Ignorer ou minimiser un incident de sécurité coûte presque toujours plus cher que d’y répondre efficacement dès les premières minutes. Pourtant, la majorité des organisations sous-estiment la complexité de la gestion des incidents et l’importance d’un cadre structuré comme ISO 27035.
La norme ISO 27035 permet de formaliser une réponse aux incidents claire, rapide et documentée, en alignant détection, remédiation et apprentissage. Elle structure la gestion des incidents de cybersécurité pour renforcer la résilience opérationnelle et réduire les impacts métiers.
Cet article aide à comprendre comment mettre en œuvre ISO/IEC 27035 sans complexité inutile, éviter les fausses bonnes idées et améliorer le pilotage de la sécurité de l’information sur toute la chaîne.
Qu’est-ce que la norme ISO 27035 ?
Origine et positionnement dans la famille ISO 27000
ISO/IEC 27035 appartient à la série ISO 27000, un ensemble de normes internationales qui définissent les meilleures pratiques en matière de gestion de la sécurité de l’information. Elle complète notamment les normes ISO 27001, centrée sur les systèmes de management de la sécurité, et ISO 27005, consacrée à la gestion des risques. Publiée pour la première fois en 2011, ISO 27035 a été déclinée en plusieurs parties afin de structurer la réponse aux incidents de sécurité. Elle fournit un cadre exigeant mais adaptable, conçu pour intégrer les incidents dans un cycle continu d’amélioration.
Objectifs principaux de la norme
ISO 27035 a pour finalité de normaliser la gestion des incidents de sécurité de l’information, avec des processus clairs et reproductibles. Elle couvre toutes les étapes, de l’identification initiale jusqu’à l’analyse post-incident, en passant par le traitement opérationnel. L’objectif est de permettre une réaction rapide, documentée et adaptée au contexte, tout en limitant les impacts métier. Elle encourage également une logique d’apprentissage continu pour renforcer la résilience de l’organisation face aux futures menaces.
À qui s’adresse ISO 27035 ?
ISO 27035 est applicable à tout type d’organisation, quel que soit son secteur, sa taille ou son niveau de maturité en cybersécurité. Elle s’adresse autant aux PME ayant des ressources IT limitées qu’aux grands groupes dotés de centres opérationnels de sécurité (SOC). C’est une référence utile pour les DSI, RSSI, responsables conformité, mais aussi pour les directions générales souhaitant structurer leur gestion de crise, maîtriser leurs risques et répondre aux exigences croissantes du marché.
En résumé : ISO 27035 est une norme internationale qui établit un cadre complet et structurée pour gérer efficacement les incidents de sécurité de l’information.
Les grands donneurs d’ordre s’appuient de plus en plus sur les principes d’IT compliance, qui imposent une traçabilité complète : accès, incidents, modifications, tests de résilience, gouvernance des données.
Pourquoi ISO 27035 est stratégique pour votre organisation
Anticiper et gérer les incidents de sécurité efficacement
À mesure que la menace cyber se renforce, la capacité à détecter rapidement un incident et à y répondre efficacement devient un impératif opérationnel. ISO 27035 formalise cette réponse à travers des processus reproductibles : identification, évaluation, containment, éradication et retour à la normale. En instaurant ce cadre, les organisations peuvent limiter la propagation d’une menace, réduire le temps d’interruption, et améliorer en continu leurs défenses. Ce n’est pas la technologie qui fait la différence, c’est la capacité à agir vite.
Répondre aux exigences réglementaires (RGPD, NIS2, DORA…)
Les cadres réglementaires imposent des obligations de plus en plus strictes en matière de gestion des incidents. Le RGPD exige la notification d’une violation dans un délai de 72 heures. NIS2 étend ces obligations à de nouveaux acteurs essentiels, tandis que le règlement DORA accentue la notion de résilience opérationnelle dans le secteur financier. L’adoption d’ISO 27035 facilite la documentation des actions correctives, la traçabilité interne et la conformité lors des audits ou contrôles.
Renforcer la confiance des clients, partenaires et autorités
Un processus de gestion des incidents éprouvé constitue un levier de crédibilité stratégique. Il rassure les clients quant à la capacité de l’entreprise à protéger leurs données, et démontre aux autorités le sérieux de l’organisation en matière de cybersécurité. Dans les appels d’offres sensibles ou les relations avec des opérateurs critiques, cette maturité peut faire la différence.
Structurer la gestion des incidents dans un cadre reconnu
Adopter ISO 27035, c’est aligner son dispositif avec un standard international. Ce cadre facilite la coordination entre les équipes internes et les prestataires externes, l’intégration d’une cellule de crise, ou encore le partage d’informations avec les CERT et CSIRT. Il permet une réponse coordonnée, quel que soit le niveau de préparation initial de l’organisation.
En résumé : ISO 27035 offre un cadre opérationnel fiable pour anticiper les incidents, répondre aux obligations réglementaires et renforcer la crédibilité de l’organisation.
Les trois parties de la norme ISO 27035
ISO/IEC 27035-1 : Principes et concepts
Cette première partie structure la compréhension globale de la gestion d’incidents. Elle précise les notions d’événements anormaux, d’incidents, de classification de gravité et de cycle de vie. Elle insiste sur l’importance de la gouvernance dans le traitement des incidents, en soulignant notamment le rôle des processus transverses et pluridisciplinaires. Véritable base méthodologique, elle aide à poser des fondations solides, indépendamment de la maturité de l’organisation.
