais leurs objectifs, leur portée et leurs mécanismes de vérification sont fondamentalement différents.

ISO 27001 est une norme internationale généraliste qui certifie votre système de management de la sécurité de l'information. Elle est basée sur une approche par les risques et s'adapte à tout type d'organisation et de secteur. La certification est délivrée par des organismes accrédités (Bureau Veritas, LRQA, etc.) et reconnue mondialement. La norme ne prescrit pas de contrôles obligatoires : c'est votre analyse de risque qui détermine les contrôles applicables.

SOC 2 est un référentiel américain (AICPA) qui atteste de l'efficacité des contrôles d'un prestataire de services sur une période définie (Type II). Il est particulièrement demandé par les clients américains et dans les contrats SaaS. SOC 2 est davantage orienté "preuve d'exploitation" que "certification de système" : l'auditeur vérifie que les contrôles ont effectivement fonctionné pendant la période couverte par le rapport.

PCI-DSS est un standard sectoriel obligatoire pour toute organisation manipulant des données de cartes bancaires. Contrairement aux deux précédents, PCI-DSS prescrit des contrôles très précis et sa conformité est vérifiée annuellement. Les tests d'intrusion y sont explicitement obligatoires (exigence 11.4).

Pour les organisations qui doivent satisfaire plusieurs référentiels simultanément, Atlas RedConsult propose des programmes d'audit mutualisés qui optimisent le périmètre et les livrables pour répondre aux exigences de chaque référentiel sans multiplier les efforts.

Un pentest réalisé dans le cadre ISO 27001 doit produire des livrables adaptés à deux audiences distinctes : l'équipe technique chargée de la remédiation, et l'auditeur de certification qui cherche à vérifier l'efficacité du SMSI.

Pour l'équipe technique, notre rapport inclut : une description technique détaillée de chaque vulnérabilité identifiée avec les étapes de reproduction, une preuve de concept (si possible non destructive), une évaluation de l'impact et de la probabilité d'exploitation, et des recommandations de remédiation précises avec ordre de priorité.

Pour l'auditeur de certification, nous fournissons : une synthèse exécutive décrivant la portée, la méthodologie et les conclusions globales, un mapping avec les contrôles ISO 27001 pertinents, une évaluation de l'efficacité des contrôles testés, et une lettre d'attestation de réalisation utilisable comme preuve dans votre dossier de certification.

Nous proposons également un suivi post-remédiation : après que votre équipe a appliqué les correctifs, nous réalisons des tests de vérification ciblés (retests) pour confirmer que les vulnérabilités ont bien été résolues. Ces retests sont documentés dans une addendum au rapport qui complète le dossier de preuves pour l'auditeur.