ISO/IEC 27035-2 : Processus de gestion des incidents
Partie la plus opérationnelle, elle décline un processus en cinq étapes : de la détection à l’amélioration post-incident. À chaque étape, la norme identifie des sous-tâches, des indicateurs de suivi et les rôles associés. C’est le cœur du dispositif, à la fois rigoureux et adaptable, qui permet de passer d’une réaction improvisée à une gestion structurée. Cette partie apporte une valeur concrète aux organisations souhaitant automatiser ou formaliser tout ou partie de leurs procédures internes.
ISO/IEC 27035-3 : Lignes directrices pour planifier et préparer
Cette dernière partie traite de la capacité organisationnelle à répondre efficacement à un incident. Elle aborde la planification, la gestion des ressources, la formation des équipes et même l’automatisation de certaines tâches de réponse. Elle insiste notamment sur la création d’un plan de réponse aux incidents (IRP), document essentiel pour garantir une activation fluide du dispositif en cas de crise. C’est cette phase préparatoire trop souvent négligée qui permet de transformer une gestion à chaud en scénario maîtrisé.
En résumé : ISO 27035 se compose de trois parties complémentaires : les principes, les processus opérationnels, et la préparation organisationnelle à la gestion des incidents.
Mise en œuvre opérationnelle d’ISO 27035
Étape 1 : Détecter et signaler un incident
La détection repose autant sur la technologie que sur la vigilance humaine. SIEM, EDR, outils de surveillance réseau, mais aussi sensibilisation des utilisateurs : tous concourent à la détection d’événements anormaux. Encore faut-il que les canaux de remontée soient clairs : formulaire, ticketing, hotline… Chaque minute compte, et l’organisation ne doit pas dépendre d’un utilisateur perplexe face à une anomalie.
Étape 2 : Évaluer et classer l’incident
Une fois signalé, l’incident doit être traité rapidement. L’équipe cybersécurité (ou à défaut un référent) confirme la réalité de l’incident, analyse son périmètre, et le classe par niveau de gravité. Cette hiérarchisation permet de prioriser les traitements et d’anticiper l’impact métier. La gravité est évaluée selon des critères précis : impact sur la confidentialité, l’intégrité, la disponibilité ou encore la conformité.
Étape 3 : Réagir et contenir
Dans cette phase, la rapidité d’exécution est déterminante. Il peut s’agir de couper un accès distant, bloquer un compte compromis, isoler un serveur ou désactiver un service. Cette réponse doit être planifiée à l’avance : qui décide, comment s’appuyer sur les experts internes ou les prestataires, comment alerter les parties prenantes ? Les silos, à ce stade, ralentissent la réaction et aggravent les conséquences.
Étape 4 : Éradiquer l’incident et restaurer les systèmes
Contenir, ce n’est pas éradiquer. L’organisation doit s’assurer que la menace est éliminée durablement : supprimer le code malveillant, corriger les failles techniques, restaurer les services depuis des sources fiables. Cette étape requiert coordination, vérification et souvent, validation managériale, avant relance complète en production.
Étape 5 : Apprendre de l’incident et améliorer le dispositif
Chaque incident est une opportunité d’apprentissage. L’analyse a posteriori permet d’identifier les failles, d’ajuster les procédures, d’actualiser les indicateurs de détection et de renforcer la résilience globale. Les retours d’expérience structurés alimentent les tableaux de bord de pilotage cybersécurité et préparent les futures réponses.
En résumé : ISO 27035 structure la gestion d’un incident en cinq étapes : détection, évaluation, containment, résolution et capitalisation des enseignements.
Intégration d’ISO 27035 à votre système de management de la sécurité
Articulation avec ISO 27001 et ISO 27005
ISO 27035 complète efficacement ISO 27001, qui définit les exigences de pilotage d’un système de gestion de la sécurité, et ISO 27005, qui cible la gestion des risques. En liant les incidents vécus (27035) aux scénarios de risques (27005), l’organisation renforce la boucle d’amélioration continue. Cette intégration permet de passer d’une cybersécurité réactive à une approche proactive, alignée avec les meilleures pratiques internationales. Elle offre une traçabilité complète, de la détection des incidents jusqu’à leur analyse en gestion de risque, et optimise le pilotage global de la sécurité.
En résumé : ISO 27035 complète ISO 27001 et 27005 en ajoutant un volet opérationnel de gestion d’incidents, renforçant ainsi une démarche de cybersécurité cohérente et intégrée.
Seules les équipes prêtes à réagir rapidement peuvent limiter l’impact d’un incident majeur. ISO 27035 n’est pas qu’un référentiel, c’est une méthode pour structurer et crédibiliser votre réponse aux attaques.
Si vous gérez un système critique avec peu de marge d’erreur, notre équipe peut vous aider à opérationnaliser cette démarche. Planifions ensemble un échange pour cadrer vos priorités et poser les bases d’un pilotage efficace. Chez AMI, on intervient là où les procédures seules ne suffisent plus.
Retrouvez une présentation complète des référentiels de cybersécurité dans notre article de synthèse.
